据天威诚信(VeriSign中国区域的首要合作伙伴)的工作人员介绍,其中大多数SSL证书来自VeriSign,作为全球最知名的数字证书品牌,除尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全的企业机构青睐。
每到逢年过节就让很多在外打工的朋友因为要回到家乡而激动不已,同时也让很多朋友都非常的头疼如何回家的问题,这时候购买火车票便成为了大家普遍关注的问题之一,不过随着互联网的普及,这个问题也在不断地得到解决。
据了解从本月20日开始,全国铁路所有直达特快列车(Z字头)将实现互联网售票,12月10日全国铁路所有特快列车(T字头)将实现互联网售票。
今年是旅客购买火车票方式产生重大变革的一年,从今年7月北京铁路局开通电话订票业务后,京津城际、京沪高铁、全国所有动车组等列车纷纷进入网络订票范围。市民购买火车票的方式从以往的去火车站售票口或代售点排队购票,逐步发展到今天可通过电话订票或互联网进行订票。
本周日开始,所有的Z字头直达列车也将加入互联网购票的行列;12月10日后T字头特快列车也可通过互联网售票,旅客可登录相关网站订购车票。新办法实行后,互联网售票网络将覆盖 D、G、C、T、Z字头所有列车,K、L及普速列车也有望于龙年春运前夕加入互联网售票行列。
随着网络购票时代的来临,让我们在欣喜的同时也产生了担忧,网络购票毕竟存在一定的风险问题,尤其是现在钓鱼网站如此猖獗,如何保证自己在网上支付的钱真的买到了火车票,而不是被钓鱼网站侵吞?天威诚信工作人员提醒广大消费者,在网上购买火车票以及日常网购中,要注意以下几点:
1.安装安全软件,并保持其开启和及时的更新;
2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;
3.在线进行支付或提交敏感信息时,留意页面地址栏开头是否以“https”开头,有些网站地址栏会变为绿色。这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。
4.不随意接收陌生人发来的在线文件。
上述四点中,可能很多朋友对第三点最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EVSSL证书,其他金融类网站也相继使用。
您上网时不妨留意一下,在支付宝、卓越网、凡客、各大银行、基金网站等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击即可查看SSL证书(服务器证书)及颁发机构信息。
爱日租是目前全国首个在线短租订房交易平台,创立于2011年4月,允许任何人将其闲置的高品质的房间进行短租交易。爱日租网站于2011年6月正式上线,上线1个月,注册用户数已超过26000人,预订房间/晚数超过五位数。
在“日租、短租公寓”理念与模式受到欢迎同时,爱日租并未忽略其网站信息安全问题。用户注册登陆需要用户在线提交联系方式等信息,这些个人信息随着用户数量的增加将不断聚集,形成一定数量时,很可能成为恶意攻击的目标——热门内容或其它能够吸引、聚集大量用户的网站是恶意攻击“狩猎”信息数据、谋取不义之财的理想场所。为保护用户在线信息安全,抵御钓鱼网站等攻击手段对用户信息的欺诈劫掠,爱日租与国内权威认证机构天威诚信携手,展开了对爱日租网站的安全建设。
天威诚信为爱日租提供了以VeriSign SSL证书为核心的网站可信服务。通过在爱日租网站的用户登录、注册等页面部署VeriSign SSL证书,凭借SSL技术实现高强度的信息加密传输,保护用户在线提交的邮箱、手机号、密码等信息在传输过程中不被窃取或篡改。
此外,部署VeriSign SSL证书后,爱日租网站在反击钓鱼网站仿冒方面得到了大幅提升:地址栏“https”开头、金色锁形安全标记,点击锁形标记后可查验服务器证书及颁发机构信息。这些无法仿冒的安全特征帮助用户更好的了解网站真实身份,同时为访问者区分网站真伪提供了有力支持,降低用户遭遇钓鱼网站恶意欺诈的风险。
关于”爱日租”
爱日租专注于为提供日租公寓的商家和有日租需求的租客提供一个在线租房平台,主要提供免费信息发布,在线沟通交流的交易电子商务平台。有别于传统的房屋租赁公司或网站,爱日租致力于打造专业的日租、短租网络交易服务,让用户以最低的门槛、最便捷的操作、最安全的线上交易方式,并利用第三方支付平台来保证双方的交易安全,参与旅行互助生活,体验风靡全球的日租、短租文化。
数据显示,截至2011年10月底,全国累计认定并处理的钓鱼网站多达68925个,仅2011年10月,处理的钓鱼网站就有2565个;其中,电子商务网站访问者中更是有89.2%的人担心假冒网站,86.9%的人表示如果无法获得该网站进一步的确认信息,将会选择退出交易。对企业来说,则将面临着更严重的损失,包括品牌形象损失、在电子商务中消费者信心下降等等。尤其企业与网上客户建立信任非常困难且耗时长,但失去信任可能只是一眨眼的时间。一旦信任被钓鱼欺诈所损害,企业弥补这些损失都可能需要惊人的成本。
当人们享受在线购物和支付便利的时候,你必须要警惕网络钓鱼的陷阱。当不法分子以假冒银行网站或购物网站等形式,诱骗客户输入银行卡号、密码、口令或是个人身分重要数据等,盗取客户资金或信息以实施违法活动的情况下,便发生钓鱼网站欺诈。特别是在暑假及国庆长假期间,一些犯罪分子便将自己伪装成知名的订票网站或是购物网站,然后利用事先设计好的陷阱骗取用户钱财。由于网络钓鱼的形式经常可以达到以假乱真的地步,也只能依赖消费者的自身的知识和风险意识进行防范。
网络钓鱼对于消费者所带来的财产损失是不言而喻的,而对企业来说,则经常面临着更严重的损失,包括品牌形象损失、在电子商务中消费者信心下降等等。尤其企业与网上客户建立信任非常困难且耗时长,但失去信任可能只是一眨眼的时间。一旦信任被钓鱼欺诈所损害,企业弥补这些损失都可能需要惊人的成本。
专家支招五大技巧识别钓鱼网站
据调查,人们在浏览网站时常常忽略一些小地方,导致陷入钓鱼网站的陷阱。对此,威瑞信(VeriSign)给出以下防范技巧:
1. 网站地址为“https://”:“https://”中的“s”表明网站经过加密,即意味着在客户端浏览器和Web服务器之间已建立起一条SSL安全加密通道,此时用户在线输入的信用卡号、交易密码等机密信息在网络传输过程中将不会被查看、窃取和修改,输入的信息具有安全保护。
2. 留意锁头图标:SSL技术能自动激活浏览器显示“锁”型安全标志,这个图标必须出现在实际浏览器界面中,而不是仅出现在网页内容中,这样才有意义。当客户访问网站时,可通过点击金色安全锁,便可检验网站真实身份。
3. 留意信任标志:信任标志可以一目了然地表明网站是否经过认证,是否具有安全保护,公司的信誉如何等等。例如,那些拥有威瑞信(VeriSign) SSL 数字证书的网站,可同时拥有一个威瑞信(VeriSign)网站安全印章标志。该标志放在网站上,可以时刻提醒在线用户,所有在线提交的信息正在受到高强度的加密传输保护,点击印章便可展示出网站详细信息。国内知名网站,如雅虎 Shopping商家、阿里巴巴诚信通(TrustPass)会员已采用这种方式彰显自己的身份,将信任传递给买家。
4. 反复核对网址:务必反复核对地址栏中的网址,确保网址拼写的正确性。一家没有名气的网站,如果在网址后半部分包含一个知名网站的名字,更是值得怀疑的。
5. 选择安全度高的浏览器,即可看到“绿色”地址栏及其它可视信息:选择安全度高的浏览器,如目前微软的Internet Explorer 7(IE7)、Firefox Safari、Google Chrome和Opera等都能够清晰识别威瑞信(VeriSign)EV SSL证书,当用户输入网站地址时,用户可以立即看到地址栏变成绿色,以及网站所有者的单位名称和为其网站签发证书的安全提供商信息,如威瑞信。
随着EV SSL证书在银行和电子商务网站上的可见度越来越高,它已经成为在线安全的一个行业标准,消费者在浏览有EV SSL证书的网页时也对网站有了更高的期待。如果企业能够掌握上述电子商务安全技巧,企业的在线业务能够把握住机会满足消费者的期待并提升销售额。
国内电子商务领域内卓越、凡客诚品、国美电器、淘宝、携程旅行、京东商城等大型电子商务网站都已选用VeriSign SSL证书实现其真实身份验证,客户交易隐私数据保护,客户用户帐号安全,建立良好的网站安全可信形象。当前,天威诚信推出的VeriSign产品年终大回馈活动正在进行中,即日起至2011年12月20日凡是正价购买或续费:
● VeriSign 128位强制型证书
● VeriSign 128位EV强制型证书
● VeriSign 128位EV支持型证书
● VeriSign代码签名证书
均可根据您的购买或续费年限赠送不同额度的礼品,如数码相机、手机、摄像机、笔记本电脑等大礼,多买多送,买即送!此外,推荐新客户的介绍人也将有取暖器、加湿器等精美礼品相赠。
详情请见http://www.ert7.com/2011cx/index.html
VeriSign(纳斯达克上市代码: VRSN)是一个提供智能信息基础设施服务的上市公司,总部位于美国加利福尼亚的山景(Mountain View)。
VeriSign的数字信任服务通过VeriSign的域名登记、数字认证和网上支付三大核心业务,在全球范围内建立起了一个可信的虚拟环境,使任何人在任何地点都能放心地进行数字交易和沟通。而数字证书业务是其起家的核心业务,其 SSL 证书被全球 500 强中有 93% 的企业选用、在EV SSL证书中占有75%的市场、全球前 40 大银行都选用、全球 50 大电子商务网站中有47个网站使用,共有超过 50 万个网站选用 VeriSign 的 SSL证书来确保网站机密信息安全。VeriSign面向网站、软件开发商和个人提供信任服务,这其中包括签发专门应对网站鉴别和加密的SSL服务器证书,世界500强企业中超过93%的企业使用来自VeriSign SSL服务器证书.VeriSign 通过强大的加密功能和严格的鉴权措施,保护着全世界超过 500000 台 Web 服务器的安全,包括亚马逊、雅虎购物、美国在线在内的全球众多知名网站均安装了VeriSign的SSL服务器证书加强网站安全防护。为了扩展自己的服务领域和范围,VeriSign与American Express、Checkpoint、Microsoft、RSA建立了战略合作关系,包括英国、法国、德国、意大利、澳大利亚、巴西、南非、中国、日本、韩国等几十个国家和地区在内的50多家数字信任服务提供商加入了VeriSign的信任网络。VeriSign 是全球最大的数字证书颁发机构,于 2000 年 1 初以 5.76 亿美元完成收购 Thawte ,当时 Thawte 已经占领全球约 40% 市场分额。又于 2006 年 9 月以 1.25 亿美元完成收购 GeoTrust ,当时 GeoTrust 约占全球 25% 市场分额。VeriSign通过与中国内地数字认证服务商天威诚信合作共同推进数字证书业务在国内的发展,提供包括服务器证书、代码签名证书、邮件证书等各类安全数字证书。国内众多网上银行,证券金融机构、购物网站均采用先进的数字认证技术保障网站信息的安全。
VeriSign 数字证书产品是目前市场上最完整的支持最多应用和最多设备的数字证书产品,主要包括: SSL 证书和代码签名证书。
VeriSign SSL 证书主要有 3 种: Secure Site Pro 、 Secure Site , Secure Site Pro with EV ,Secure Site with EV其中:
(1) Secure Site Pro ,中文名称为128位强制型服务器证书, SSL证书(SGC),是支持 SGC 强制 128 位加密技术 的高端 SSL证书,不管用户使用支持 40 位、 56 位、 128 位加密的浏览器都能强制成 128 位加密传输,确保机密信息的安全。
(2) Secure Site ,中文名称为128位支持型服务器证书, SSL证书(非SGC) ,是 不 支持 SGC 技术的 SSL 证书。值得提醒用户的是:国内翻译的“安全服务器证书(40 位)”称此 SSL证书为 40 位证书是不准确的,此证书支持 40 位 /56 位 /128 位加密,但其加密强度依赖于浏览器所支持的加密位数,如果浏览器只支持 40 位或 56 位,则是按照 40 位或 56 位来加密信息传输的,而不能象 Secure Site Pro 那样强制实现 128 位加密。
(3) Secure Site Pro with EV ,中文名称为EV128位强制型服务器证书,就是全球统一标准的严格身份验证的 EV SSL 可扩展证书, 是Secure Site Pro的升级产品,让浏览器地址栏为绿色,增强在线用户信任。
(4) Secure Site with EV ,中文名称为EV128位支持型服务器证书,区别于Secure Site Pro with EV,该证书不支持SGC强制加密技术。
VeriSign 代码签名证书又分为支持 PC 应用软件的代码签名证书和支持移动设备应用软件的代码签名证书两大类,主要包括:
(1) 代码签名数字 ID(Code Signing Digital IDs) : 主要包括:微软代码签名证书 ((Microsoft Authenticode Digital ID) :数字签名 .exe, .dll, .cab, .ocx(ActiveX) ; Java 代码签名证书 (Sun Java Signing Digital ID) :数字签名 Sun J2SE/J2EE 的 Java Applet 文件,以及数字签名 J2ME MIDlet Suite 文件,支持业界最多型号和最多品牌的手机。
(2) 微软产品徽标认证证书 (“Designed for Windows logo” Digital IDs) :用于数字签名微软 Windows Logo 认证的各种软件、硬件驱动程序等,提交已经签名的软件给微软测试认证,还包括微软 Windows Hardware Quality Labs (WHQL) testing programs(Windows 硬件质量实验室测试计划 ) 认证。
(3) 微软移动代码签名证书 (Authenticated Content Signing for Microsoft Windows Mobile)(ACS):支持使用微软 Windows Mobile 和 SmartPhone2002/2003 移动终端操作系统的移动应用软件的非特权签名和特权签名,以确保移动下载的软件代码在移动终端 ( 如智能手机和 PDA) 的安全。
2010年5月19日,赛门铁克宣布与Verisign签署了最终收购协议,收购了该公司的身份验证业务,包括SSL 认证服务、公钥基础架构 (PKI) 服务、VeriSign 信任站点认证服务和 VeriSign 身份保护 (VIP) 验证服务。
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。
安全套接字层 (SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。
a 确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。
b 保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。
在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和最低128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。
最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10亿年。
SSL证书依据功能和品牌不同分类有所不同,但SSL证书作为国际通用的产品,最为重要的便是产品兼容性(即证书根预埋技术),因为他解决了网民登录网站的信任问题,网民可以通过SSL证书轻松识别网站的真实身份。目前国际上,常见的证书品牌如VeriSign等均可以实现该技术。我们以VeriSign证书为例,该类证书分为如下品类:
1、VeriSign 128位SSL支持型证书(VeriSign Secure Site)
2、VeriSign 128位SSL强制型证书(VeriSign Secure Site Pro)
3、VeriSign 128位EV SSL支持型证书(VeriSign Secure Site with EV):支持绿色地址栏技术
4、VeriSign 128位EV SSL强制型证书(VeriSign Secure Site Pro with EV ):支持绿色地址栏技术
Certificate证书
–Version 版本
–Serial Number 序列号
–Algorithm ID 算法标识
–Issuer 颁发者
–Validity 有效期
>Not Before 有效起始日期
>Not After 有效终止日期
–Subject 使用者
–Subject Public Key Info 使用者公钥信息
— Public Key Algorithm 公钥算法
–Subject Public Key 公钥
–Issuer Unique Identifier (Optional) 颁发者唯一标识
–Subject Unique Identifier (Optional) 使用者唯一标识
–Extensions (Optional) 扩展
…
Certificate Signature Algorithm 证书签名算法
Certificate Signature 证书签名
–用户连接到你的Web站点,该Web站点受服务器证书所保护。(可由查看 URL的开头是否为”https:”来进行辩识,或浏览器会提供你相关的信息)。
–你的服务器进行响应,并自动传送你网站的数字证书给用户,用于鉴别你的网站。
–用户的网页浏览器程序产生一把唯一的”会话钥匙码”,用以跟网站之间所有的通讯过程进行加密。
–使用者的浏览器以网站的公钥对交谈钥匙码进行加密,以便只有让你的网站得以阅读此交谈钥匙码。
–现在,具有安全性的通讯过程已经建立。这个过程仅需几秒中时间,且使用者不需进行任何动作。依不同的浏览器程序而定,使用者会看到一个钥匙的图标变得完整,或一个门栓的图标变成上锁的样子,用于表示目前的工作阶段具有安全性。
申请SSL证书主要需要经过以下3个步骤:
1、制作CSR文件。
CSR就是Certificate Secure Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。
2、CA认证。
将CSR提交给CA,CA一般有2种认证方式:1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;2、企业文档认证,需要提供企业的营业执照。一般需要3-5个工作日。 也有需要同时认证以上2种方式的证书,叫EV证书,这种证书可以使IE7以上的浏览器地址栏变成绿色,所以认证也最严格。
3、证书的安装。
在收到CA的证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。
全球备受信任的网络基础架构供应商——威瑞信(VeriSign)公司宣布,电子付款方案供应商联款通(AsiaPay)采用威瑞信(VeriSign)扩展验证EV SSL证书,进一步确保电子商务收付款机制安全,并提高消费者对网上交易的信心。
即日起至2011年12月20日,天威诚信推出VeriSign证书年终大回馈活动,在此期间凡是正价购买或者续费:
● VeriSign代码签名证书
均有大礼相赠,具体内容如下:
可根据您购买或续费年限赠送不同额度的礼品,如数码相机、手机、摄像机、笔记本电脑等
大礼(或等值京东购物卡),多买多送,买即送!
介绍新客户也有大礼哦:
(1) 若介绍的新客户没有达成购买,介绍人可获赠无线鼠标一个;
(2) 若介绍的新客户成功购买,介绍人可获赠格力取暖器、亚都加湿器、
九阳豆浆机等礼品(或等值京东购物卡)。
活动详情请见:http://www.ert7.com/2011cx/index.html 或直接与我咨询
服务器证书(server certificates) 组成Web服务器的SSL安全功能的唯一的数字标识。通过相互信任的第三方组织获得,并为用户 提供验证您Web站点身份的手段。服务器证书包含详细的身份验证信息,如服务器内容附属的组织、颁发证书的组织以及称为公开密钥的唯一的身份验证文件。这意味着服务器证书确保用户关于web服务器内容的验证,同时意味着建立安全的HTTP连接是安全的。
全球最大的 服务器证书厂商
VeriSign是领先的安全套接字层SSL证书认证机构,为网站、内联网和外联网的电子商务及通讯提供安全保护。VeriSign 通过强大的加密功能和严格的鉴权措施,保护着全世界超过 500000 台 Web 服务器的安全。我们选择代表着互联网高度安全性的可信任标志,并为每一位网站访问者启用最强大的 SSL 加密功能。
互联网上的最受信任标志
财富 500 强企业中超过 93% 的公司和世界 40 家最大的银行都选择 VeriSign 作为其 SSL 证书供应商,因为他们都深知互联网安全重要性。他们之所以信任 VeriSign,正是由于 VeriSign 先进的加密技术和严格的业务鉴权实践。如果您的网站使用 VeriSign SSL证书 (VeriSign SSL Certificates) 并显示了 VeriSign Secured 签章 (VeriSign Secured Seal),您的客户就知道他们的交易安全可靠,并且充分信赖您的网站。
工作原理
安全套接字层 (SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。
SSL证书描述
使用扩展确认的安全网站专业版 EV SSL证书(Secure Site Pro with EV):真正的 128 位扩展确认
当您进行在线商务活动时,利用扩展确认和128位SSL加密技术增强客户对您的信心,同时,还为每一位网站访问者提供最强大的加密服务。另外还包括VeriSign Secured签章。显目的绿色地址栏,为用户带来直观的安全感。
安全网站专业版 (Secure Site Pro):真正的 128 位强制型 SSL 证书
为您的金融交易和机密数据传输提供最强大的 SSL 安全保护。为大多数网站访问者提供128位SSL加密服务。通过使用由业界最严格的鉴证方式和信息基础架构提供支持的证书,向网站访问者表明您格外重视安全性。另外还包括 VeriSign Secured 签章,最值得信任的互联网安全标志。
通过使用由业界最严格的鉴权方式和信息基础架构提供支持的证书,向网站访问者表明您格外重视安全性。其中值得关注的便是 VeriSign Secured 签章,拥有SSL服务器证书的网站均可以在页面上展示该标志,该签章通过技术手段保障非法假冒网站无法复制,最值得信任的互联网安全标志。 目前VeriSign(威瑞信)在国内通过其合作伙伴天威诚信(iTrusChina)提供该项服务。
艾瑞咨询在其发布的《2009-2010年中国电子商务行业发展报告》中称,2009年中国网络购物用户突破1亿,交易额规模达2630亿元,电子商务整体市场交易额达34278亿元。一系列的数据证明,随着互联网应用的普及,电子商务正成为传统行业的新蓝海,会有越来越多的传统企业借助电子商务提升业绩和影响力。我国电子商务正迈向规模化应用的大道,给企业和平台提供商都提供了很好的发展契机。
不过令人担心的是,网络商务应用仍然受到各种安全因素的困扰。根据CNCERT的监测数据显示,仅2010年上半年,近六成网民访问网站遇到过病毒或木马攻击;超三成网民账号或密码曾经被盗;近九成的电子商务网站访问者担心假冒网站。这些网络问题让电子商务发展前景蒙上一层阴影。网络安全和信任问题已经成为网络商务持续深层次发展的最大制约因素,互联网向商务交易型应用的发展,急需建立更加可信、可靠的网络环境。
网站信用保障的先天缺陷
网站数量的增加,使得借助网站平台的各类欺诈、私密信息窃取事件越来越多。典型的事例包括,借助于虚假的、假冒的钓鱼网站,窃取网民的各类保密信息,给客户带来损失。随着越来越多的网络安全事件发生,本就薄弱的互联网“信任基础”在迅速倒塌。
一直以来,业务模式开放、网络构架简单都是互联网快速发展的先天优势。然而当各种网站进入到社会化全面应用阶段,面对高质量、高安全性的可信业务服务需求,互联网安全应用和意识不足的短板效应越来越暴露无遗,主要表现在业务质量保障差和安全保障差的先天性技术缺陷上。
首先,互联网业务通道传输的服务质量保障差,难以满足高质量的业务需求。网络间互联节点和路由交换节点都是网络带宽的瓶颈,随时可能出现拥塞。同时,对大多数网站来说,其在线业务的技术标准体系尚未真正建立起来,缺少全程全网的通道质量保证管理的机制和技术手段。
其次,互联网的网络、业务与信息内容等的安全保障差。目前的互联网设备和高智能终端设备本身存在安全隐患,电脑程序的漏洞层出不穷,网络安全管理机制欠缺,这些都为黑客、病毒制造者提供了入侵和病毒传播的机会。在经济和政治利益的诱惑和驱使下,网络安全威胁呈现出了新特点,网络攻击显现出群体化,其目的更趋商业化、利益化和甚至政治化,黑客的行为带来的威胁和影响也更大。在此网络环境下,网站经营者与用户之间难以建立起相互信任的体系,这导致了大量的可信服务无法顺利。
如何有效解决安全和信任问题已经成为广大网站立足网络商务领域的根本。互联网向商务交易型应用的发展,急需建立更加可信、可靠的网络环境。
从“可用网站”到“可信网站”
互联网缺乏业务安全保障,事实上已经成为网站业务演进和发展的绊脚石,因此,构建可信网络世界的构想便应运而生,并受到了业界和政府的关注和重视,成为未来新一代互联网发展的重点。互联网应用已经从“可用网站”走向“可信网站”,对用户来说,注册域名、建设网站、宣传推广、树立信用,将是一条完整的在线业务员发展链条,一个都不能少。
在“可用网络”到“可信网络”这场互联网自身颠覆性变革的过程中,技术驱动无疑将起着决定性作用。对于一个网站的运营者,应该采取怎样的措施消除用户的担心和疑虑,让网站变得可信呢?天威诚信(iTrusChina)高级副总裁李延昭表示:“网站安全可信要从三个角度衡量,一是身份真实可信;二是内容是安全可信的,网页、控件程序没有被植入病毒、木马;三是与其信息交互安全可靠,不会隐私信息泄露。以天威诚信可信网站服务为例,它基于网站整体安全角度出发的,全面整合了天威诚信SSL证书、代码签名证书、网站入侵检测等产品,可以有效帮助用户解决网站所有的外部潜在安全威胁。”
可信网站的构建代表着互联网未来的发展方向。目前,高可信的互联网业务应用已经在电子政务、电子支付等领域得到体现。网络支付安全一直是公众关注的焦点,也是支付运营商关注的头等大事。而天威诚信与全国最大的独立第三方支付平台支付宝早在多年前便开始合作。网民登录支付宝交易页面时,浏览器会自动进入“httpS”安全加密通道,防止敏感信息外泄。为了保证客户安全、快速的完成支付,支付宝还会定期在交易平台上更新支付控件,这些控件全部经过代码签名保护,确保程序在安装前不被他人篡改,植入木马等恶意程序。通过以上安全手段,天威诚信可信网站服务实际上已为支付宝平台完成了从网站身份到程序代码的保护。
可信网站的演进之路
对于网站管理人员来说,目前网页挂马、欺诈钓鱼、恶意代码传播已经实实在在成为安全威胁。网站安全防护,仅仅针对一点的防护已很难奏效,全面考虑网站整体安全架构,才能减少日益增多的安全风险。
李延昭表示,构建一个可信的网站,应该采取如下一些措施。首先,需要给网站安装一个可信的门牌,即安全可信的服务器证书。从技术上看,服务器证书是构建于公开密钥基础设施(Public Key Infrastructure,PKI)安全技术之上的一种电子身份凭证,可以用于标识一个网站的身份,这相当于给每个一个网站颁发了“身份证”,而这个身份证是具有唯一性的。网站安装了这样一个服务器证书门牌后,当用户访问网站时,就可以识别出网站的真实身份。
需要特别指出的是,一个网站安装了服务器证书(SSL证书),其实只是为网站安全防护的设置了第一道屏障,在解决网站信息安全传输和网站可信身份问题上发挥了重要作用。天威诚信作为VeriSign在国内SSL证书领域的首要合作伙伴,不久前推出了一项绿色地址栏技术,应用该技术的EVSSL证书,在反击欺诈钓鱼方面更拥有得天独厚的优势。
对于广大并不懂的更多网络安全知识的广大网民来说,如何判断一个网站是否安全呢?尤其是目前很多钓鱼网站的仿冒可以说是五花八门,其“仿真”程度可以说是五花八门,手段变化多端,“李鬼”网站充斥在众多的“李逵”网站中,甚至是只差毫厘,让然这件难辨。
一个简单的识别方式是,网民在登录网站过程中,可以仅靠地址栏的“颜色”变化就可识别欺诈钓鱼网站,即“绿色的即是安全网站”,这就是EV SSL证书在发挥作用。这样简单的识别方式也为广大网民降低了难度。
不过,并不能说出现绿色地址栏的网站就是绝对安全的。对于安装了服务器证书的站点,我们还要看这个服务器证书本身是否是可信的。因为目前,证书颁发机构也出现了鱼龙混杂的现象,从用户的角度,还要看颁发证书的机构是否具有权威性。当使用浏览器访问一个安装了服务器证书的站点时,若没有弹出一个关于这个站点使用的服务器证书的警告信息,则这一个服务器证书就是可信的,另外,用户客户通过双击某网站浏览器的右下角或者地址栏的右边的“小锁”标志,可以进一步查看证书的详细信息,比如站点的名称及所属机构,证书签发机构等。之后权威机构颁发的证书才是可信的。
其次,我们还需要判断数字证书认证机构对网站身份的确认过程是否严格。通常情况下,通过了扩展验证(Extended Validation,EV)认证的数字证书认证机构签的发服务器证书的过程是很严格的。EV是针对证书认证机构的一种全球性安全认证,通过EV认证的证书认证机构被允许签发一种EV服务器证书,意味着其安全性达到了国际标准。需要提醒的是,对于用户而言,如果要确认其访问的、安装了服务器证书的网站是否使用了高可信的EV服务证书,需要使用最新版本的浏览器。
最后,一个网络站点要让用户信任,还需要采取其他相应的安全措施,确保其网页内容未被恶意篡改、未被置于病毒、木马等。这些措施包括使用网页防篡改安全技术,使用在线病毒扫描技术,以及采用入侵检测技术等,让网站更安全可信。
互联网是在对传统通信网络不断颠覆的过程中发展起来的,其终极目标是颠覆现存网络的不可控时代,真正实现“人人参与、业务自主”的发展理念。随着以天威诚信可信网站服务为代表的先进技术手段大量应用,我们已经看见了构建可信网站体系的曙光。
Google近日表示他们计划让Gmail默认都使用https安全连接,他们考虑改变Gmail的后台服务使一些用户自动使用更安全的 HTTPS(Hypertext Transfer Protocol Secure)连接。
目前,默认情况大家仅仅是用HTTPS登陆,但浏览邮件的时候依然切换回HTTP连接。隐私专家表示目前的情况很不安全,比如你在一个咖啡馆里使用公众WIFI登陆Gmail,那么黑客就可以截获你的连接信息获得邮件内容。另外还有一个好处,用这个方式可以验证你登陆的是正统的Gmail服务器,而非那些伪装的钓鱼网站。
其实Gmail一直支持HTTPS安全连接,但默认不是打开的,你可以到设置里改成强制都使用HTTPS连接。Google Docs和Calendar也可以用HTTPS安全连接,但没有地方可以设置默认都使用HTTPS,用户必须自己将“http://”的地址改成 “https://”。
去年Google曾经对HTTPS发表过看法,当时他们不赞同默认都使用HTTPS连接的做法,因为这样会使连接速度变慢。但现在,Google的态度似乎有所转变,Google的软件工程师Alma Whitten在博客里说:我们正在对Gmail用户使用HTTPS登陆的速度做测试,看看速度的降低会不会影响用户体验,在某些特殊地区、特殊网络或特殊的电脑设置下,连接HTTPS会不会造成速度大幅降低。无论如何,谷奥都建议Gmail、Calendar、Google Docs和Google Reader的用户多多使用HTTPS加密连接,一是保证安全,二是降低Google服务器被重置的风险。
而国内各邮箱服务提供商,应用https安全连接的更是少之又少。具国内业界较为知名的SSL证书服务提供商天威诚信(iTrusChina)介绍,国内绝大多数邮件服务器缺少对于用户隐私安全的重视,直接后果便是电邮信息在发送过程中被随意窃取查看。
在线咨询
您好,请问有什么可以帮助您?
SSL证书/代码(数字)签名证书/https证书
