分类
安全播报

三驾马车齐发力 验明SSL认证成大势所趋

2015年,国家有关部门召集三大运营商,以及BAT、360、华为在内的互联网巨头,推进网络安全专项立法的出台。而根据权威专家的透露,正在修订的网络信息安全立法内容,包括网络安全战略、规划和促进网络运行安全、网络安全监测预警与处理等多项内容。可以说,互联网+时代的尚方宝剑,锋芒愈利。

 

2015年,又是网络惴惴不安的一年。根据统计,今年第一季度就出现了数十起网络安全事件,互联网的双面剑锋,给了用户温柔一刀。而另一方面,大大小小的互联网公司的出现、崛起、成长,在欣喜之余,一个问题同样抛在眼前,亲,我用你们,你们安全吗?

 

购物在线上,支付在线上,线上俨然成为线下人的重要生活场景。因此,对企业自然会提出更严格的环境安全要求。笔者认为,未来互联网企业的竞争核心要素,依次是安全、产品、服务。没有放心的使用环境,其他只能是表面的光鲜。

 

笔者也采访过一些创业公司的老总,尤其是P2P领域的,他们更会将安全视为重中之重。笔者认为,像这类金融企业,除了自身的宣讲,还应该借助国际网络安全认证机构,例如赛门铁克,用权威说话,用等级告诉用户,相信我没错的。

 

网络安全认证,自然是一件舶来品。不可否认的是,互联网信息技术发展较早的欧美,对网络安全具有更高的话语权。笔者觉得,互联网安全认证,也就是SSL认证是大势所趋,不可逆转的,主要体现在这些方面:

 

1、 宏观政策

 

前文已经提到,国家有关部门都召集相关企业研究方案甚至立法,可以想象,在未来很可能大力推进网络安全认证工作。一开始可能是市场化,后面可能会政府干预,有形的手和无形的手共同推进。

 

值得注意的是,由于我国尚未建立起国家统一的PKI体系,在面向大众的互联网数字证书SSL证书应用领域,由于企业对SSL认证缺乏重视,加之我国的网民规模剧增,使其与使用SSL证书的认证之少形成了严重吊轨,国家要建设成网络大国,网络强国,必然会成为拉动SSL证书认证的第一驾马车。

 

2、信息日益对称,需要第三方说话

 

互联网的一大变革,就是信息愈来愈对称。过去主动式甚至洗脑式的广告轰炸,如今难有效果。互动二字,如今都快喊破嗓子了。客户和用户,变得越来越聪明。不拿出真正权威第三方的证明,用户不会轻易买账。第三方说XXX,这在未来会变得很重要。现在不都看朋友点评,对吧?

 

因此,在互联网口碑大环境下,企业需要正规、权威的叫好。网民在上传诸多个人隐私的情况下,需要更安全的保护。就目前而言,国家也正在加速SSL证书的普及和使用,让越来越多的企业有第三方的保护。越来越多企业从战略上重视SSL认证,正是第二驾马车。

 

3、模范作用

 

据了解,百度已和赛门铁克的中国运营商天威诚信达成战略合作,大白话一点,就是度娘以后归天威诚信罩了。再比如说,网易邮箱服务和网易邮箱大师都支持SSL加密协议,网易邮箱大师默认使用SSL协议来访问邮件服务,在最大程度上保障了用户信息的安全。互联网巨头企业领头,其他中小企业自然见贤思齐。这种自上而下的效仿,也会形成一股潮流。这就是第三驾马车。

 

根据上述三点,可见SSL证书认证是一大趋势,这三驾马车拉动着SSL证书认证的前行。笔者觉得,“办证潮”的到来不会太远,企业为自己验明正身的时机已经到来。

分类
知识中心

如何确保移动支付安全

智能手机不仅是人类沟通的重要工具,甚至开始承担起支付的重任。基于移动平台的在线支付工具已经非常普及,包括国外的PayPal、Venmo,国内的支付宝、银联钱包等等,而苹果、三星、谷歌等巨头目前专注于手机接近式移动支付,旨在代替传统的现金和信用卡。但是,一个不能忽视的问题便是安全性。

移动支付的安全性似乎面临一些质疑。一份报告显示,即便是以指纹支付验证为基础的ApplePay,黑客也能够通过一些手段绕过其验证系统。那么,究竟有什么有效的方式能够保护手机钱包、手机支付应用的安全性呢?不妨参考下面几个重点:

1. 双重身份验证

双重身份验证的好处在于,即便用户登录了手机支付应用,输入密码后,仍需输入验证码才能完成支付。也就是说,如果有人知道你的支付账户和密码,希望通过网页进行支付,没有验证码依然是无法实现的;而即便手机被盗,小偷基本上也不会知道你的密码,所以无从下手。

2. 使用官方应用商店的支付应用

显然,越狱后的iOS设备及Android设备都存在一定的安全隐患,主要来自于非官方验证的应用。所以,不要从任何非官方应用商店下载安装支付应用,因为它们都可能存在盗取用户信息的恶意代码。

3. 加强设备本身安全性

如果你的手机内置指纹传感器、同时支付应用又支持指纹验证的话,那么一定要开启这项功能;如果不支持,最起码要设置一个额外的锁屏密码。另外,安全专家还建议用户查看手机的隐私设置,确保应用程序访问权限的合理性。

4. 使用信用卡而非借记卡

如果使用手机支付应用购物,在允许的情况下,尽量将信用卡绑定到支付应用中,而非借记卡。主要原因在于,一般银行的信用卡都拥有补偿条例,比如用户遭到盗刷时可补偿一定金额,但借记卡往往没有。

5. 使用可信任的因特网连接

如果是在咖啡厅、餐厅等公共区域,建议不要使用公共WIFI进行支付。因为一些黑客往往喜欢潜伏于此,通过骇入安全性较低的公共无线网络来获取用户信息。即便你的支付信息是加密的,也有可能被手段高超的黑客破解,从而获得支付账户、卡号、密码等信息。

6. 设置账户更改警报

通常来说,支付服务都拥有一些账户改变警告的通知设定,比如改变密码、支付行为、绑定手机终端等等,将这些服务都开启,有助于我们即时了解支付账户的变化。同理,信用卡也广泛支持消费短信、微信提醒服务。

7. 确定转账人信息

这个部分其实不仅仅适用于手机支付,任何线上、线下的转账,都应该首选确定好转账人的信息。不要轻信一些所谓“房东”、“好友”,一定要在充分确认对方身份时,再进行转账。

分类
公司新闻

天威诚信Symantec SSL证书 开启互联网安全新纪元

随着我国基础建设趋于完善,互联网经济随之飞速发展,互联网领域新的局面正在悄然打开,同时也遇到了前所未有的阻力。目前,我国新旧产业和发展动能转换正处在接续关键期,在这种形势下,各种积极因素和新兴力量正在积聚。因此,李克强总理提出:“推进互联网+行动计划。”

“互联网+”是创新2.0下的互联网发展新形态、新业态,是知识社会创新2.0推动下的互联网形态演进。互联网行业在得到国家支持后,“互联网+”概念迅速进入传统行业。互联网信息对称、交易便利的优势,使其能够撬动传统行业。但目前“互联网+”实现的最大瓶颈不是政策,也不是技术,而是“互联网信任”。

由于我国互联网的信用监管和法律尚不完善,互联网潜伏着很多信用危机。比如钓鱼网站横行,黑客攻击频发、P2P信贷携款逃跑等。这些都是互联网+战略的潜在危机。那么如何完善互联网环境,打破“互联网+”发展的瓶颈。

纵观我国和世界的发展历程,无论是哪一个行业,想要得到跨越发展,首先必须好基础建设。比如一句“要想富先修路”带动了我国基础设施建设的逐步完善,然后就有了一路一带和亚投行。互联网行业也是一样,想要快速跃升,必须将互联网信用的基础建设完成。

其实互联网信用机制的完善,并非任重而道远的任务,只需要对每一个网站进行一个简单的SSL认证,相当于给网站一个身份证。网站部署了SSL证书后,可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强度加密传输的,是不可能被非法篡改和窃取的。这样网络黑客的各种手段不攻自破。同时SSL证书能还向网站访问者证明服务器的真实身份,此真实身份是通过第三方权威机构进行验证的。也就是说SSL证书主要有两大作用:数据加密和身份认证。而这两大作用,能够完全保障网络交易的安全,为“互联网+行动计划”打下信用基础,为互联网行业融入各个行业保驾护航。

但是,目前国内的SSL证书并未取得实质性的技术超越,多数不能实现主流浏览器的根预埋。这一点,国外的类似技术可以为我所用。比如美国的赛门铁克证书Symantec)SSL证书及服务器证书,早已取得技术与市场的制高点,无论其服务还是技术手段都是目前中国最为先进的。且在漏洞扫描、恶意软件扫描、搜索结果标记、ECC算法等方面开创先河,做到人无我有,人有我优。

相信对于熟悉网络的人,赛门铁克(Symantec证书)并不陌生,毕竟这是最早进入中国市场的网络安全认证证书。现在赛门铁克的安装申办和以前大有不同。自从中国市场的赛门铁克被由天威诚信代理之后,赛门铁克SSL证书的申请,已经从原来的主动申请,转变为互动服务。现在申请赛门铁克,只要提出意向,销售团队就出配套方案,然后顺着流程走,不用费心,就能部署好,关键还有后期的客服和技术支持也很专业、务实。

“互联网+”的重点促进以云计算、物联网、大数据为代表的新一代信息技术与现代制造业、生产性服务业等的融合创新。可是这一切美好愿景的前提就是互联网的可信性。如果丧失了这一基石,那么互联网+就是无本之木,无水之源。所以在互联网蒸蒸日上的今日,希望我国的互联网企业能够从信任的根源入手,推竞我过SSL证书的普及化,开启互联网安全新纪元。

分类
知识中心

企业应该如何防范HTTPS伪造证书?

最近未经授权的HTTPS证书成为热门新闻话题,其中有些证书还是来自已熟知/理应可信的供应商的根存储。那么,企业应该如何防范这些伪造证书?

Michael Cobb:互联网的安全性在很大程度上依赖于对证书颁发机构(CA)的信任,CA颁发数字证书以供Web服务器用于识别自己和加密服务器及用户之间的流量。这些证书可以防止攻击者伪造网站或者窃听发送到和发送自网站的通信。

企业应该如何防范HTTPS伪造证书?-1

  不幸的是,这种信任正在被破坏,因为一系列针对CA(例如DigiNotar和Comodo)的攻击以及ANSSI情况中的糟糕做法—这导致颁发欺诈性或未经授权数字证书。伪造证书允许攻击者窥视Web服务器和浏览器之间发送的信息,即使这种连接似乎很安全。他们还可以用来欺骗内容以及执行网络钓鱼或中间人攻击。在最近的事件中,在CA印度国家信息中心(NIC)的证书发布过程受到攻击后,对很多谷歌的域名发出了未经授权数字证书。

NIC持有几个中间CA证书受印度政府的核准控制局(India CCA)信任。这些India CCA证书包含在微软Root Store中,因此Windows中运行的很多应用程序都信任该证书,包括IE浏览器和谷歌的Chrome浏览器。Mac OS X、iOS和Android操作系统中的根存储并不包含印度CCA的证书,所以并没有受到影响。Firefox也没有受到影响,因为它使用的是自己的根存储,其中不包含这些证书。

谷歌通过发布CRLSet迅速阻止了Chrome中的未经授权的证书。印度CCA随后撤销了所有NIC中间证书,并且进行了又一次CRLSet更新来包含这个撤销。同时,由于谷歌网站利用公共密钥pinning机制,Windows中的Chrome不会让谷歌网站接受这些伪造证书。pinning是一种HTTP协议,允许Web管理员指示浏览器在给定的时间内记住或者“pin”到Web服务器的数字证书,从而减少了在这个pin时间内可以验证该域名的机构数量。

目前有几个举措正试图改进对CA及其颁发证书的信任。这些包括谷歌的Certificate Transparency计划和DNS-based Authentication of Named Entities(DANE)。然而,到目前为止这些项目并没有广泛的部署。

浏览器的信任决策是基于根存储中信任根,因此企业保护其用户免受恶意证书的危害的最好办法是,确保浏览器保持更新了最新的证书信任列表。打开浏览器中的证书吊销检查并不能够很有效地确定证书是否仍然有效,并会显著减慢页面加载时间。更好的选择是使用防火墙来深层扫描SSL加密流量,以嗅出假证书或恶意代码。安全团队还应该监控安全新闻feeds,并且在还没有可用更新而对网络的风险被认为不可接受时,应该从根存储手动删除不受信任证书。在整个企业网络撤销根和清除本地缓存CTL的指令可以通过组策略来发布。

分类
安全播报

网上购票遇钓鱼网站 连续中圈套被骗

网上订火车票,未想到却中“圈套”遭遇连续被骗。“网上订票,被要求重新操作一次,可将上次的车票款退回,没想到是骗局。”

18日, 据临沂的夏先生介绍,他在市区一科技广场工作,因为有事要去趟苏州,他准备乘坐高铁前往。“以前都是到售票厅去购买,听说现在网上就能订,我就通过一订票网站进行订票。”夏先生说,17日上午11时许,他从网上搜索“枣庄至苏州高铁”,随后就进入了一家名为“中国铁路”字样的订票网站,“我就在这个网站预定了一张当天晚上7点07分枣庄至苏州的车票。”

夏先生称,订票10多分钟后,他接到一陌生男子打来电话,称由于他订票时操作时间过长,身份证输入有错误,车票已被锁定,需要重新操作一次解开。“该男子用的是标准的普通话,来电显示是北京号码。”夏先生说,听说要重新操作一次,他有些怀疑,因为钱已经从网银划走了,重新操作一次,那不是要再买一次,“看到我有些迟疑,该男子称重新操作一次,车票解锁后上一次订票的钱会自动退回到银行卡里去,而且如果重新操作后再次出现问题,可以拨打电话010******进行投诉。”

于是,夏先生就再次进入该网站,根据提示键入了相关信息,再次预定了一张当天晚上7点07分枣庄至苏州的车票。“我再次上网查询,发现274元已经从网银上扣走了,但上一次订票的钱并没有退回。”夏先生说,他就赶紧给对方打电话要求退钱,“听说后,对方突然挂断了电话,投诉电话打不通。我赶紧给银行打电话,经查询,两笔钱都已扣走了。赶紧拨打110报了警。最后,只好自己开车去苏州,希望市民今后遇到类似情况要注意。”夏先生说。

天威诚信提醒大:应认准全国铁路系统统一订票网址www.12306.cn,市民也可通过中国铁路客户订票热线(95105105),或前往正规代售点购买火车票。“中国铁路客户服务中心是唯一官方订票网站,而且不收任何附加费用,市民进入网站订票,成功或者不成功等相关信息都是通过短信送达,不会打电话通知;

同时也请网民注意,不要轻易点击陌生链接,登录网站时要先看清网址,一般凡是和网民发生信息及资金交互的网站,都会部署ssl证书,通过加密手段对信息传输进行加密,并且会在网站上呈现小金色锁、绿色地址栏https、安全签章等标识,大家看到这些标识就可以放心登录网站并进行交易。如没有以上标识请勿交易。避免上当受骗

分类
知识中心

SSL证书身份验证更具有安全性

电子商务和网上银行等应用中必须保证要登录的Web服务器是真实的,以免重要信息被非法窃取。SSL证书利用数字签名来验证通信对端的身份。

非对称密钥算法可以用来实现数字签名。由于通过私钥加密后的数据只能利用对应的公钥进行解密,因此根据解密是否成功,就可以判断发送者的身份,如同发送者对数据进行了“签名”。例如,Alice使用自己的私钥对一段固定的信息加密后发

给Bob,Bob利用Alice的公钥解密,如果解密结果与固定信息相同,那么就能够确认信息的发送者为Alice,这个过程就称为数字签名

SSL客户端必须验证SSL服务器的身份,SSL服务器是否验证SSL客户端的身份,则由SSL服务器决定。

 SSL证书身份验证更具有安全性-1

使用数字签名验证身份时,需要确保被验证者的公钥是真实的,否则,非法用户可能会冒充被验证者与验证者通信。如错误!未找到引用源。Cindy冒充Bob,将自己的公钥发给 Alice,并利用自己的私钥计算出签名发送给Alice,Alice利用“Bob”的公钥(实际上为 Cindy的公钥)成功验证该签名,则Alice认为Bob的身份验证成功,而实际上与Alice通信的是冒充Bob的Cindy。SSL利用PKI提供的机制保证公钥的真实性。

为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。

MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。利用MAC算法验证消息完整性的过程。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改,接收者将丢弃该报文。

SSL证书身份验证更具有安全性-2

MAC算法具有如下特征,使其能够用来验证消息的完整性:

消息的任何改变,都会引起输出的固定长度数据产生变化。通过比较MAC值,可以保证接收者能够发现消息的改变。

MAC算法需要密钥的参与,因此没有密钥的非法用户在改变消息的内容后,无法添加正确的 MAC值,从而保证非法用户无法随意修改消息内容。

MAC算法要求通信双方具有相同的密钥,否则 MAC值验证将会失败。因此,利用MAC算法验证消息完整性之前,需要在通信两端部署相同的密钥。

分类
知识中心

企业网站安全提示:正确选择SSL服务商

互联网启蒙于美国军方的内部网络,由于其是一个专网,初期网络规模小,处理能力低,设计的TCP/IP协议的核心是信息传递,很少涉及信息安全,因此,应用层协议http、smtp、ftp均是明文数据,未采用加密措施。

随者互联网的普及,互联网应用层出不穷,同时,由于互联网的爆炸性增长,接入互联网的节点泥沙俱下,带来各种各样的互联网威胁,如何辨别一个网站的身份,如何安全的传递机密或隐私信息,成为至关重要的问题

对于绝大多数网民来讲,安全高效的互联网对于客户的信心保障远胜过铺天盖地的广告宣传。ssl安全套接字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书(certificate ssl)的申请与配置。 决定购买何种SSL网站安全证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。在一系列SSL服务商面前,企业又该如何抉择呢?

在选择SSL证书时有很多重要的因素供您权衡,第一个因素是您的业务范围。很多证书对域和子域、物理服务器的数量是有限制的,建议充分参考提供的参数选择最适合您网站的SSL证书

选择之前您要考虑是否需要保护多个域名。例如,如果你在一台服务器上部署多个不同域名的站点,建议购买SSL多域名证书。其次一个主域名下的多个子域,都需要证书来保护信息传输安全,你应该选择SSL通配符证书,保护的二级子域名数量没有限制。

对线上购物者来说,绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用扩展验证EVSSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

清楚证书使用的加密长度是非常重要的。40位强度的证书暴力破解耗费4小时,而对于128位证书破解需要一万亿年以上。128位强制型,在消费者登录安全页面时以技术手段强制消费者采用128位加密级别,以提升安全性,能很大程度上减少隐私信息外泄的可能,因此128位强制型SSL证书在市场上倍受青睐。

低端SSL服务器证书无法与多数浏览器兼容,因此访问时会弹出安全警告或直接禁止客户访问,极大的降低客户登录成功率。同时低端证书一遍无法提供128位的加密强度,因此在安全性上存在重大隐患。对于重要的金融机构、大型购物网站,配置不进行身份验证的低端SSL证书极容易被欺诈仿冒,其品牌价值和信任度将经受严重考验。高端SSl服务器证书可以与浏览器完全兼容,高安全的加密强度及身份验证机制可以确保网站的安全可靠,其最新的天威诚信EVssl证书更可以展示绿色地址栏提升网站安全可信度。

 

其次,无论从功能、服务、认证级别还是证书安全性及证书应用体验考虑,免费的SSL证书都存在巨大差距。如果您只是在测试系统中使用免费的SSL服务是没有问题的,但如果涉及到隐私数据传输及网上交易及支付,应尽量避免使用免费的SSL证书产品,从而使机密数据的网上传输能够得到更好的安全保障。

分类
知识中心

解密SSL证书为何对企业网站安全如此重要

如今,对大多数年轻网民来说,网络购物已经成为一件稀松平常的事情。人们能够毫不犹豫地在购物网站上完成支付,是因为今天的技术已经能够为网络交易的真实性和安全性提供保障。比如,当我们在网上完成一笔交易时,都会提示安装安全证书,此时安全证书就相当于网站的身份证。浏览器在登录网站时会根据证书中提供的信息,逐级验证证书的真伪,以保证证书的真实性和网站的真实性。

其实所安装的安全证书,就是SSL证书及服务器证书。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer),以SSL安全协议来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,以及保障数据的完整性。

由于SSL技术建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

其次,SSL证书技术通过加密信息和提供鉴权,不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密,而不被黑客截取,即使截取到也是密文,也看不到真实的用户名与密码。而我们经常遇到的网络攻击,如数据劫持和钓鱼攻击等,都是在没有SSL证书的保护下造成的。这极有可能让用户信息泄露甚至造成严重的经济损失,而通过SSL证书认证就可有效避免,因为只有授权用户才能读取数据。

所以,随着网络的普及,网络安全环境对SSL证书的需求日益加大,目前世界500强企业中93%的公司和世界100家最大的银行中97%的银行以及全球50家大型电子商务网站中的47个网站都安装了VeriSign SSL证书。企业只有部署了SSL证书,才真正给了网民一个放心的交易平台。

目前在中国的网络安全市场也早已与世界同步,大部分互联网企业都部署了SSL证书,以期给广大个人网络用户最大极度的安全保障。天威诚信作为国内网络安全服务商经过几年的开拓已经领跑业界,合作伙伴遍及各个行业。近期更是签约了国航、强生等商业巨头。天威诚信提示广大用户重视网络安全、防止财产损失。更多网络安全问题请咨询天威诚信安全专家

分类
网络新闻

赛门铁克VeriSign SSL证书为“双11”保驾护航

“双11”临近,一场网络购物狂欢即将到来。然而,当一批又一批“剁手党”摩拳擦掌跃跃欲试的时候,一些不法分子也在磨刀霍霍,等待着那些“迷路的羔羊”送上门来。

最近几年,“网络钓鱼”伴随各类热门网络事件呈现“井喷式”爆发。在去年“双11”期间,网上爆出多起网民在支付过程中被钓鱼攻击的事件。某周姓女士在购买电烤箱时点击店家通过第三方即时通讯工具发来的付款链接,网银被盗刷11988元;一位小米妈妈在为宝宝添置衣服时同样轻信卖家发来的链接,网银里近2万元遭不法分子洗劫;另一位方女士银行信息被盗,农行卡中1万多元钱被通过多比快捷支付盗走……

根据公开的数据,去年“双11”期间,钓鱼网站攻击2.6亿次。很多用户因缺乏安全意识,因而容易遭遇钓鱼攻击;反过来对网站而言,尤其是从事电子商务网站,如果没有使用安全认证服务,事实上也间接对自己的用户造成了伤害。一般说来,在网上进行电子商务交易时,交易双方需要使用数字签名来表明自己的身份,并使用数字签名来进行有关的交易操作。掀起“双11”购物狂欢的淘宝使用了赛门铁克VeriSign证书服务,随着电子商务的盛行, CA 认证中心(如天威诚信)将为电子商务的发展提供可靠的安全保障。

我们知道,SSL证书是在客户端浏览器和Web服务器之间建立一条SSL安全通道,激活SSL协议并实现数据信息在客户端和服务器之间的加密传输,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

对线上购物者来说,绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用扩展验证EVSSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

所以,金融类企业网站、电商类企业网站等有信息和资金交互的网站通过使用SSL认证服务,可以帮助用户完成网站识别(比如绿色地址栏),进而避免用户被钓鱼攻击

分类
知识中心

协议漏洞来袭:如何安全防范方可化险为夷

2014年4月一个名为“心脏出血”Heartbleed的漏洞是由安全公司Codenomicon和谷歌安全工程师发现。“心脏出血”属于高危漏洞,一个请求就可能窃取到一个用户帐号(返回服务器64K内存)。通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前的或已存储的传输数据,或在通信方使用完全正向保密的情况下,发动主动中间人攻击。攻击者无法控制服务器返回的数据,因为服务器会响应随机的内存块。

其次,漏洞还可能暴露其他用户的敏感请求和响应,包括用户任何形式的POST请求数据,会话cookie和密码,这能使攻击者可以劫持其他用户的服务身份。在其披露时,约有17%或五十万通过认证机构认证的互联网安全网络服务器被认为容易受到攻击。

同时另一个名为“贵宾犬”Poodle的漏洞被发现。它能通过网络访问发现加密的数据,让黑客获得用户的银行账户,电子邮件以及其他服务。“贵宾犬”是继“心脏出血”和“Shellshock”漏洞之后,这已经是今年发现的第三个互联网漏洞了,但是美国研究机构——科力斯的应用安全总监克里斯迪克表示其危险性不及前两个,只是程序较为复杂而已。美国国土安全局的网络顾问表示,黑客必须通过“中间人”才能利用该漏洞进行攻击,例如一些咖啡馆的公共Wi-Fi热点就特别容易受到“贵宾犬”攻击。

据此情况,赛门铁克VeriSign)证书亚太区战略合作伙伴“天威诚信”发出声明,SSL协议漏洞与SSL证书本身是无关的。SSL证书用于激活服务器和客户端之间的SSL传输协议。现有的SSL协议已发展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多个版本。其中SSLv2及SSLv3已被发现存在漏洞,推荐在服务器端配置关闭该协议,仅开启TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影响。

俗话说,魔高一尺,道高一丈。能被发现的问题,就会有解决问题的办法出现。遇到漏洞别着急,可以咨询天威诚信安全专家了解。