标签：企业

SSL和TLS

文章作者 mzwame
发布日期 2023年2月23日

TLS（传输层安全性）是用于身份验证和加密的 SSL（安全套接字层）协议的后继者。目前，TLS 1.3 被认为是最安全的，与其前身相比，它在 RFC 8446 中定义。SSL和TLS版本1.2由于这些协议（如ROBOT，LogJam和WeakHD）的漏洞和攻击而被弃用。这些攻击利用了在协商阶段客户端和服务器之间发生密钥交换的方式。随着TLS 1.2的引入，这些攻击得到了缓解，但是仍然容易受到降级攻击，如POODLE。这些漏洞已在 TLS 1.3 中得到缓解，TLS 1.3保护了客户端-服务器协商期间的握手，从而缓解了这些漏洞。

SSL和TLS是用于加密网络设备之间通信通道的协议。SSL和TLS用于在数字证书的帮助下绑定系统，用户，网站等的身份。这些数字证书由内部受信任的证书颁发机构或公共证书颁发机构颁发。内部证书在企业内的网络设备之间受信任，而公共证书受全球网络设备信任。这些证书保存最终实体的身份，并包含一个由一对公钥和私钥组成的加密密钥对。公钥与证书一起分发，而私钥由实体保护。使用这些密钥对网络通道进行加密，以确保这些网络设备之间通信的数据不会被篡改或更改。

但是，在所有这些安全措施到位的情况下，始终存在漏洞，技术和流程差距，使黑客能够利用和窃取数据。

标签 SSL, 企业, 数字证书, 黑客

知识中心

数字时代，SSL证书如何保证信息和数据的安全？

文章作者 mzwame
发布日期 2023年2月15日

数字技术不仅是一种生产力工具，而且极大地改变着人们的工作和生活方式。然而，在各领域数字化进程不断深入的同时，网络诈骗、信息泄露、钓鱼攻击等违法犯罪活动仍然严重影响着互联网经济的正常发展。企业网站，尤其是涉及用户敏感信息和金融交易的网站，时常面临数据泄露和网络威胁。潜在的攻击风险。

用户信息和数据安全关系到企业未来的发展。同时，维护网站信息安全也是企业获得客户信任进而达成交易合作的必要条件之一。《中华人民共和国网络安全法》第二十一条规定，企业需要制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

保护网站信息和数据的方法有很多，其中为网站安装SSL证书仍然是目前世界上最有效的网络数据安全保护措施之一。

SSL 代表安全套接字协议层。它位于HTTP协议层和TCP协议层之间。它用于在用户和服务器之间建立加密通信。除向指定服务器发送信息外，任何其他第三方均无法读取该信息，从而保证了传输信息的安全性。

部署SSL证书后，网站地址栏会显示HTTPS开头和一个绿色的锁符号。用户可以通过查看证书信息来确认网站的真实性，避免个人信息被钓鱼网站窃取甚至诈骗。在安全和用户体验方面，HTTPS站点更安全优质，更有利于用户识别。

值得一提的是，网站采用安全高速的HTTPS协议，可以提高网页的加载速度，使文本、图片、多媒体等加载速度更快，实现低延迟和高吞吐量，优化用户体验，并且能够提高网站的SEO排名，也有利于提高企业的获客率和销售业绩，这对于处于数字化转型过程中的企业尤为重要。

在数字时代，社交沟通、工作办公、休闲购物、娱乐游戏、投资理财、医疗保健等领域都需要深度连接互联网，通过互联网进行交易和数据分析。这已经成为一种习惯。 SSL证书通过加密算法和严格的认证机制帮助企业网站保护用户隐私和敏感数据，构筑网络安全防线，为企业数字化转型和安全合规发展保驾护航。

天威诚信是国内具有公信力的网络安全认证服务商。凭借服务全行业95%以上大客户的经验，长期为国内企业提供DigiCert、Entrust、GlobalSign、vTrus、Geotrust等全球可信的SSL证书及证书全生命周期管理服务，以完善的安全解决方案和可靠的CA运行机制保护网站信息安全，维护数字世界秩序。

标签 CA, HTTPS, SSL, 企业, 天威, 天威诚信, 网络安全, 金融, 钓鱼

公司新闻

天威诚信提供双算法SSL证书最佳解决方案

文章作者 mzwame
发布日期 2023年2月7日

SSL证书是提升网站服务器防护能力的重要措施，也是在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

伴随着国际算法SSL证书的市场增长，国家层面也在持续推进国密算法应用建设，相继颁布了一系列法律法规。尤其是2020年《中华人民共和国密码法》的施行，标志着我国在密码的应用和管理等方面有了统一针对性的法律保障，也意味着SSL证书国产化成为必然趋势。

但在实际应用中，金融、政务、电商等领域企业在部署SSL证书时面临多重考量因素。既要能达到数据审核不出境、数据安全受保障、密码算法合规定，还能做到与主流应用/浏览器兼容，以保障业务的连续性。

参考遵循国家密码管理及信创产品等多项规范标准，依据客户实际需求，天威诚信基于坚实的密码技术和数字证书服务经验，在推进国产密码算法应用的同时，适时推出国产/国际双算法证书自适应解决方案，以满足企业数据传输加密与国密算法合规等要求。

双算法证书由一张国际算法证书和一张国密算法证书组成，可兼顾国密合规性和全球通用性。在客户端环境支持国产密码算法时，自动选择国产密码算法SSL证书；在客户端环境仅支持国际算法时，自动选择国际算法SSL证书。通过国产密码算法与国际密码算法无缝切换应用，满足企业在不同场景、条件下的应用。

天威诚信是国内可信网络安全认证服务商，同时也是制定国密SM算法服务器证书体系标准课题研究的牵头单位之一。在探索国密算法应用过程中，天威诚信自主建设的vTrus系列SSL证书已广泛应用于政府、电信、金融、能源等重点行业和关键领域，帮助企业实现轻量化国密改造。

截至目前，天威诚信vTrus国密算法自主根和国家根下的二级根已通过奇安信、麒麟操作系统、统信操作系统联合认证，并实现了在360、红莲花、赢达信、零信等主流国产浏览器的预埋，有力推动了国密算法生态建设。

在国家的大力支持下，市场上将会出现越来越多可用、好用的国产化产品和应用，天威诚信也将在夯实现有业务的基础上，携手更多业内机构，积极推进国密算法应用落地，提供满足不同用户需求的SSL证书及证书全生命周期管理服务。

标签 360, SSL, 企业, 天威, 天威诚信, 数字证书, 服务器证书, 网络安全, 金融

公司新闻

代码签名证书私钥保护升级措施延期至2023年6月1日

文章作者 mzwame
发布日期 2022年12月15日

据CA/B论坛最新消息，原定于2022年11月15日起执行的代码签名证书私钥保护升级措施，将延期至2023年6月1日，期间用户可在天威诚信继续按照现有规则申请和使用代码签名证书。

此次变更旨在加强代码签名证书私钥保护升级对代码签名证书私钥的保护。按CA/B论坛规定，2023年6月1日以后，普通（OV）代码签名证书密钥对必须在达到FIPS 140-2 Level2或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。

　　具体变更详情如下：

变更前：对于普通代码签名证书，天威诚信获取到用户的CSR后，将其提交至CA进行数字签名后生成证书，再通过邮件的方式将证书发送给用户，无需硬件介质。

变更后：自2023年6月1日起，购买普通代码签名证书将和EV代码签名证书一样，证书由天威诚信签发并存储在预配置的USB Key上，再通过邮寄的方式将USB Key寄送给用户。

需要注意的是，此次升级只针对普通代码签名证书。EV代码签名证书及2023年6月1日前签发的普通代码签名证书不受影响。

同时，已经使用代码签名证书或EV代码签名证书签名且加盖时间戳的软件不受影响并长期有效。

代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告，保证代码完整性和不被恶意篡改，使软件开发者信息对下载用户公开可见，从而建立良好的软件品牌信誉度。

然而近年来由私钥泄漏导致的网络安全事件频发，引起了微软等国际巨头的充分重视。可以预见的是，代码签名私钥存储新规开始执行后，OV代码签名证书也将从“软证书”变为“硬证书”，更有助于降低私钥泄漏的可能性。

为避免此次代码签名证书私钥保护升级带来的不便，天威诚信在此提醒，请有需要的用户提前做好计划和工作安排，天威诚信可为用户提供各主流厂商的代码签名证书以及相应的USBkey寄发和更换服务。

依托22年为全行业95%以上大客户提供可靠证书服务的经验，天威诚信在证书审核、签发以及全生命周期自主管理服务方面不断创新，自主研发了更加贴合国内用户使用的vTrus证书品牌，以及更便于用户下单和进行证书管理的证书智能管理平台，持续保障用户网站信息安全，护航企业业务线上化发展。

标签 CA, EV代码签名证书, 代码签名证书, 企业, 天威, 天威诚信, 数字签名, 普通代码签名证书, 网络安全

公司新闻

天威诚信vTrus正式加入Adobe全球信任证书列表

文章作者 mzwame
发布日期 2022年12月12日

日前，接Adobe通知，天威诚信vTrus文档签名证书已通过审核，顺利成为Adobe Approved Trust List（Adobe批准的信任列表）成员，这意味vTrus可为Adobe用户提供更高兼容性、稳定性的服务，同时也意味着vTrus在证书全球可信体系中取得进一步市场优势。

随着线上业务的发展，企业采用Adobe公司的PDF文件实现无纸化办公的情况越来越普遍。为保证PDF文件内容及其在传输过程中的真实可信，Adobe公司于2005年推出了认证文档服务计划，并制定了严格的审核政策及技术标准。

通过Adobe审核后，可直接预置各受信任的CA根证书，使PDF等电子文档具有合法身份识别和不可篡改的特性。

vTrus是天威诚信建设的国产自主根证书品牌，并通过了WebTrust国际审计认证，以国际标准化的运营管理和服务水平，致力于为客户提供权威可信的认证产品与服务。

成为Adobe Approved Trust List成员后，vTrus可为个人或企业颁发PDF文档签名证书，证书持有人可向用户证实签名人的真实身份以及在工作流程中电子文档或电子合同的确认签名，默认被Adobe acrobat Reader各版本所信任，不需要安装任何插件或第三方软件。

vTrus文档签名证书可以实现公司PDF文件流转过程中的唯一性、真实性和防抵赖，有效帮助企业保护其知识产权和机密信息，而且由于vTrus业已通过WebTrust国际审计认证，从技术标准和运营规范等方面都已达到国际标准，更可以使签名具有法律约束力。

除验证文件签名和内容的真实性外，vTrus证书还可为客户提供自主且高可用性的SSL证书产品及服务，包含DV、OV、EV三种类型，支持RSA/国密SM2算法，证书覆盖单域名、多域名、通配符、多域名通配符等多种类型，满足不同客户的需求，保障网站信息安全。

标签 CA, SSL, 企业, 信任列表, 天威, 天威诚信

公司新闻

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖

文章作者 mzwame
发布日期 2022年12月8日

日前，全球领先的数字信任提供商DigiCert在马来西亚吉隆坡君悦酒店召开“2022年亚太区合作伙伴会议”。来自美国、日本、澳大利亚、韩国等多国DigiCert高管和合作伙伴齐聚一堂，共创数字信任与网络安全新生态。

作为DigiCert中国市场坚实可靠的合作伙伴，天威诚信受邀出席会议，并揽获2022年度最佳合作伙伴、年度卓越销售业绩奖等三项重量级大奖。

年度最佳合作伙伴是DigiCert战略合作模式中的最高资质，天威诚信是亚太地区该荣誉的唯一获得者，充分展现了天威诚信携手DigiCert在证书服务方面的突出优势和特殊贡献，印证了天威诚信的企业实力以及DigiCert对天威诚信的信赖和认可。

年度杰出销售业绩奖则是DigiCert颁发给年度销售业绩超百万美元机构的荣誉奖项。自从与DigiCert建立合作关系以来，天威诚信已多次获得该奖项，展示了天威诚信在亚太地区服务器证书市场中的极高占有率，以及市场、行业、客户对天威诚信在证书服务领域的长期高度认同。

天威诚信国际认证事业群总监安垠代表公司参加了会议。安垠表示，自2000年天威诚信将DigiCert TLS证书引入中国以来，双方在合作过程中积累了丰富的行业最佳实践，共同打造了完善的联合服务机制，依托证书服务持续为国内用户提供安全可靠的数字信任建设方案，赋能千行百业的数字化转型。

会上，双方就今后的重点合作方向达成了一致。安垠表示，天威诚信正积极布局推动与DigiCert在数字证书自动化等领域的深入合作，以更好地满足客户数字化转型需求，推动数字经济蓬勃发展。

DigiCert高管对天威诚信在中国市场取得的成就表示祝贺，并表示作为大客户覆盖率超过95%的CA机构，天威诚信拥有丰富的应对和解决各种复杂及突发情况的专业服务经验，并能够根据中国本地合规的要求，为国内企业和个人提供证书生命周期管理服务，将信任扩展到供应链和互联生态系统。

双方一致认为，伴随着中国企业数字化转型进程的加快，今后更需立足资源禀赋与服务优势，共同携手为中国企业的数字化转型聚势赋能，通过提供更有效的数字信任解决方案，同时进一步夯实本地化服务，实现应用场景快速落地，为更广泛的企业与个人的数字安全保驾护航。

标签 CA, TLS证书, 企业, 天威, 天威诚信, 数字证书, 服务器证书, 网络安全

知识中心

谁使用代码签名？

文章作者 mzwame
发布日期 2022年11月17日

代码签名证书用于任何商业打包和分发的软件中。受信任的应用程序商店（如 IOS 应用商店或 Google Play 商店）需要对在其平台上分发软件进行代码签名。除非使用代码签名，否则许多消费者不会下载软件，因此即使不在知名平台上的开发人员也会实现代码签名。有几种不同类型的证书可供使用，具体取决于要分发的软件与哪些系统配合使用。桌面证书包括微软、Java、微软办公软件、VBA和 Adobe AI。移动证书的示例包括“视窗手机”、“视通专用企业”、“已验证的 Java”、“安卓”和“酿造”。

代码签名证书软件的一些示例包括：应用程序、Windows 软件更新、苹果软件、微软 Office VBA 对象和宏、.jar、.air 和 .airi 文件以及任何类型的可执行文件。对于 IOS 应用程序，代码签名使用 X 代码。要将软件上传到 Itunes 存储区，用户必须拥有有效的 Apple 开发者 ID 和有效的证书或个人资料，Xcode 才会对软件进行签名。要集成应用程序，开发人员需要使用开发证书。若要在任何设备上运行应用，必须使用分发证书来发送应用并对其进行测试。其他平台（如 Windows）只需要使用受信任的证书颁发机构。

标签 IOS, 代码签名证书, 企业

知识中心

如何处理违规的SSL证书和密钥？

文章作者 mzwame
发布日期 2022年10月31日

根据全球企业的攻击统计数据，找出企业环境中的漏洞至少需要一天或更长时间。发现漏洞所需的时间越长，造成更多损害的可能性就越高，因为有不良行为者不断监控情况并利用它来谋取利益。

每个组织都必须有一个如何应对受到攻击的环境的计划。考虑到不同的行业都有针对其场景的不同 IT 流程，我们可以得出一些应该遵循的补救步骤，而不管行业类型如何：

清点受违规/攻击影响的系统。
遵循标准的、预定义的攻击方法。
验证不良行为者是否已被处理。

一旦识别并确认了攻击，就只完成了一半。接下来，挑战在于如何消除对手对企业关键数字资产（如密钥和证书）的访问权限，因为大多数组织都无法了解证书或密钥泄露的真正影响。我们可以深入研究过去，发现存在诸如数字证书被盗之类的违规事件，其中组织由于没有立即更换数字证书而无法理解后果。理想情况下，组织应该能够快速响应并响应受违规行为影响的所有系统，以安全的方式运行其运营。

让我们详细说明在发生违规/攻击时需要遵循的步骤：

影响分析

在修复违规行为时，第一步是确定环境中受影响的系统的清单。例如，如果发现任何与 SSL 相关的违规行为，则后续步骤是找出 SSL 在连接到 URL、Web 服务器、共享点门户等时的全面使用情况。有了这个，可以在很大程度上确定违规的渗透深度。可以考虑任何 SSL/TLS 证书的使用或密钥泄露，以确定对环境的总体影响。

遵循预定义的方法

一旦攻击得到确认，预定义的方法就应该开始，其中责任预先决定了谁将做什么。同时，当安全团队采取措施遏制和修复攻击时，攻击者会尝试植入一些恶意证书和密钥，以帮助他们将来访问资源。在这种情况下，安全团队应通过证书和密钥生命周期管理工具重新验证证书/密钥的清单，并丢弃/停用恶意数字资产。

修复操作的验证

一旦针对攻击的修复操作完成，并且恶意证书和密钥已成功替换，重新验证修复报告并确认修复步骤是否已成功完成就变得非常重要。如果对手的足迹仍然留在环境中，这可能会导致严重后果。组织可以匹配违规报告和修复报告，以确定修复尝试的准确性，并对其当前的安全强度充满信心

标签 SSL, 企业, 数字证书

知识中心

证书发现

文章作者 mzwame
发布日期 2022年10月27日

一个组织中存储着数千个证书，很难了解这些证书是如何颁发或使用的。每当一个组织被问及可用的认证数量时，他们要么不知道，要么告诉估计的数量。

在组织内安装证书的过程包括：

发现
监控
自动化
集成

证书发现使我们能够更好地了解证书在组织中的使用方式。证书清单有助于分析加密安全标准和到期日期的认证。但是，如果没有可见性，就不可能避免下一个与证书相关的中断。

证书发现过程

证书发现过程分为不同的阶段：

直接 CA 集成：证书发现过程从 CA 集成开始。它涉及与自己的证书颁发机构和第三方证书颁发机构集成。它将允许您直接从一个位置的来源收集所有库存。
您可以通过与 CA 的直接同步来请求、吊销、续订和续订新证书，并在证书过期之前续订。
SSL/网络红绿灯系统发现 ：它用于查找证书在网络中存储的位置。大多数企业无法完全了解其证书基础结构。当我们知道凭据的确切位置时，我们可以根据需要轻松替换它们。
证书存储：某些证书不存储在网络中;它们位于密钥和证书存储中。一些可用的密钥库包括 Java 密钥库（JKS）、IIS 服务器、云服务（如 Azure 密钥保管库）等。

证书发现的重要性

大多数企业对其证书结构没有适当的可见性，可见性是证书管理流程中最关键的方面。手动证书管理的问题在于人为错误和库存文档不正确的可能性很高。

随着世界向数字化迈进，对数字证书的需求激增。
使用自签名证书可以解决此问题。在自签名证书的帮助下，我们可以快速生成这些证书。

有时，我们需要临时证书用于测试目的，这些证书应在生产前更换。但是，由于过程中的一些错误，有时这些临时证书进入组织的基础结构时不会被注意到，这可能会导致应用程序中断，并且很容易被入侵者捕获。已知证书也会出现这些类型的质询。因此，证书发现可帮助我们跟踪所有这些证书，并提供更好的愿景，防止各种应用程序中断。

标签 CA, IIS, SSL, 企业, 数字证书

知识中心

如何避免证书中断|SSL证书过期

文章作者 mzwame
发布日期 2022年10月20日

长期以来，证书一直是重要安全保障。证书用于各方之间的安全通信、对用户进行身份验证、代码签名、数字签名等等。许多内部功能也需要授权，并涉及相同的证书。证书在固定期限内有效 – 它显示证书可以信任多长时间。证书的有效期可以是任何时间段。如果证书在到期日期之前未续订或替换，则该证书将变为无效或已过期。过期的证书可能会对企业造成很大的损害，从创建错误到终止整个系统。

什么是证书中断及其影响？

当任何与证书相关的操作失败，并且进程停止响应时，将发生中断。如果不进行充分评估，这些中断可能会导致严重的安全漏洞。它可能会让企业付出沉重的代价。我们最近目睹了安全新闻中出现的许多证书中断问题。从90年代到现在，我们仍然面临这些中断问题，这很奇怪，因为整个安全行业一直在那里使用称为证书管理系统的证书管理工具。

面临问题的大配置文件

许多备受瞩目的IT公司最近一直面临这些中断。最近，谷歌发生了一起案件，他们的一项服务，谷歌语音服务，在短时间内不可用。在调查了整个场景后，该报告指出他们的证书已过期。去年在微软的Office 365上也发生了同样类型的中断。不仅是谷歌微软，许多大型知名公司也经常面临这些问题。

证书中断背后的原因

最终，每个使用证书的公司都安装了证书管理系统。尽管如此，他们仍然面临着中断的问题。它背后的原因可能是：

缺乏可见性
公司的基础结构中可能存在一些证书，但证书管理系统中不存在。因此，证书管理系统只知道它们中存在的证书，并且存在于其系统外部的证书仍未评估。留下这些证书的原因可以是任何事情;也许我们忘记添加它们，也许它们是无法进入的第三方证书，还有更多。
另一个原因可能是在证书续订之后
证书可能未转到正确的位置以启用该服务。为什么会发生这种情况的一个例子是Java密钥库。因此，Java 密钥库是放置 Java 应用程序正在使用的证书的位置。我们可以在 Java 密钥库中续订或更新证书，它将密钥加载到内存中。但是，假设在寻找过期的证书时，应用程序尚未重新启动或重新评估Java密钥存储，它将不知道那里有新证书。因此，这些可能是它的问题。

使用天威诚信CIM证书智能管理系统

自动识别功能：

天威诚信CIM证书智能管理系统是国内首个支持内网与公网同时扫描的智能管理系统。自动识别国际主流CA机构证书品牌及产品，无需手动搜索，就能自动发现网络中应用的SSL证书。并能同时管理自签名SSL证书和企业内部CA系统SSL证书。获取证书及服务器详情信息，各项参数一目了然。

实时更新功能：

可定时更新数据，获取最新的证书应用状态及证书链信息，自动判断证书链完整性，确保证书客户端兼容性。

一键下单功能：

登陆即可快速下单，支持证书极速签发。证书到期自动提醒，一键提交证书更新。30天内可取消订单，并能跟踪订单处理的进度。证书签发后自动推送到客户端，证书自动安装到CIM中。

实时通知功能：

CIM证书智能管理系统采用C/S架构，多机房管理，分布式部署，可对多个机房进行分析和报告。在客户端可集成短信、微信、邮件等多种通知模式进行即时消息通知。

安全漏洞检测功能：

CIM可关注证书生命周期状态与核心服务器https服务状态，即时推送证书到期时间及漏洞报告分析消息，发现问题与故障，并及时提供可行的应对方案。还可以进行底层协议及密钥套件分析，精确评估服务器可能存在的问题，综合分析后安全问题清晰可见。

密钥安全存储功能：

本地自动创建并加密保存证书私钥，密钥存储更安全。支持证书格式本地互转，密钥转换防泄露。

标签 CA, CIM, SSL, 企业, 天威, 天威诚信, 数字签名