标签: ssl证书

分类
安全播报

端午粽香引欺诈 用户安全有妙招

端午佳节将至,清香糯滑的粽子无疑是炙手可热的美食,大大小小的团购等购物网站已成了许多朋友选购粽子或节日礼品的不二选择。正因如此,众多钓鱼网站开始蠢蠢欲动,试图把偷钱的黑手伸向用户腰包。借鉴以往的经验,用户应尽量挑选知名购物网站或采用SSL证书服务器证书)技术的可信网站,以免遭遇网络欺诈。

 

李女士是一家教育机构的员工,由于工作繁忙,平时很少有空去商场超市购物,因此专程挑选端午节给长辈敬送的粽子成了难事。好在她发现网上有很多卖粽子礼盒的网站,购买方便且价格便宜。经过详细询问,她在一家网站下了单,可下单前,卖家称有个注意事项的文档需要李女士接收看一下。李女士点开收到的文档,并未觉得有什么奇怪,也就没放在心上。但网银付款后不久,她发现支付的钱并没有进入那家购物网站,而是流入了某游戏交易平台的一个帐户中。

 

经李女士与相关单位反复协商,虽然对方同意协助李女士追回被骗走的钱,但过程及手续繁复,且真正挽回损失的希望渺茫。

 

李女士所遇到的是典型的网络欺诈,骗子通过促销等信息诱使顾客登录钓鱼网站,在支付前向用户发送伪装为文档等形式的木马病毒,以篡改或窃取用户交易信息,达到骗取或直接盗取用户资金的目的。有些钓鱼网站也借助在网页挂马等手段感染用户电脑,盗取用户信息及资金。

 

在木马泛滥的今天,用户稍有疏忽就可能落入欺诈陷阱,因此不仅是端午节前后,平日里用户也要注意以下安全常识:

 

    1、网购过程中,不可轻易接收卖家发送的文件,也不要轻易访问卖家所给的付款网址。一定按照购物网站指明的购物流程进行付款操作。

    2、面对低价促销活动需要理智对待,类似“200元iphone”“3折汽油卡”这些日常难以打折的商品突然出现大幅折扣,就需警惕。以免上当受骗、发生卖家携款而逃的事情。

    3、选择一款专业杀毒软件,开启杀毒软件的主动防御和网页防马墙功能,并及时更新病毒库,以强化电脑抵御病毒危害的能力。

 

除上述三点外,用户应尽量选择访问可信网站。可信网站包括知名的大型在线购物网站和采用SSL证书服务器证书)的其他网站。大型购物网站服务正规且对网站安全管理严格,因此用户在此类网站交易风险很低;而在涉及用户信息的关键页面部署SSL证书服务器证书)的中小型网站同样值得信任。

 

SSL证书通过SSL技术可确保用户信息加密传输,防止信息在传输过程中遭到窃取或篡改,保护网银账号等隐私信息安全。通过SSL证书可快速判断网站真实身份,打击钓鱼网页——部署SSL证书的网站具有明显安全特征:地址栏以“https”开头并在右侧显示金色锁形标记,点击标记可查看服务器证书和颁发机构信息,让身份可疑的假冒网站无所遁形。

 

目前,SSL证书以全球知名的VeriSign SSL证书认证最为严格,也因此成为银行、电子商务等建设可信网站形象的首选。在中国,VeriSign与其中国合作伙伴天威诚信超过11年的合作中,为招商银行、卓越网、支付宝、团客拉等上百家知名网站提供安全服务。天威诚信iTrusChina)作为工信部批准的合法第三方电子认证服务机构,专业从事数字认证等技术和产品服务,为国内网站使用国际领先安全服务提供便利。端午佳节前夕,希望广大网友及时完善电脑安全防护,注意在线交易安全,度过一个放松舒心的假期。

分类
安全播报

银监会亲检光大银行 信息加密与反钓鱼有待加强

作为国内知名大型银行之一,光大银行自1992年成立以来,一直为客户提供全面的商业银行产品与服务,整体状况良好。正当光大银行不断拓展业务、冲刺H股发行时,却在信息安全问题上重重摔了一跤,甚至遭到投资者和客户的双重质疑。

 

前不久,权威国家信息安全测评机构受银监会委托,对光大银行网上银行和网站系统进行测试。测试中发现,光大银行网站养老金管理中心页面登录请求信息在发送至服务器的过程中采用明文传输,这将成为导致用户登录信息遭到截获的一大隐患。

 

同时银监会还发现光大网银存在被钓鱼网站攻击的风险:光大银行基金咨询页面和养老金管理中心页面存在钓鱼漏洞风险,由于网站应用程序未对用户的输入参数进行有效检验,恶意攻击者很可能借此诱骗用户访问含有恶意脚本代码的链接地址,窃取用户敏感数据信息。

 

根据该测试评估结果,银监会已要求光大银行针对相关问题制定切实可行的解决方案和整改计划,尽快实施以修复各类漏洞。

 

实际上,由于网上银行、基金销售等金融类网站与用户资金财产直接相关,金融行业对其网站监管一向严格,早在几年前就已通过《网上基金销售信息系统技术指引》等法律法规的制定,对行业相关网站的安全建设进行了明确要求并提出具体解决办法。这其中就包含网上基金销售网站、系统中信息传输应通过SSL技术达到一定加密强度,确保用户信息安全。该技术的应用同样适用于解决光大银行网站养老金管理中心页面信息明文传输、部分页面存在钓鱼漏洞风险导致的用户敏感信息易遭窃取的问题。

 

光大银行可在其基金咨询、养老金管理中心等出现上述问题的页面部署SSL证书服务器证书),通过SSL技术建立高强度加密的信息传输通道,保证用户在线提交的信息在传输过程中不被窃取或篡改。而部署SSL证书后网站显示出的地址栏“https”开头、金色锁形标记等无法被钓鱼网站仿冒的安全特征,可帮助用户快速识别出那些确保信息加密传输的可信网站

 

目前,国内许多金融类网站为获得切实有效的信息安全防护,通常会选用VeriSign扩展验证EV SSL证书。VeriSign作为全球最知名的SSL证书品牌,严格的认证流程与专业技术支持受到世界百强企业和大型商业银行及电子商务网站的认可。VeriSign扩展验证EV SSL证书除提供信息高强度加密传输外,独有的绿色地址栏与VeriSign免费提供的恶意软件扫描、信任签章功能为访问者提供了更为醒目的安全提示与直观的网站真实身份验证,有效遏制钓鱼欺诈的发生。

 

不仅如此,VeriSign在中国的首要合作伙伴天威诚信iTrusChina)作为国内权威认证机构,与VeriSign愈11年的合作中,已为招商银行、中国农业银行、华夏基金、广发基金等国内上百家知名网站提供了安全服务。期间依靠丰富经验打造出的本土化专业服务团队,为每一位合作者提供着及时专业的服务与支持。

分类
知识中心

SSL证书意义及应用

反击欺诈钓鱼网站SSL证书意义何在

 

截至2009年6月,中国网民规模达到3.38亿,较2008年底增长13.4%。同期,中国使用网络购物的网民规模达到8788万,使用网上支付的网民规模达到7571万人,均超过网民增速。但与此同时,只有不到三成的网民认为在网上交易是安全的,不到四成的网民在网上注册时愿意填写真实资料。不断发生的钓鱼欺诈网站,各类网上安全事件,让网民产生对于在线交易的不信任,必然影响在线交易行为。

 

SSL证书作为一个安全产品,推出已经有十余年的历史,SSL证书可以在客户端浏览器和Web服务器之间建立起一条SSL安全加密通道。此时,用户在线输入的信用卡号、交易密码等机密信息在网络传输过程中将不会被查看、窃取和修改。

 

    SSL证书颁发时,证书颁发机构通过域名、企业身份验证等方式面向拥有真实合法身份的安全网站颁发服务器证书。当网民登录网站时不但可以放心的自己输入个人信息,同时也可以确定网站的真实身份,避免误入钓鱼欺诈网站的虎口。

 

国内SSL证书应用情况如何

 

    经过多年发展,尤其是近几年网上支付及网上交易业务的日趋频繁,国内SSL证书市场已拥有稳定的客户群体,VeriSign品牌证书已经拥有较高的品牌认知度。考虑到安全因素,国内绝大多数知名网上银行、基金交易平台、网上购物商城等均部署了高端VeriSign SSL证书以提升网站安全性。随着最为先进的扩展验证EV SSL证书的推出,天威诚信正协助高端客户升级SSL证书产品,进一步提升网站安全可信度。

 

为什么优先选择高端品牌SSL证书

 

对于绝大多数网民来讲,安全高效的互联网对于客户的信心保障远胜过铺天盖地的广告宣传。而低端SSL服务器证书由于无法与绝大多数浏览器兼容,当客户访问网站时会自动弹出安全警告或直接禁止访问,这一过程将极大的降低客户对于网站安全可靠性的信任,从而造成客户流失。同时低端证书也无法提供128位的加密强度,在安全性上给客户及企业造成重大安全隐患。尤其是一些10分钟快速颁发的低端SSL证书产品,对于金融机构、大型购物网站来说,使用该类低端证书将严重损害公司的品牌价值,因为该类证书缺少必要的网站真实身份验证,客户将无法判断网站的真实性,误以为已经登录安全站点。

 

    高端SSl证书,如VeriSign从1996年便开始于浏览器厂商展开合作,其证书可与绝大多数主流浏览器完全兼容,并且高安全的加密技术及严格的身份验证机制可以确保部署SSL证书的网站安全可靠。VeriSign最新的VeriSign扩展验证(EV)SSL证书更可以在浏览中通过绿色地址栏进行展示,客户可以随时判断网站安全可信度。

 

如何顺利获得安全可靠的SSL证书

    总部位于美国加州山景城的VeriSign在多个国家设有分支办事机构,并与当地合作伙伴建立良好的服务合作关系。在中国大陆,天威诚信数字认证中心(iTrusChina)作为VeriSign官方合作伙伴可提供旗下各类SSL证书产品,承担本地区客户服务工作。天威诚信在北京、上海、深圳均建有专业的服务团队,可提供本地化技术支持。长达10年的稳定合作关系,让天威诚信更加了解国内客户需求状况,更有效的提供专业的帮助。

分类
知识中心

EVSSl绿色上网通道,拒绝恶意忽悠

    网络骗子通过制作外形逼真的网页假冒金融站点、知名购物网站、游戏网站事件屡见不鲜,更有甚者公然仿冒公益网站,打着慈善的幌子开始招摇撞骗,人民的爱心惨遭亵渎。骗子真可谓机关算尽,他们正克隆一切可以带来“利益”的网页,账号、密码等一切有价值的个人信息。来自反钓鱼工作组(APWG)的报告显示钓鱼网站有增无减,面对此景,无辜的网民又能奈何。在一个网上商贸蓬勃发展,同时网络诚信体系相对缺失的中国,我们怎么才能拒绝骗子们的恶意忽悠。

 

擦亮双眼,借色辨真假

 

    网民切忌不要只凭外观相信一个网站,因为仿冒一个站点的外观对于网络骗子来讲简直轻而易举,尽管有些网站上留有详细的联系方式,但这一切均有可能是骗子精心不下的秘局。但对于网民来讲不看网页,我们怎么判断一个网站的真假呢。可以说是由于国内缺少对于网站的真实性和安全性的保护,造成了国内钓鱼站点等安全事件的泛滥,我们的红盾标志、各种网站诚信标志仅仅从网站身份角度解决了部分问题,由于缺乏技术保障造成“诚信标志”事件层出不穷。网民想轻松识别网站真假依然困难重重。

 

    相对于国内略显单一的安全响应措施,国际上最为普遍的做法是依托安全厂商间的技术合作,其中最为重要的是第三方数字认证中心,如全球最值得信任的网络基础架构供应商—VeriSign,为了帮助网站赢得网民信任,他们为网站颁布一个类似“身份证明”的SSL服务器证书,不要小看该证书,它可是大有来头,全球范围有超过1百万台服务器部署了VeriSign的服务器证书。数字认证中心通过严格审核企业真实信息、验证网站域名才可以面向网站颁发“身份证明”。服务器证书作为一项安全技术手段,自诞生之日起10年来,不但可以标识网站的真实身份,更可通过SSL安全链接协议确保客户与网站间数据传输的安全。SSL服务器证书既是一个网站身份证明,更是一个可靠的安全技术。目前,我们在国内知名的购物网站和金融站点上均可以看到他的身影。而他的最新一代扩展验证EV SSL证书凭借着其独特本领横空出世,我们不仅会看到传统金色小锁的标志,更可以在IE7.0、 Firefox3.0、Opera9.5等最新一代浏览器上看到扩展验证EV SSL证书独特的变化,通过严格身份验证的网站将获得绿色地址栏的待遇,网民只要在交易时观察地址栏颜色变化就可以判断网站的安全与否。浏览器厂商与数字认证中心的联手,正让假冒网站无处躲藏。

 EVSSl绿色上网通道,拒绝恶意忽悠-1

看清标志,网民商户齐参与

 

    为了保护我们自己的权利,网民曾想过各种方法,打开钱夹为电脑购置最新的杀毒软件,修补所有系统漏洞,网民为自己的电脑已做了许多,但信息一旦在互联网上公开传输,没有SSL服务器证书的帮助面对曾出不穷的钓鱼站点,我们隐私信息依然难以保全。究其原因,因为任何保护均是双方向的,网民一方面要善于武装自己,另一方面商家同样要帮助为网民创造安全的交易环境。对于一个负责人的商家来说,客户的登陆账号及个人隐私信息的保护是最为重要的,在关键页面配置相应的安全保护技术并对客户以安全提示是必须的。其实一个与扩展验证EV SSL证书产品配合使用的站点签章(如下图所示)就可以很好的提示网民网站的安全可信度,网民通过点击标志验证网站真实身份,最为重要的是该标志无法从技术上进行仿造。也正因为如此,仅VeriSign安全标识每天便接受消费者超过1.5亿次的浏览。

 EVSSl绿色上网通道,拒绝恶意忽悠-2

数字认证机构,克尽职守

 

    SSL服务器证书在发展过程中,同国外市场一样也经历过着各种冲击,一些数字认证中心为争夺市场,发放一些价低质次的证书产品,令国内本就不太安全的市场再起波澜。而扩展验证EV SSL证书作为保护网民利益和网站信誉的一项最新安全手段,数字认证中心不能再有丝毫马虎。天威诚信数字认证中心作为VeriSign在国内的首要合作伙伴自从扩展验证EV SSL证书正式在国内受理颁发后,经常要帮助客户解答各种申请扩展验证EV SSL证书过程中的疑问,相对严格的网站身份鉴别环节,往往得不到一些网站运营商的理解。但天威诚信和VeriSign的共同职责便是为国内用户营造一个可信的网络环境,帮助网站赢得并留住客户,一张安全的“网站身份证”对网民的帮助永远胜于一个“劣质网站安全证明”对于客户信心的打击。

分类
知识中心

数字证书三项基本功能

    数字证书,是由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。

    从证书的用途来看,数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名,以保证信息完整性和行为的不可抵赖;加密证书主要用于对用户传送信息进行加密,以保证信息的机密性。以下对数字证书的基本功能进行原理性描述。

 

1、  身份认证

 

    在各应用系统中,常常需要完成对使用者的身份认证,以确定谁在使用系统,可以赋予使用者何种操作权限。身份认证技术发展至今已经有了一套成熟的技术体系,其中,利用数字证书完成身份认证是其中最安全有效的一种技术手段。

    利用数字证书完成身份认证,被认证方(甲)必须先到相关数字证书运营机构申请数字证书,然后才能向应用系统认证方(乙)提交证书,完成身份认证。

通常,使用数字证书的身份认证流程如下图所示:

 数字证书三项基本功能-1

2、  数字签名

 

    数字签名是数字证书的重要应用功能之一,所谓数字签名是指证书用户(甲)用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者(乙)使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要,并对收到的原始数据采用相同的杂凑算法计算其消息摘要,将二者进行对比,即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护,和传送数据行为不可抵赖性的保护。

使用数字证书完成数字签名功能,需要向相关数字证书运营机构申请具备数字签名功能的数字证书,然后才能在业务过程中使用数字证书的签名功能。

 

    通常,使用数字证书的签名和验证数字证书签名的流程如图所示:

 数字证书三项基本功能-2

    签名发送方(甲)对需要发送的明文使用杂凑算法,计算摘要;

    甲使用其签名私钥对摘要进行加密,得到密文;

    甲将密文、明文和签名证书发送给签名验证方乙;

    乙一方面将甲发送的密文通过甲的签名证书解密得到摘要,另一方面将明文采用相同的杂凑算法计算出摘要;

    乙对比两个摘要,如果相同,则可以确认明文在传输过程中没有被更改,并且信息是由证书所申明身份的实体发送的。

    如果需要确认甲的身份是否和证书所申明的身份一致,则需要执行身份认证过程,如前一节所述。

 

    在上述流程中,签名私钥配合杂凑算法的使用,可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证书所申明的身份的行为,提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认,需要通过身份认证过程明确。

 

 

 

3、数字信封

 

   数字信封是数字证书另一个重要应用功能,其功效类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读“信件”的内容。

    数字信封中采用了对称密码机制和公钥密码机制。信息发送者(甲)首先利用随机产生的对称密钥对信息进行加密,再利用接收方(乙)的公钥加密对称密钥,被公钥加密后的对称密钥被称之为数字信封。在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密钥,才能利用对称密钥解密所得到的信息。通过数字信封可以指定数据接收者,并保证数据传递过程的机密性。

    使用数字证书完成数字信封功能,需要向相关数字证书运营机构申请具备加密功能的数字证书,然后才能在业务过程中使用数字证书的数字信封功能。

    通常,数字信封和数字信封拆解的流程如图所示:

 数字证书三项基本功能-3

    信息发送方(甲)生成对称密钥;

    甲使用对称密钥对需要发送的信息执行加密,得到密文;

    甲使用信息接收方(乙)的加密证书中的公钥,加密对称密钥,得到数字信封;

    甲将密文和数字信封发送给乙;

    乙使用自己的加密私钥拆解数字信封,得到对称密钥;

    乙使用对称密钥解密密文,得到明文。

 

    在上述流程中,信息发送方(甲)对用于加密明文信息的对称密钥使用接收方(乙)的加密证书进行加密得到数字信封,利用私钥的唯一性保证只有拥有对应私钥的乙才能拆解数字信封,从而阅读明文信息。据此,甲可以确认只有乙才能阅读信息,乙可以确认信息在传递过程中保持机密。

 

分类
知识中心

解读VeriSign证书产品ou字段信息问题

    VeriSign数字证书产品在全球范围内进行销售,需要由一个完整可靠的体系营销体系进行支撑,确保签发出去的每一张数字证书安全可靠,进而保护VeriSign在全球良好可信品牌形象。在国内VeriSign数字证书业务的首席合作伙伴为天威诚信数字认证中心,天威诚信2000年成立之初便与VeriSign开展数字证书合作业务,多年的合作过程中双方业务关系发展良好。作为国际法律认可的合法第三方数字认证机构,天威诚信在业内拥有良好的声誉,可以确保数字证书安全可靠的签发。

 

    近来,国内非VeriSign正规授权合作机构以“VeriSign SSL证书(国际版)与国内版数字证书”的概念误导消费者,并以天威诚信销售的为国内版数字证书诋毁VeriSign的品牌价值。为此作为VeiSign国内授权服务商天威诚信就以下该问题进行说明:

 

所谓“国内版”“国际版”证书OU字段

 

 VeriSign美国当地销售的证书中OU字段会显示:

 

OU= Terms of use at www.verisign.com/rpa (c)

 

VeriSign在中国大陆销售的产品OU字段会显示:

 

    OU = Member, VeriSign Trust Network

    OU = Authenticated by iTrusChina

    OU = Terms of use at www.itrus.com.cn/rpa (c) 04

 

关于证书“OU字段”说明

 

    究其原因这是因为各地区法律法规的不同,VeriSign签发的数字证书在各地销售需要保证产品符合当地的法律法规,并根据与当地合作伙伴根据当地实际情况,制定相应的证书签发鉴证流程。目前天威诚信签发的VeiSign数字证书均严格执行双方共同协商的鉴证规则,VeriSign签证团队与天威诚信本地鉴证团队联合签发的证书可以保证您可以最高效的得到优质的证书服务。

 

证书服务机构对于证书的实际影响

 

    实际上ou字段对于VeiriSign数字证书在功能和实际使用上没有任何实质性影响,该字段只是VeriSign为了区别不同地区签发证书的一个销售策略,国内一些非VeriSign正规代理机构以该问题误导消费者以扭曲产品价值,天威诚信对此深表遗憾。数字证书业务作为一个可持续服务,证书颁发机构的资质、服务水平实际上对于证书后期维护有相当大的影响。一个非正规的代理机构很可能因法律法规及自身经营实力的限制,让您证书面临服务持续响应的问题。天威诚信作为VeriSign在中国大陆的首席合作伙伴正式凭借良好产品及服务体系,已成为国内该领域领先的服务运营商,我们在多年的服务过程中已赢得众多如中国工商银行、招商银行等知名金融机构,淘宝等知名电子商务网站的青睐。随着天威诚信与VeriSign合作的深入,我们将以更加职业的态度和专业的水准为国内客户提供安全数字认证服务。

分类
知识中心

五个问题让您了解安全技术前沿

1、 绿色地址栏扩展验证EV SSL证书价值何在

 

    VeriSign 作为SSL证书技术的领导者,最先推动扩展验证EV SSL证书技术的发展。扩展验证EV SSL证书作为技术最为先进的SSL证书于2008年正式进入中国市场,天威诚信率先为招商银行、中信银行等网站完成了SSL证书升级工作,成为国内第一家能够颁发扩展验证EV SSL证书的数字认证中心。

 

    扩展验证EV SSL证书作为最新一代的SSL证书产品,其针对目标便是应对大规模钓鱼欺诈网站。当网民登陆配置了扩展验证EV SSL证书的网页时,浏览器地址栏将自动变为绿色,提示网站经过了高级别身份验证,地址栏上还会滚动出现网站身份信息及数字证书颁发机构的名称,帮助网民直观的辨别网站真伪,有效降低钓鱼欺诈网站对合法公司网站的安全威胁,提升网站的可信形象。该类证书尤其适合金融机构、支付平台、购物平台、知名企业等客户访问量大,网络交易频繁的网站。

 

2、 为什么要在网站上主动放置动态站点签章标志

 

    网站www.ABCbank.com 和 www.bank-ABC.com 都申请了 SSL 证书,哪家才是真正的 ABC bank?这就是访问者,不但观察 “金色安全锁”标记,还要点击该标志查看网站的具体身份信息,因为欺诈钓鱼网站也可以申请到只验证域名的SSL证书,同样显示“锁型”标记。而对于购买高端SSL证书的客户,最好的办法就是尽可能的展示该公司的SSL证书。VeriSign信任签章VeriSign Trust Seal)作为高端品牌证书品牌标志,拥有庞大的用户群,支持13种语言,每天的浏览人次数超过2.5亿次,已经成为全球范围内最为可信的安全站点标志。创新的签章可以让客户随时点击查看网站的具体身份信息,且该标志不会被假冒或钓鱼网站非法使用。尤其是非扩展验证EV SSL证书客户,将该标志放在网站上,可以时刻提醒在线用户,所有在线提交的数据信息正在受到高强度的加密传输保护,能最大限度上提升网站可信度。该标志提供多种尺寸选择,VeriSign证书客户可免费在线安装。

 

3、 为什么要选择高加密级别的SSL证书

 

    随着技术的进步,SSL证书经过多年的演变,安全加密级别也不断提高。举例来说,40位强度的SSL证书暴力破解耗费4小时,而对于128位证书破解需要一万亿年以上。为了保证客户每次登陆网站均可获得128位强制加密保护,VeriSign在业内最先推出了SGC强制加密技术,力求最大很大程度上减少隐私信息外泄。经过多年发展,在全球市场上VeriSign 128位强制型证书拥有庞大的用户群。

 

4、 高端SSL证书为什么必须经过身份验证

 

    申请VeriSign 品牌SSL证书全部需要进行企业身份验证,VeriSign及其服务商通过对企业资质及域名所有权等方面的查询,保障签发出去的每一张证书均可以代表真实的企业,这既是对证书品质的保证,也是提升部署SSL证书网站可信度的有效方法。而欺诈钓鱼网站,由于根本无法提供网站所有权的证明文件,因此也就无从获取VeriSign品牌证书。至今为止,VeriSign SSL证书无一出现身份验证失误而造成的签发错误。

 

5、 SSL证书为什么不能长期有效

 

    证书签发机构无法只通过一次身份验证便保证企业十几年或几十年业务真实性,这就如同企业经营执照也需要年检一样,证书机构也要定期通过审核企业相关资质,从而确保签发出去的SSL证书安全有效。同时这也是出于技术安全的考虑,例如一张有效期2年SSL证书,到期后会重新签发新证书,而每张证书的密钥也是不尽相同的,这也降低了由于保管不善密钥丢失的风险。

分类
常见问题

SSL证书常见问题解答

1、 SSL证书是否会影响到速度和流量

 

    因为要为每一个SSL连接实现加密和解密,所以会增加服务器CPU的处理负担,但一般不会影响太大。考虑到对于客户隐私安全的保护,根据相关调查显示,在重要页面部署知名品牌的SSL证书,不但不会流失客户,反而有效促进客户成交。

 

    为了更好的利用SSL证书技术,建议可注意以下几点,缓解服务器负担:

 

 (1)   仅为需要加密的页面使用SSL,如登录或需要提交客户数据的页面,如https://www.domaincom/login.asp,不要把所有页面都使用https://,特别是访问量最大的首页;首页和其他页面可以通过部署VeriSign动态签章标志,提示客户此网站安全可信。

 

 (2)   尽量不要在使用了VeriSignSSL证书的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。并通过文字或VeriSign动态签章标志提示消费者,页面处于VeriSign证书安全保护状态。

 

    如果网站交易量或访问量异常庞大,天威诚信建议客户可购买SSL加速卡来专门负责SSL加解密工作,这样可完全不增加服务器任何负担。此外,增加服务器也是一个不错的选择。

 

2、 SSL证书做双向认证是否需要安装第三方的插件

 

    常用的webserver 中间件都会有支持客户端认证的功能,配置SSL证书只需要修改配置文件便可以启用客户认证的功能,而不需要安装第三方的插件。

 

3、 托管服务器,是否可以安装SSL证书

 

    99%以上的服务器和客户端浏览器都是支持SSL。虚拟主机一般也可以安装应用服务器证书,但具体能否安装服务器证书还要看服务提供商是否提供该服务。一般独享的主机服务提供商会给予完全管理权限,可以直接安装服务器证书。如果是多人共享的主机,通常也可以通过和服务提供商沟通,购买独立IP,或购买SSL许可的方式来安装SSL证书。

 

4、 如果服务器换了IP地址,原来的SSL证书是否还能使用?

 

    一般SSL证书都是绑定域名的,服务器更换IP地址不会有任何影响。只要域名不变,原来的SSL证书当然照样可以用,重新解析到新的IP地址即可。但如果您申请的SSL证书是为IP地址申请的,则服务器换了IP地址,原来的SSL证书就不能用了。所以,要根据业务情况需要决定是为您的网站域名还是IP地址来申请证书。

 

5、 如果改变了硬件、软件(web server),SSL证书是否需要重新申请?

 

    SSL服务器证书与硬件无关,如果系统和web server版本相同,也不会有任何影响。但如果改变了服务器软件,证书就要重新申请。因为SSL服务器证书不可以更换平台使用。

 

6、 IIS上如何在同一个站点上请求多张证书,或更新、更换证书

 

    微软IIS 6.0中,每一个网站只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,原始请求(和私钥)将被覆盖。所以在正式提交CSR请求后,请不要在原有站点上对服务器做证书方面的配置。

 

    如果要为同一个站点请求多张证书,或更新、更换证书,可以先创建一个临时站点,在临时站点上做证书的请求操作。在证书正确安装到临时站点上之后,则可以删除该临时站点,并在正式的站点上用“指派现有证书”或“替换当前站点证书”的方式来切换证书的应用。

分类
知识中心

高端品牌SSL证书优势何在?

    高端品牌SSL证书的显著特点就是SSL证书的可信度和技术领先性。因为对于网民来讲,输入一个网址很可能就是几秒钟的事情,也就是说如果他对于网站失去信心,根本不需要任何成本,便可转换到另外一个网站上完成交易。对于网站来说,每一名流失的客户就意味着损失,这些损失往往需要更多的广告投入,去重新吸引新的客户关注。

 

高端品牌证书提升网站可信度

 

    高端品牌SSL证书的真正意义就在于他对于网站价值的提升。以VeriSign威瑞信)品牌证书为例,自诞生之日起,该品牌证书从未签发过未经身份验证的低端品牌证书,从未错发一张证书。经过10多年的发展,VeriSign证书已广为网民熟知,在145各国家和地区签发了超过百万张的SSL证书。其VeriSign 站点签章标志(VeriSign Secured® Seal)早已成为全球范围内信誉度最高的安全站点标志,每天的浏览次数超过1.5亿次。正是因为其在反欺诈钓鱼网站领域的显著作用,超过93%的财富500强企业,97%的世界100大银行,以及全球50家最大电子商务网站中的47家共同选择VeriSign SSL证书保护网站的安全。

 

高端品牌证书技术优势

 

    作为高端品牌证书,在技术上始终要处于前沿地位,并持续关注客户对于SSL证书的需求。随着技术的进步,对于加密强度的要求日益提升。以前占据市场的低端加密产品,正逐步丧失其市场优势。举例来说,一个40位强度的SSL证书,现在暴力破解仅耗时4小时,而破解VeriSign推出的拥有强制加密技术(SGC)的SSL证书则需要一万亿年以上。

    为了应对日益猖獗的欺诈钓鱼网站问题,2007年VeriSign推出全新一代拥有绿色地址栏的VeriSign扩展验证EV SSL证书。当网民登陆配置了VeriSign扩展验证EV SSL证书的网页时,浏览器地址栏将自动变为绿色,提示网站经过了高级别身份验证,地址栏上滚动出现网站身份信息及数字证书颁发机构的名称,帮助网民直观的辨别网站真伪。VeriSign在SSL证书领域的不断革新,最终确立了VeriSign 在全球SSL证书市场占据绝对领导地位。

分类
知识中心

数字证书颁发机构 (CA) 在电子商务中扮演的角色

   数字证书颁发机构 (CA) 在互联网安全生态链中扮演一个非常重要的角色,因为 CA 充当可信任的第三方在验证申请者的真实身份后才颁发SSL证书。 CA 需要有非常可靠的公钥基础设施 (PKI) 、身份验证专业人才和流程、客户支持、安全评估、证书数据库管理等等,这些系统还要支持不同的身份验证应用需要 ( 如服务器验证、客户端验证和软件代码验证等等 ) 。

 

    可以说, CA 是保护最终用户信息安全的第一道关,因为 CA  在颁发证书之前对申请证书的网站进行了身份验证,而如果 CA 没有进行严格的身份验证就会给互联网用户带来安全威胁,主要包括:

 

    (1) 如果没有验证申请单位的真实身份或没有检查申请单位是否有权使用此域名,则恶意假冒者有可能使用 SSL 证书来欺骗用户此网站就是 SSL 证书中所指的单位的真实网站。

    (2) 如果不验证申请单位是否存在 ( 不验证营业执照 ) ,则网站上所声称的公司名称可能就是一个实际上不存在的公司 ( 即:没有合法注册的公司 ) ;

    (3) 如果不验证申请人的身份和验证是否授权代表某机构申请证书,则恶意假冒者极有可能使用一个被假冒方的营业执照来申请证书,以达到假冒和欺诈的目的。

 

目前,证书颁发机构一般在只验证域名所有权的 SSL 证书 ( 超快 SSL) 中不显示单位名称,以免被非法利用,而为了防止第 (3) 种情况,一般都要求除了提供营业执照外,还需要提供第三方证明文件和电话确认。

 

    但由于目前的各个 CA 的身份验证过程都是不一样的,严格程度也不一样,所以,全球领先的各大数字证书颁发机构才发起制定了一个全球统一的、更加严格的身份验证标准来颁发扩展验证EV SSL证书,从而为最终用户的信息安全严格把好第一道关。并联合各大浏览器开发商给予扩展验证EV SSL证书不同于其他 SSL 证书的显示方式 ( 地址栏变绿 ) ,让最终用户可以非常直观地知道正在访问的网站是通过权威的数字证书颁发机构严格身份验证的真实存在的经营实体,从而放心地从事在线交易。根据09年最新的Netcraft结果,全球领先网站共部署13,000余个扩展验证EV SSL证书,其中,超过10,000个是由VeriSign(威瑞信)颁发的。经验证,VeriSign扩展验证EV SSL证书可以有效降低网上订单的放弃率,提高成交率。通过使用VeriSign扩展验证EV SSL证书,交易量提高可达27%,网上收入提高50%。另外,电子商务网站Virtual Sheet Music在采用扩展验证EV SSL证书后,销售量提高了13%,效果十分显著。更为可喜的是,目前VeriSign已与天威诚信数字认证中心(iTrusChina)携手推进国际上最为先进的绿色地址栏扩展验证EV SSL证书在国内的发展,共同抵御欺诈钓鱼网站对网民的直接损害。