分类
SSL证书

Entrust扩展验证型EVSSL证书

entrust的数字签名证书哪里可以购买

Entrust扩展验证型EVSSL证书

Entrust EV-Multi-Domain SSL Certificates

Entrust EV多域名SSL证书以最为完善的有效认证过程作为支撑。其中就包括Google Chrome浏览器的全透明证书核发。这些证书利用了当下热门浏览器的附加视觉提示,其中就有Microsoft? Internet Explorer?, Mozilla Firefox, Opera和Google Chrome的绿色地址栏。

证书特点

证书功能

多域名功能

一张EV SSL证书可以最多保护高达250域名,为企业节省时间和金钱。

服务器授权无数量限制

与大部分Entrust可信SSL证书一样,Entrust私有型SSL证书可以配置在多个服务器上,也可在有需要的情况下重新签发,且不收取任何额外费用。

网站安全服务包

网站安全服务包协助您发现网站上的恶意软件,阻止其攻击搜索引擎以及邮件黑名单。

快速上保

当您下单后,Entrust即可就会对您的证书请求进行验证,通常情况,1-2天内证书就会被签发。

自助证书创建

为您解除手工签发证书的时间等待

逾期便捷通知

降低忽略证书有效期带来的风险

SSL证书专业服务

Entrust客户端服务专家可以协助您完成证书管理生命周期的每一个步骤。

既定的浏览器信任

让您的客户免受烦人的“信任”弹框之扰。

浏览器显示效果

如何通过EV SSL证书建立客户信任

客户案例

Entrust扩展验证型EVSSL证书2
Geotrust https证书申请需要提交哪些资料
Geotrust SSL证书价格是多少
DigiCert 免费SSL证书在哪里可以申请
天威诚信提供的DigiCert免费SSL证书开通方式
免费SSL证书可以在哪里申请
联想数字签名证书
天威诚信的数字签名证书工具哪里可以下载
华为云有免费SSL证书吗
阿里云的免费SSL证书如何申请
Globalsign数字签名证书有哪些优势
唯品会 SSL证书价格
分类
知识中心

如何验证SSL证书公钥的正确性

公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。比如,正准备和某台服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输途中,真正的公开密钥已经被攻击者替换掉了。

为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。

数字证书认证机构处于客户端与服务器双方都可信赖的第三方机构的立场上。威瑞信VeriSign)就是其中一家非常有名的数字证书认证机构。我们来介绍一下数字证书认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。

服务器会将这份由数字证书认证机构颁发的公钥证书发送给客户端,以进行公开密钥加密方式通信。公钥证书也可叫做数字证书或直接称为证书。

接到证书的客户端可使用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,客户端便可明确两件事:一,认证服务器的公开密钥的是真实有效的数字证书认证机构。二,服务器的公开密钥是值得信赖的。

此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。

 

可证明组织真实性的EV SSL证书

证书的一个作用是用来证明作为通信一方的服务器是否规范,另外一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书(Extended Validation SSL Certificate)。

EV SSL证书是基于国际标准的认证指导方针颁发的证书。其严格规定了对运营组织是否真实的确认方针,因此,通过认证的Web网站能够获得更高的认可度。

持有EV SSL证书的Web网站的浏览器地址栏处的背景色是绿色的,从视觉上就能一眼辨别出。而且在地址栏的左侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。

 

为了防止用户被钓鱼攻击(Phishing),但就效果上来讲,还得打一个问号。很多用户可能不了解EV SSL证书相关的知识,因此也不太会留意它。

用以确认客户端的客户端证书

HTTPS中还可以使用客户端证书。以客户端证书进行客户端认证,证明服务器正在通信的对方始终是预料之内的客户端,其作用跟服务器证书如出一辙。

但客户端证书仍存在几处问题点。其中的一个问题点是证书的获取及发布。

想获取证书时,用户得自行安装客户端证书。但由于客户端证书是要付费购买的,且每张证书对应到每位用户也就意味着需支付和用户数对等的费用。另外,要让知识层次不同的用户们自行安装证书,这件事本身也充满了各种挑战。

现状是,安全性极高的认证机构可颁发客户端证书但仅用于特殊用途的业务。比如那些可支撑客户端证书支出费用的业务。

例如,银行的网上银行就采用了客户端证书。在登录网银时不仅要求用户确认输入ID和密码,还会要求用户的客户端证书,以确认用户是否从特定的终端访问网银。

客户端证书存在的另一个问题点是,客户端证书毕竟只能用来证明客户端实际存在,而不能用来证明用户本人的真实有效性。也就是说,只要获得了安装有客户端证书的计算机的使用权限,也就意味着同时拥有了客户端证书的使用权限。

认证机构信誉第一

SSL机制中介入认证机构之所以可行,是因为建立在其信用绝对可靠这一大前提下的。然而,2011年7月,荷兰的一家名叫DigiNotar的认证机构曾遭黑客不法入侵,颁布了google.com和twitter.com等网站的伪造证书事件。这一事件从根本上撼动了SSL的可信度。

因为伪造证书上有正规认证机构的数字签名,所以浏览器会判定该证书是正当的。当伪造的证书被用做服务器伪装之时,用户根本无法察觉到。

虽然存在可将证书无效化的证书吊销列表(Certificate Revocation List,CRL)机制,以及从客户端删除根证书颁发机构(Root Certificate Authority,RCA)的对策,但是距离生效还需要一段时间,而在这段时间内,到底会有多少用户的利益蒙受损失就不得而知了。

由自认证机构颁发的证书称为自签名证书

如果使用OpenSSL这套开源程序,每个人都可以构建一套属于自己的认证机构,从而自己给自己颁发服务器证书。但该服务器证书在互联网上不可作为证书使用,似乎没什么帮助。

独立构建的认证机构叫做自认证机构,由自认证机构颁发的”无用”证书也被戏称为自签名证书

浏览器访问该服务器时,会显示”无法确认连接安全性”或”该网站的安全证书存在问题”等警告消息。

 

由自认证机构颁发的服务器证书之所以不起作用,是因为它无法消除伪装的可能性。自认证机构能够产生的作用顶多也就是自己对外宣称”我是○○”的这种程度。即使采用自签名证书,通过SSL加密之后,可能偶尔还会看见通信处在安全状态的提示,可那也是有问题的。因为就算加密通信,也不能排除正在和已经过伪装的假服务器保持通信。

值得信赖的第三方机构介入认证,才能让已植入在浏览器内的认证机构颁布的公开密钥发挥作用,并借此证明服务器的真实性。

中级认证机构的证书可能会变成自认证证书

多数浏览器内预先已植入备受信赖的认证机构的证书,但也有一小部分浏览器会植入中级认证机构的证书。

对于中级认证机构颁发的服务器证书,某些浏览器会以正规的证书来对待,可有的浏览器会当作自签名证书。

分类
SSL证书

赛门铁克Symantec SSL证书产品及服务

在SSL证书市场,Symantec证书在全球具有绝对领先地位:

 

世界500强企业中93%的公司选择了赛门铁克Symantec的SSL证书服务;

世界100家最大的银行中97%的公司选择了VeriSign的SSL证书服务;

全球50大电子商务网站中的47个网站所选用VeriSign的SSL证书服务;

国内用户中包括四大商业银行、招商银行、中信银行、光大银行在内的主要商业银行均选用了赛门铁克Symantec的EV SSL证书服务。

 

赛门铁克Symantec SSL证书产品及服务-1

 

SSL数字证书

128位SSL强制型SSL证书(Secure Site Pro)和128位SSL支持型SSL证书(Secure Site)利用SSL技术保障客户在线输入的信用卡号、交易密码等机密信息的安全。

 

Symantec Secure Site Pro (128位强制型)

Symantec Secure Site (128位支持型)

赛门铁克Symantec SSL证书产品及服务-2 产品特性: 产品特性:
全球最为知名的数字证书品牌无法仿冒的动态即时安全标章

SGC128位强制加密技术

兼容所有的浏览器  赛门铁克Symantec SSL证书产品及服务-3

证书包含企业身份信息

价值 125万美元的安全担保

 

全球最为知名的数字证书品牌无法仿冒的动态即时安全标章

40/56/128/256 位自适用加密

兼容所有的浏览器  赛门铁克Symantec SSL证书产品及服务-3

证书包含企业身份信息

价值 100万美元的安全担保

 

赛门铁克Symantec SSL证书产品及服务-4    赛门铁克Symantec SSL证书产品及服务-3 赛门铁克Symantec SSL证书产品及服务-4    赛门铁克Symantec SSL证书产品及服务-3

 


EVSSL数字证书

128位强制型EV SSL证书(Secure Site Pro with EV)和128位支持型EV SSL证书(Secure Site with EV)作为国际反欺诈钓鱼行动的重要组成部分,通过展示绿色地址栏证实网站安全与可靠。

 

Symantec Secure Site Pro with EV(128位强制型EV)

Symantec Secure Site with EV(128位支持型EV)

赛门铁克Symantec SSL证书产品及服务-2 产品特性: 产品特性:

全球最为知名的数字证书品牌

SGC128位强制加密技术

兼容所有的浏览器赛门铁克Symantec SSL证书产品及服务-7

绿色地址栏,增加客户信赖度,带来更多交易

扩展验证功能帮助挫败欺诈钓鱼网站

价值150万美元的安全担保

全球最为知名的数字证书品牌

40/56/128/256 位自适用加密

兼容所有的浏览器  赛门铁克Symantec SSL证书产品及服务-7

绿色地址栏,增加客户信赖度,带来更多交易

扩展验证功能帮助挫败欺诈钓鱼网站

价值150万美元的安全担保

赛门铁克Symantec SSL证书产品及服务-4        赛门铁克Symantec SSL证书产品及服务-3     赛门铁克Symantec SSL证书产品及服务-4       赛门铁克Symantec SSL证书产品及服务-3

 


天威诚信Symantec证书产品服务

1.7×24小时电话及技术支持:采用专业的客服与技术人员进行分配调试,并且由专业客服一对一进行服务。

2.在线指导用户证书的安装、调试、备份

3.证书有效期内提供每年三次回访服务

 

SSL证书购买流程

赛门铁克Symantec SSL证书产品及服务-5

分类
知识中心

“钓鱼网站”屡禁不止 常见的攻击术及解决方案

  网络钓鱼(Phishing)

网络钓鱼的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织,其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动,如身分窃取、盗窃或欺诈。

  网络钓鱼现状

钓鱼式攻击是一种普遍的网络欺诈方式,它利用虚假网站诱骗用户泄露自己的个人信息。它不但能够给在线商户或银行造成很大的损失,还会损害消费者对互联网的信任。面对层出不穷钓鱼网站,即使是高级的网络防火墙和强大的反病毒软件也无能为力。

  常见钓鱼攻击技术:

复制图片和网页设计、相似的域名

攻击者会注册一个域名,它看起来同要假冒的网站域名相似。

例如:“paypai.com”可用来假冒“paypal.com”,“ta0ba0.com”可用来假冒“taobao.com”,

用“users-alipay.com”假冒“users.alipay.com”。

(1)URL隐藏

用户名和密码可包含在域名前,语法为:http://username:password@domain/。

攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏@符号的最后。目前浏览器的最近更新已经修复了这个漏洞。

(2)欺骗性的超链接

超链接 http://www.domain.com,当点击这个超链接时,实际指向的却是另外一个站点。

一个超链接的标题可以完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在链接标题中显示一个URL,而在背后使用了一个完全不同的URL。

(3)脚本

通过JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。

(4)弹窗

还可以使用弹窗攻击方式,使浏览器中显示的是真实的网站页面,但在页面上同时弹出了一个简单的窗口,要求用户在该窗口中输入个人信息。

(5)DNS欺骗

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

攻击者冒充域名服务器,然后把域名查询的IP地址设为攻击者的IP地址。用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。

(6)Hosts文件攻击

Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。

例如Windows XP下 C:windowssystem32driversetc

用户可以修改 hosts 文件中 IP 与域名的映射列表,将域名指向自由定义的IP地址。

例如:127.0.0.1 www.ert7com

(7)社会工程

钓鱼攻击还使用非技术手段使用户坠入陷阱,其中的一个策略就是急迫性,从而使用户急于采取行动,而较少花时间去核实消息的真实性。另一个策略是威胁用户,如果不按照所要求的去做就会造成可怕的后果,如终止服务或关闭帐户,少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”),但威胁攻击更为常见,用户往往会对不劳而获产生怀疑,这可能是人类的本能

(8)IP地址

隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示,如http://202.*.*.250。这种技术的有效性令人难以置信,由于许多合法URL也包含一些不透明且不易理解的数字,因此,只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

  钓鱼网站特点:

持续时间短

大多数钓鱼网站只存在很短的一段时间,其单位以天甚至小时计算。

憋脚的语言

许多钓鱼攻击所用的消息存在大量的拼写错误、语法错误或使人困惑的措词。

网上交易站点居多

大部分钓鱼网站带有网上交易的特性,对网上银行、网络商城之类站点的用户资料和资金进行盗窃、诈骗等非法活动。

负面影响大

无论是对于客户端的客户体验,还是对于提供服务的网络公司的企业形象,都造成了极坏的影响。

  为什么选择扩展验证EV SSL证书

普通的用户无法识别快速SSL 证书和严格身份验证的EV SSL 证书有什么不同,两者都会在浏览器上显示安全锁标志。

扩展验证EV SSL证书需要经过最彻底的身份验证以确保该组织真实存在,扩展认证功能帮助挫败钓鱼网站。

绿色地址栏显示的组织名称和作为证书颁发机构的CA无法被恶意网站模仿。

强大的防止钓鱼网站的保护能力

醒目的指示,显示网站身份的可靠性

大大阻止网页钓鱼

恢复网站访问者的信心

可控的安全性,安全一目了然

  绿色地址栏增加顾客信任,带来更多交易

以IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用EV SSL证书的网站会浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

  EV Upgrader帮助更多客户轻松获得安全绿色地址栏

“钓鱼网站”屡禁不止 常见的攻击术及解决方案-1

VeriSign提供EV Upgrader升级技术,该技术可帮助非VISTA的IE7的用户自动升级根证书,如客户在Windows XP版本下使用IE7,该技术可确保客户无缝升级展示绿色地址栏,实现EV SSL证书诸多安全特性。扩展验证功能帮助挫败钓鱼网站

EV SSL证书经过最彻底的身份验证客户确保证书持有组织的真实性。绿色地址栏将循环显示的组织名称和作为CA的VeriSign名称,两个的同时运用,从而最大限度上确保网站的安全性,树立网站可信形象的,不给钓鱼网站以可乘之机。

工欲善其事,必先利其器。电子商务、电子政务、网上支付的前景虽然美好,然而还有不少的技术障碍亟需解决,只有当安全与信任共同建立,互联网交易的屏障才会迎刃而解

目前来看,网络支付的安全手段主要基于电脑本身的防护,如让用户安装安全防护软件、独立的客户端、动态口令、USBKey等等。如何在如何将各大银行网银、支付平台、企业财务系统等各领域提供更多更有效的服务性产品,无需客户端来执行额外的操作,即可为客户带来方便易用的安全产品,从而构筑网上支付的安全防线,正是VeriSign可信网站服务在不断探寻的答案。

分类
安全播报

钓鱼网站花样多 企业网站损失惨重

中国互联网络信息中心近日发布的《第29次中国互联网络发展状况统计报告》显示,截至2011年12月底,中国网民规模达5.13亿,全年新增网民5580万;互联网普及率较上年底提升4个百分点,达到38.3%。由此可见,我国的整体网民用户规模在进一步增长。随着互联网的发展,整个互联网的安全问题也日益突出,而钓鱼网站就是网民最大的危害之一。尽管国家各级相关部门不断进行宣传和指导,甚至有的消费者还经历了多次血的教训,但仍有不少用户不断地受到钓鱼网站的侵害,且受害用户的金额较往年也有很大的提高。

  钓鱼”背后的黑色利益

中国互联网电子商务交易全年超过6万亿元,而据不完全统计,共有1亿9861万人次网民遭到钓鱼网站攻击,给网民造成的经济损失至少200亿元。仅从如此巨大的经济损失金额中,就可以看出钓鱼网站的利润之大。利益催生了坚不可摧的黑色利益链。其中,金融、支付平台等涉及资金流的网站更是成为钓鱼网站的众矢之的,全国各地陆续爆出案值从几万到几十万甚至上百万的黑客钓鱼案例。

  多管齐下“防钓”于未然

在此,我们提醒广大网民提高风险防范意识,保护好自己的账号隐私。做到“两个不要”和“两个应该”。

“两个不要”是:不要随意注册无关的网站账号,并且在注册网站账号时不必透露太详尽的个人信息;不要轻易在安全性低的网站购物,而且一定要注意此类网站是否有https、小金锁、绿色地址栏等特征,这些都是钓鱼网站无法仿冒的,诸如中国工商银行、招商银行、中信银行、华林证券、财通基金等金融行业网站都已经可以看到这些标志,只有带有标志的网站才是安全的,才是可以放心交易的。

“两个应该”是:应该在注册网站账号之后不定时更换密码。这样即使黑客窃取了你的密码,常更新密码也能使黑客的密码无效;账号或密码应尽量与手机绑定,比如支付宝、银行都提供了这种方式来加强密码的安全性。这样绑定之后,一旦有账号变动异常,用户会及时收到消息,及时申诉降低损失

为了让更多的金融行业的客户享受到VeriSign高品质安全服务,也为了让广大网民有一个更加安全可靠的网络环境,即日起至2012年3月30日,天威诚信推出VeriSign证书产品金融行业客户月度回馈活动,在此期间凡是金融行业客户正价购买或续费:

● VeriSign 128位强制型SSL证书

● VeriSign 128位强制型EV SSL证书

● VeriSign 128位支持型EV SSL证书

● VeriSign代码签名证书数字签名证书

均可根据您的购买或续费年限赠送如数码相机、手机、摄像机、笔记本电脑等大礼,购买或续费3年期以上证书的用户还将获赠天威诚信客户回馈卡,多买多送,买即送!此外,推荐新客户的介绍人也将有取暖器、加湿器等精美礼品相赠。好礼多多,等您来拿!

分类
安全播报

钓鱼网站,防范于未然

据不完全统计,2011年中国互联网在线交易额已超过6万亿元。随着互联网的飞速发展,网上支付等可以说是受到了广大人民群众的热力追捧,它改变了我们的生活形态,可方便的同时也存在了很大的安全风险,比如钓鱼网站。监测数据显示,2011年,钓鱼网站已超过病毒木马成为互联网第一大安全威胁,网民受钓鱼网站威胁的次数是病毒木马威胁次数的5-10倍。其中大型电子商务、金融机构、第三方在线支付网站更是成为网络钓鱼的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易后窃取用户账号密码,造成用户重大经济损失的案例屡见不鲜。

为了防”钓”于未然,天威诚信提醒大家在浏览金融机构、电子商务、在线支付等网站时要注意以下几点:

1.留意页面地址栏开头是否以“https”开头

2.有些网站地址栏会变为绿色

3.地址栏后边是否有小金锁标志

这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。

大家在日常的网购过程中除了要注意以上两点之外,还要注意以下几点:1.安装安全软件,并保持其开启和及时的更新;2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;3.不随意接收陌生人发来的在线文件。

在以上说的几点中,可能有的朋友会对“HTTPS”以及“绿色地址栏”最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EVSSL证书,其他金融类网站也相继使用。

就全世界范围而言,大多数SSL证书均来自VeriSign,作为全球最知名的数字证书品牌,除了具备尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全如金融业等行业机构青睐。目前,诸如招商银行、农业银行、中信银行、光大银行、工商银行、安信证券等绝大多数金融行业用户在其等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。

检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击可查看SSL证书(服务器证书)及颁发机构信息。

分类
知识中心

钓鱼网站相关知识讲解

网络钓鱼(Phishing)
  网络钓鱼的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织,其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动,如身分窃取、盗窃或欺诈。
 网络钓鱼现状
  钓鱼式攻击是一种普遍的网络欺诈方式,它利用虚假网站诱骗用户泄露自己的个人信息。它不但能够给在线商户或银行造成很大的损失,还会损害消费者对互联网的信任。面对层出不穷钓鱼网站,即使是高级的网络防火墙和强大的反病毒软件也无能为力。

 常见钓鱼攻击技术
  复制图片和网页设计、相似的域名
攻击者会注册一个域名,它看起来同要假冒的网站域名相似。
例如:“paypai.com”可用来假冒“paypal.com”,“ta0ba0.com”可用来假冒“taobao.com”,
用“users-alipay.com”假冒“users.alipay.com”。
 URL隐藏
  用户名和密码可包含在域名前,语法为:http://username:password@domain/。
攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏@符号的最后。目前浏览器的最近更新已经修复了这个漏洞。
 欺骗性的超链接
  超链接     http://www.domain.com,当点击这个超链接时,实际指向的却是另外一个站点。
一个超链接的标题可以完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在链接标题中显示一个URL,而在背后使用了一个完全不同的URL。
 脚本
  通过JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。
 弹窗
  还可以使用弹窗攻击方式,使浏览器中显示的是真实的网站页面,但在页面上同时弹出了一个简单的窗口,要求用户在该窗口中输入个人信息。
DNS欺骗
  DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
攻击者冒充域名服务器,然后把域名查询的IP地址设为攻击者的IP地址。用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
Hosts文件攻击
Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。
例如Windows XP下 C:windowssystem32driversetc
用户可以修改 hosts 文件中 IP 与域名的映射列表,将域名指向自由定义的IP地址。
例如:127.0.0.1   www.ert7.com

社会工程
  钓鱼攻击还使用非技术手段使用户坠入陷阱,其中的一个策略就是急迫性,从而使用户急于采取行动,而较少花时间去核实消息的真实性。另一个策略是威胁用户,如果不按照所要求的去做就会造成可怕的后果,如终止服务或关闭帐户,少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”),但威胁攻击更为常见,用户往往会对不劳而获产生怀疑,这可能是人类的本能
IP地址
  隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示,如http://202.*.*.250。这种技术的有效性令人难以置信,由于许多合法URL也包含一些不透明且不易理解的数字,因此,只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

钓鱼网站特点
  持续时间短
大多数钓鱼网站只存在很短的一段时间,其单位以天甚至小时计算。
憋脚的语言
许多钓鱼攻击所用的消息存在大量的拼写错误、语法错误或使人困惑的措词。
网上交易站点居多
大部分钓鱼网站带有网上交易的特性,对网上银行、网络商城之类站点的用户资料和资金进行盗窃、诈骗等非法活动。
负面影响大
无论是对于客户端的客户体验,还是对于提供服务的网络公司的企业形象,都造成了极坏的影响。

 为什么选择EV SSL证书
  普通的用户无法识别快速 SSL 证书和严格身份验证的 EV SSL证书有什么不同,两者都会在浏览器上显示安全锁标志。

钓鱼网站相关知识讲解-1

EV SSL证书需要经过最彻底的身份验证以确保该组织真实存在,扩展认证功能帮助挫败钓鱼网站。
绿色地址栏显示的组织名称和作为证书颁发机构的CA无法被恶意网站模仿。
强大的防止钓鱼网站的保护能力
  醒目的指示,显示网站身份的可靠性
大大阻止网页钓鱼
恢复网站访问者的信心
可控的安全性,安全一目了然
绿色地址栏增加顾客信任,带来更多交易
  以IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用EV SSL证书的网站会浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。
EV Upgrader帮助更多客户轻松获得安全绿色地址栏
  VeriSign提供EV Upgrader升级技术,该技术可帮助非VISTA的IE7的用户自动升级根证书,如客户在Windows XP版本下使用IE7,该技术可确保客户无缝升级展示绿色地址栏,实现EVSSL诸多安全特性。扩展验证功能帮助挫败钓鱼网站
EV SSL经过最彻底的身份验证客户确保证书持有组织的真实性。绿色地址栏将循环显示的组织名称和作为CA的VeriSign名称,两个的同时运用,从而最大限度上确保网站的安全性,树立网站可信形象的,不给钓鱼网站以可乘之机。
工欲善其事,必先利其器。电子商务、电子政务、网上支付的前景虽然美好,然而还有不少的技术障碍亟需解决,只有当安全与信任共同建立,互联网交易的屏障才会迎刃而解
目前来看,网络支付的安全手段主要基于电脑本身的防护,如让用户安装安全防护软件、独立的客户端、动态口令、USBKey等等。如何在如何将各大银行网银、支付平台、企业财务系统等各领域 提供更多更有效的服务性产品,无需客户端来执行额外的操作,即可为客户带来方便易用的安全产品,从而构筑网上支付的安全防线,正是VeriSign可信网站服务在不断探寻的答案。

分类
未分类

关于Symantec(赛门铁克)认证服务

赛门铁克(Symantec)公司成立于1982年4月,公司总部位于加利福尼亚州的 Cupertino,现已在全球 40 多个国家和地区设有分支机构,2006年全球销售额超过50亿美金,全球员工超过14,000 人。赛门铁克是信息安全领域全球领先的解决方案提供商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,可以帮助个人和企业确保信息的安全性、可用性和完整性。

2010年8月,赛门铁克(symantec)收购VeriSign认证服务、VeriSign SSL证书、EV SSL证书代码签名证书数字签名证书、服务器证书以及VeriSign信任签章服务现均由赛门铁克提供。作为过渡环节之一,赛门铁克重点在2012年4月对VeriSign的产品名称和品牌标识进行变更,而且在服务方面更加注重附加安全服务

 

产品名称变更如下:

 

VeriSign® SSL 证书

变更为

赛门铁克™(symantec) SSL证书

VeriSign® 代码签名证书

变更为

赛门铁克™(symantec) 代码签名证书

VeriSign® 信任中心

变更为

赛门铁克™(symantec) 信任中心

VeriSign® 信任签章

变更为

赛门铁克™(symantec) 信任签章

VeriSign® 支持型SSL证书

变更为

赛门铁克™(symantec) 支持型SSL证书

VeriSign® 强制型SSL证书

变更为

赛门铁克™(symantec) 强制型SSL证书

VeriSign® 支持型EVSSL证书

变更为

赛门铁克™(symantec) 支持型EVSSL证书

VeriSign® 强制型EVSSL证书

变更为

赛门铁克™(symantec) 强制型EVSSL证书

 

在变更证书名称的同时,新增如下服务:

1、漏洞评估服务

漏洞评估服务包括自动扫描功能和易于使用的报告功能,前者自动扫描面向公众的网页,而后者列出关键漏洞和信息项目。

购买每一个扩展验证或专业版SSL证书(与 SSL证书相比)均可免费获得漏洞评估服务,客户可在完成购买后激活该服务,该服务可帮助您快速识别网站上大多数容易被利用的缺陷,并采取措施予以应对。

漏洞评估服务,旨在检测最常见的攻击、最常使用的入口点。漏洞报告则根据漏洞的类型和危险性对其加以分类,并提出相应的纠正措施,有助于企业快速分辨关键的漏洞并加以补救,从而更轻松地保护网站。

 

2、反恶意软件扫描服务

反恶意软件扫描服务可以扫描SSL证书所在的主机网站程序,包含javascript和iframes。该服务完成对网站程序的静态分析,并通过浏览器模拟器检查恶意软件页面触发行为。该服务并不扫描全部页面,而是选择性优先扫描一些页面以发现恶意程序活动行为。该服务也不会扫描您的网络或搜寻您内部台式电脑上的恶意程序和那些需要输入口令才可进入的内部网页。

如果网站没用顺利通过扫描检查, VeriSign信任签章(VeriSign Trust Seal)将会被停用,取而代之的是VeriSign安全签章标志(VeriSign Secured Seal)。同时,您将会收到一封E-mail告知您已被恶意软件感染,并指引您访问VeriSign信任中心的账户查看被感染的页面和代码。网站管理人员需要及时清理所有的恶意软件并要求24小时内被重新扫描一遍。一旦通过扫描验证,所有的恶意软件即被清除,VeriSign信任签章(VeriSign Trust Seal)将被再次展示。

 

3、恶意软件扫描服务,识别已知恶意代码和全新的恶意代码变体,有效方案网站被黑客攻击并挂马。

通过反恶意软件签章,让您的客户知道您的网站不含恶意软件。使用即时警报,准确地识别并定位恶意代码,快速清理网站被感染的页面。利用这些警报来快速清除恶意软件、防止您的网站进入搜索引擎黑名单并确保搜索流量能够到达您的网站。

这是一种易于实施的云服务,由网络安全供应商直接提供。

 

功能:

– 每日扫描恶意软件,进行定期检查

– 分析网页以查找可以识别的恶意代码并进行监视以确认恶意活动,从而方便地清除任何受感染的网站

– 能够识别恶意代码的实时警报,可以快速删除恶意软件

– 按需扫描,可以快速确认网站清除状态

– 通过反恶意软件签章使访客确信网站没有恶意软件

分类
网络新闻

数字证书让互联网诚信服务不再是浮云

一年一度的3.15消费者权益日又将到来,很多商家不得不跟消费者一同维权了。“钓鱼”网站泛滥,让企业和顾客苦不堪言,平日铜墙铁壁的银行也难以应对。

去年,“中行E令”网银欺诈事件就引起一阵风波。不法分子以网银系统升级或动态令牌过期需更换为由,诱骗客户登录假冒的中国银行网站和网上银行,在盗取客户网银用户名、登录密码、动态口令后,随即登录客户网银转走客户的资金。

类似事件屡见不鲜,连高安全系数的动态令牌也被拖下水,让人不免为自己的账户安全捏把冷汗。不过不法分子的精力并非专注在银行安全机制的破解,而是精于一个“骗”字:高度仿冒的“钓鱼”网站诱骗用户登录,让网上银行安全机制毫无用武之地。

因此我们用户不仅要考虑安全,还需要在大量“赝品”的干扰下快速找到“真品”。这就对网上银行发出了新的挑战:银行网站本身要绝对安全,而且要安全的够明显。这既是帮用户避免“钓鱼”网站的侵害,也能让银行免受不白之冤。

目前,中国工商银行、招商银行、支付宝、淘宝等多家网站采用了SSL证书。SSL证书提供了身份验证、每日恶意软件扫描等功能,保障信息安全传输。这些SSL证书大多是由VeriSign中国的首要合作商天威诚信提供的。尤为重要的,SSL证书提供的VeriSign信任签章如同网络安全身份证一般,醒目提示用户网站的真实可靠性;以无法被“钓鱼”网站仿冒的技术告知用户网站信息,将网站同仿冒者彻底区分。

面对欺诈钓鱼网站,我们常常忽略的 “https”地址栏开头、金色锁形标志其实同样是SSL证书的安全提示,而我们平时看到的绿色地址栏则是扩展验证EV SSL证书的功能。记者为此特意咨询了天威诚信技术人员,向他了解了一些绿色地址栏的情况。据介绍,其实中国银行网站早已应用了扩展验证EV SSL证书,中行客户在输入动态密码前,可以注意下浏览器地址栏的颜色,看到浏览器地址栏由白色变为绿色后再进行输入。

令人欣喜的是,目前各大银行网站均采用了SSL技术。通过应用SSL证书,用户在访问网站时可以方便地查阅网站身份信息,从而确保访问过程的真实性。对于那些没有应用证书,或者证书信息错误的网站,用户就需要引起重视,尽可能终止访问。如上边提到的“中行E令”网银欺诈事件,客户如果在登陆的时候验证一下网站的真实身份,完全可以避免上当。

为了自身权益,商家要落实安全责任,消费者则要树立安全意识,别因为安全问题让您在3.15委曲求“权”。

分类
知识中心

服务器证书能够带来的哪些利益价值?

一、 商业机密的传输保障:
网站运营方与网站用户的商业机密如果采用明文传输会在传输过程泄露,比如关键价格、库存、种类等信息。尤其在会员制的网站运营商,商业机密信息泄露造成的损害,会影响企业的核心竞争力甚至生存。因此,商业机密的传输保障是明显的利益价值。
二、 用户的信任:
1、 隐私在网络时代尤为重要,在大量的用户注册、提交的过程中,明文传输不可避免地成为隐私泄露的渠道之一;在涉及到购物、消费、转帐等交易领域,用户名密码在传输过程中的泄漏更会带来直接利益损失。而通过具有保障和增值保障的服务器证书建立SSL通道后,可以避免信息的泄漏。在泄露和不泄漏的博弈中,显然避免信息泄露的网站更能带来用户的信任和良好的口碑效应。
2、 隐私的传输过程保护是信任的一方面,另一方面,SSL协议本身的透明处理带给用户的体验本身并不深刻,因此,通过有效的渠道建立用户的信任机制是服务器证书的附加价值,EV SSL证书是一个有效的技术增值手段,但是在大量原有版本浏览器不支持EV SSL证书的前题下,VeriSign信任签章是一个行之有效的途径,当然,VeriSign信任签章不是一个简单的图片拷贝,而是一个动态的可点击验证签名认可标志。VeriSign信任签章的信任程度就和服务器证书品牌价值附加度密切相关。用户对网站所建立的信任度是由VeriSign信任签章签发者身份提供信誉担保保障的。
通过上述分析,我们可以得出显而易见的结论,服务器证书的直接价值是由服务器证书强有力的鉴证手段、强大的品牌效应、合适的加密强度来保障的。
一般而言,直接价值的理解和度量比较容易接受,但是,间接价值进一步提供了风险抵御和品牌对应价值的提升,从而增强企业的核心竞争力。