标签: 数字证书

分类
知识中心

什么是证书颁发机构?

每次访问以 HTTPS 开头的网站时,您都会使用证书颁发机构。但问题是,什么是证书颁发机构,它如何通过保护互联网使我们的生活更轻松?让我们深入了解 CA 是什么。

证书颁发机构是维护现代数字世界中安全性的最关键组成部分之一。证书颁发机构 (CA) 是高度受信任的实体,负责签名和生成数字证书。CA 是 PKI 最重要的支柱之一。证书颁发机构专门颁发数字证书,这些证书随后用于确认网站、设备、个人等的合法性。

公共证书颁发机构本质上是一个公共可靠的机构,用于向个人、公司和其他实体颁发数字证书。这些颁发的证书是简短的数据文件,其中包含经过验证的组织标识信息。因此,通过为您提供值得信赖的第三方担保,CA 是一种在那些不直接了解您(或您的组织)的人中建立信誉的技术。

但问题是,在所有这些中,网站安全性如何?
因此,证书颁发机构会经历一组规则来确保证书的完整性。认证机构在颁发证书之前对申请实体进行调查。他们检查来自官方来源的记录和文件,以确保业务的真实性。之后,CA 颁发数字证书,公司可以使用该证书对其软件、网站和电子邮件通信进行加密和数字签名

因此,如果您是需要公司证书的人,证书颁发机构会帮助您实现以下目标:

  • 验证组织的身份
  • 验证组织的合法性
分类
公司新闻

天威诚信提供双算法SSL证书最佳解决方案

天威诚信提供双算法SSL证书最佳解决方案

SSL证书是提升网站服务器防护能力的重要措施,也是在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

伴随着国际算法SSL证书的市场增长,国家层面也在持续推进国密算法应用建设,相继颁布了一系列法律法规。尤其是2020年《中华人民共和国密码法》的施行,标志着我国在密码的应用和管理等方面有了统一针对性的法律保障,也意味着SSL证书国产化成为必然趋势。

但在实际应用中,金融、政务、电商等领域企业在部署SSL证书时面临多重考量因素。既要能达到数据审核不出境、数据安全受保障、密码算法合规定,还能做到与主流应用/浏览器兼容,以保障业务的连续性。

参考遵循国家密码管理及信创产品等多项规范标准,依据客户实际需求,天威诚信基于坚实的密码技术和数字证书服务经验,在推进国产密码算法应用的同时,适时推出国产/国际双算法证书自适应解决方案,以满足企业数据传输加密与国密算法合规等要求。

-1

双算法证书由一张国际算法证书和一张国密算法证书组成,可兼顾国密合规性和全球通用性。在客户端环境支持国产密码算法时,自动选择国产密码算法SSL证书;在客户端环境仅支持国际算法时,自动选择国际算法SSL证书。通过国产密码算法与国际密码算法无缝切换应用,满足企业在不同场景、条件下的应用。

天威诚信是国内可信网络安全认证服务商,同时也是制定国密SM算法服务器证书体系标准课题研究的牵头单位之一。在探索国密算法应用过程中,天威诚信自主建设的vTrus系列SSL证书已广泛应用于政府、电信、金融、能源等重点行业和关键领域,帮助企业实现轻量化国密改造

截至目前,天威诚信vTrus国密算法自主根和国家根下的二级根已通过奇安信、麒麟操作系统、统信操作系统联合认证,并实现了在360、红莲花、赢达信、零信等主流国产浏览器的预埋,有力推动了国密算法生态建设。

在国家的大力支持下,市场上将会出现越来越多可用、好用的国产化产品和应用,天威诚信也将在夯实现有业务的基础上,携手更多业内机构,积极推进国密算法应用落地,提供满足不同用户需求的SSL证书及证书全生命周期管理服务。

分类
知识中心

证书颁发机构的作用

证书可以通过受信任的证书颁发机构或通过对证书本身进行签名来生成。证书颁发机构(CA)为用户生成用于TLS/SSL身份验证的证书。为了确保证书颁发机构可以信任,可以将CA的信任链跟踪回源CA。信任链是由受信任的CA发布的证书链,一直通向根CA。若要开始获取数字证书的过程,请求者必须向CA发送证书签名请求(CSR)。CSR必须具有请求者创建的密钥对的公钥,以及用于确认请求者身份的信息,例如社会保险号或驾驶执照。确认请求者身份后,CA将签名并返回证书,并可用于识别请求者。

获取证书的另一个选项是使用相同的信息自行创建一个证书,然后对其进行自签名。这使用频率较低,因为无法通过其他可信CA验证签名者的身份,从而使自签名证书变得可疑。因此,许多人不会接受自签名证书,因此建议使用CA创建证书。

分类
知识中心

TLS握手的过程

1.客户端问候:客户端向服务器发送通信请求时,会出现客户端问候。TLS版本、支持的密码套件以及称为“客户端随机数”的随机字节字符串包含在hello中。

2.服务器问候:在服务器问候中,服务器确认客户端问候。然后,它确保它使用的是与客户端TLS版本兼容的TLS版本,从客户端提供的密码套件中选择兼容的密码套件,并将其证书、服务器随机(类似于客户端随机数)和公钥发送到客户端。

3.证书验证:客户端首先通过证书颁发机构检查服务器证书的有效性。证书颁发机构(CA)是一个高度受信任的实体,负责签署和生成数字证书

4.预主字符串:然后客户端使用服务器的公钥加密一个随机的字节串,称为“预主字符串”,并将其发送回服务器。这可确保只有服务器可以使用自己的私钥解密密钥,从而充当另一个安全级别。

5.会话密钥创建:服务器解密预主密钥,然后客户端和服务器都从客户端随机数、服务器随机数和预主字符串创建会话密钥。

6.完成消息传递:然后客户端和服务器相互发送消息,说他们已经完成了密钥的创建,并且他们相互比较密钥。如果会话密钥匹配,则TLS握手完成,会话密钥用于加密和解密服务器和客户端之间发送的任何数据。

创建后,证书可用于服务器、客户端或其他设备的身份验证。证书被视为在特定时间段内有效,并在该时间范围之后过期。证书遵循恒定的生命周期,其中包括创建、续订、暂停、过期等阶段。如果证书过期,则证书持有者将不再受信任,从而导致正在使用的网站或设备的服务丢失。要获得证书,用户或网站必须首先通过证书颁发机构或自己签名。

分类
知识中心

什么是证书管理?

数字证书在互联网上用于对彼此交换数据的用户进行身份验证。由于每个合法网站都使用证书,因此证书管理非常重要。如果证书被盗和滥用,攻击者可能会冒充另一个更合法的来源,并通过他们的网站用恶意软件感染用户。证书的证书过期可能会导致中断,导致组织失去潜在客户。

证书管理是监视、处理和执行证书生命周期中每个进程的过程。证书管理负责颁发、续订证书并将其部署到端点(服务器、设备、设备等),以便网络服务不间断。证书管理还应自动执行任务(颁发、续订等),并提供网络基础设施的实时状态。

证书管理有助于管理网络并防止中断和停机,同时提供对整个基础架构的详细监控。良好的证书管理计划应该能够处理任何网络,甚至是具有数千台设备的网络。如果证书过期或配置错误,则可能会发生整个网络的灾难性中断。

证书(也称为 SSL/TLS 证书)是网络中用户、设备和其他端点的数字标识符。证书与公钥/私钥对链接,并验证与有效证书匹配的公钥是否可以信任。证书的主要工作是确保通过用户和服务器之间的连接发送的数据保持私密。证书通过在连接发送数据时对数据进行加密和解密来实现此目的。这是通过称为SSL / TLS握手来实现的。

分类
公司新闻

vTrus通过零信浏览器国密根证书可信认证

vTrus通过零信浏览器国密根证书可信认证

随着国密算法在各重要领域的深入应用,支持国密算法的SSL证书和浏览器之间的合作也愈加紧密。在2022年6月,由天威诚信自主研发的支持国密SM2算法的vTrus自主根证书和国家根下的二级根证书正式通过零信浏览器国密根证书可信认证,获得《国密SM2可信根》证明书。

vTrus通过零信浏览器国密根证书可信认证-1

目前,天威诚信研发的国密根证书已被预置于全球唯一一个支持国密证书透明的零信浏览器信任,并全球多语言版本发布。

天威诚信签发的vTrus国密SSL证书在得到零信浏览器信任后,可实现有效的网络身份鉴别、信息传输国密算法加密,将有效保障我国网络空间安全、身份可信、加密传输,在防范网络入侵、网络钓鱼,保障网民的信息和财产安全等方面发挥着重要作用。

随着《密码法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施,国内重要领域越来越需要实现网站安全的国密合规,并逐渐开始部署国密SSL证书,同时在对内对外的业务场景中应用国密浏览器,以实现国密算法HTTPS加密,保障系统信息的安全。

天威诚信是为金融行业客户签发占比较多国密证书的CA机构之一,可为客户提供完善的国密HTTPS升级改造方案。目前,天威诚信vTrus国密SSL证书业已完成在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器、赢达信国密安全浏览器的根证书预埋,广泛应用于政府、电信、金融、能源等重点领域,保障关键基础设施的信息安全。

天威诚信vTrus国密证书正式入根零信浏览器,意味着天威诚信将同其他零信浏览器信任的CA机构一道,携手发展壮大国密数字证书体系,共同承担维护国家重要领域和关键信息基础设施的安全责任,在为用户提供更安全使用体验的同时,共同助力国密生态安全的建设发展。

在国密SM算法升级改造HTTPS应用不断加速的大趋势下,天威诚信将以vTrus国密SSL证书为纽带,协手国内众多安全生态伙伴,共同为国密数字证书体系的发展壮大和国密生态安全的建设发展贡献力量。

  零信浏览器

零信浏览器是目前全球唯一一个支持国密证书透明的、完全免费的国密浏览器,并且独家特别增显国密加密标识、云WAF防护标识、网站可信认证标识、EV认证绿色地址栏等。

分类
知识中心

什么是EV代码签名证书

在互联网世界中,很多人都会通过下载各种软件进行工作、生活,这其中就会用到代码签名证书,否则将会被网站提示“软件不安全”。

由此可知,代码签名证书是软件开发者/发行者对所要发布的软件进行数字签名的一种数字证书。它支持对.exe、.cab、.dll、.ocx、.msi、.xpi和.xap等文件进行数字签名

事实上,没有数字签名的软件,不仅仅是在安装的时候有警告,就算是在下载的时候,也会遇到微软SmartScreen的抵御,导致软件无法下载,由此可见数字签名之于软件发布的重要性。

那么,代码签名有哪些类型?

代码签名分为普通的OV代码签名证书和扩展验证的EV代码签名证书。

这两种代码签名证书都可以对软件进行数字签名,但作用是不一样的。简单来说,普通的OV代码签名证书仅仅能够对软件进行数字签名实现基本的发布者身份验证和代码防篡改。而应用EV代码签名证书,那么无论是下载还是安装,Windows皆对这个软件进行无条件放行,没有风险警告,没有安装拦截,也没有“发行者未知”的不友好提示,可谓是下载的“VIP通道”。

为何EV代码签名证书有这么安全高效的作用呢?我们不妨从下面几个方面看待这个问题:

1、EV代码签名证书执行的是更加严格的审核标准,它对于证书的申请者进行了严格的身份确认,确保证书的使用者身份真实可信;

2、EV代码签名证书通常使用更加严格的证书载体来存贮证书,即软件发布者在使用EV代码签名证书对软件进行数字签名的时候,需要拿到对应的eToken插入到电脑中,输入密码方可进行数字签名,这种方式减少了证书被恶意复制后滥用的风险。

由此可见,EV代码签名证书从性质上就已经被微软Windows认为值得信赖。所以微软的SmartScreen直接对EV代码签名证书的数字签名进行立即信任放行。

所以,如果您是软件发行商,那么天威诚信强烈建议您申请EV代码签名证书来为您的用户提供更好的软件下载、安装、运行体验。

分类
公司新闻

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖

日前,全球领先的数字信任提供商DigiCert在马来西亚吉隆坡君悦酒店召开“2022年亚太区合作伙伴会议”。来自美国、日本、澳大利亚、韩国等多国DigiCert高管和合作伙伴齐聚一堂,共创数字信任与网络安全新生态。

作为DigiCert中国市场坚实可靠的合作伙伴,天威诚信受邀出席会议,并揽获2022年度最佳合作伙伴、年度卓越销售业绩奖等三项重量级大奖。

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖-1

年度最佳合作伙伴是DigiCert战略合作模式中的最高资质,天威诚信是亚太地区该荣誉的唯一获得者,充分展现了天威诚信携手DigiCert在证书服务方面的突出优势和特殊贡献,印证了天威诚信的企业实力以及DigiCert对天威诚信的信赖和认可。

年度杰出销售业绩奖则是DigiCert颁发给年度销售业绩超百万美元机构的荣誉奖项。自从与DigiCert建立合作关系以来,天威诚信已多次获得该奖项,展示了天威诚信在亚太地区服务器证书市场中的极高占有率,以及市场、行业、客户对天威诚信在证书服务领域的长期高度认同。

天威诚信国际认证事业群总监安垠代表公司参加了会议。安垠表示,自2000年天威诚信将DigiCert TLS证书引入中国以来,双方在合作过程中积累了丰富的行业最佳实践,共同打造了完善的联合服务机制,依托证书服务持续为国内用户提供安全可靠的数字信任建设方案,赋能千行百业的数字化转型。

会上,双方就今后的重点合作方向达成了一致。安垠表示,天威诚信正积极布局推动与DigiCert在数字证书自动化等领域的深入合作,以更好地满足客户数字化转型需求,推动数字经济蓬勃发展。

DigiCert高管对天威诚信在中国市场取得的成就表示祝贺,并表示作为大客户覆盖率超过95%的CA机构,天威诚信拥有丰富的应对和解决各种复杂及突发情况的专业服务经验,并能够根据中国本地合规的要求,为国内企业和个人提供证书生命周期管理服务,将信任扩展到供应链和互联生态系统。

双方一致认为,伴随着中国企业数字化转型进程的加快,今后更需立足资源禀赋与服务优势,共同携手为中国企业的数字化转型聚势赋能,通过提供更有效的数字信任解决方案,同时进一步夯实本地化服务,实现应用场景快速落地,为更广泛的企业与个人的数字安全保驾护航。

分类
知识中心

证书生命周期分为哪些阶段?

发现:证书生命周期的发现阶段涉及在网络中搜索必须吊销、续订或替换的丢失、过期、泄露或未使用的证书。这是该过程的重要组成部分,因为它会发现证书安全性中的漏洞,并将这些差距传递到监控阶段,从而可以密封这些漏洞。通常,此阶段还处理证书清单,以帮助将来的发现阶段,以及可能发生的任何证书审核。

创建/购买:这是创建证书的阶段。联机用户、组织或设备从证书颁发机构请求证书,其中包含注册用户所需的公钥和其他注册信息。然后,CA 验证给定的信息,如果它是合法的,则创建证书。用于创建证书的证书颁发机构可以由需要证书的组织拥有,也可以由第三方拥有。如果证书是从第三方获得的,则必须从他们那里购买。

安装:证书的安装很简单,但仍然同样重要。证书必须安装在安全但可访问的位置,因为尝试验证证书真实性的用户必须有权访问它。安装证书后,CA 会将策略落实到位,以确保证书的安全性和正确处理。

存储:如前所述,安装证书时,它必须位于安全位置以防止泄露。但是,它不应该太安全,以至于需要读取证书的用户无法访问它。本文档稍后将讨论为存储证书而实施的适当策略和法规。

监视:监视是证书生命周期中最重要的阶段之一。这是一个几乎恒定的阶段,其中证书管理系统(无论是自动的还是手动的)都会监视数字证书的泄露,过期或泄露。“监视”阶段使用在发现阶段创建的清单来跟踪何时应吊销、续订或替换证书。然后,证书管理系统将这些证书移动到下一阶段,该阶段可以是续订、吊销或替换。

续订:当达到证书的到期日期时,将续订证书。这在证书中自然会发生,因为最佳做法是最多不要使用证书超过5年。可以将证书设置为自动续订,也可以保留证书到期日期的列表,并且证书的管理员可以在适当的时间续订。

吊销:如果发现证书已泄露、被盗或以其他方式受到负面影响,则该证书将被吊销。吊销证书后,该证书将放在证书吊销列表 (CRL) 中。此列表可确保其他 CA 知道这不再是有效的证书。

替换:当用户从支付证书切换到创建自己的公钥基础结构 (PKI) 和 CA 时,证书将被替换。这很少这样做,因为从原始提供商那里续订证书比替换该证书要容易得多。

分类
知识中心

为什么证书生命周期很重要?

实现证书生命周期很重要的原因之一是由于证书的用途。证书标识 Internet 上的网站和用户,这意味着如果证书在其生命周期的任何时候遭到入侵,攻击者可能会伪装成该人,并且该证书所属的用户将被归咎于与该证书关联的任何攻击。此外,由于用户的密钥与其数字证书相关联,因此该密钥也会受到损害,由同一密钥加密的任何数据也会受到损害。

保持强大的证书生命周期的另一个原因是它与网站一起使用。网站数字证书的泄露可能导致中断,从而给其网站所在的组织造成损失。该网站还可能被用来用恶意软件感染用户的计算机,或者在网站所有者的幌子下执行网络钓鱼活动。正确实现证书生命周期的第一步是了解生命周期的每个阶段是什么,以及如何保护每个阶段。