标签: SSL 证书

分类
公司新闻

DigiCert根证书和中间CA 证书更新计划

2023月3月8日,DigiCert将开始向我们的公共第二代(G2)根和中间CA(ICA)证书层次结构更新TLS/SSL证书的默认公开发行。

为什么DigiCert将开始从G2根和中间CA证书层次结构颁发公共TLS/SSL证书?

2025年,Mozilla将开始不信任旧的DigiCert根证书。在下面的Mozilla证书不信任和日期表中指定的日期,Mozilla也将停止信任您的活动最终实体证书:首先是TLS/SSL证书,然后是S/MIME证书。

DigiCert已对移动到G2根证书层次结构进行了计时,以确保您的现有证书不会受到Mozilla不信任策略的影响。从G1层次结构颁发的活动TLS/SSL证书将保持受信任,直到过期。

Mozilla不信任证书和日期
Generation Root certificate *Mozilla TLS distrust date *Mozilla S/MIME distrust date
 G1  Baltimore CyberTrust Root  2025年4月15日  N/A
 G1  DigiCert Assured ID Root CA 2026年4月15日  2029年4月15日
 G1  DigiCert Global Root CA 2026年4月15日 2029年4月15日
 G1  DigiCert High Assurance EV Root CA  April 15, 2026 2029年4月15日
 G2  DigiCert Global Root G2 2029年4月15日 2032年4月15日
 G5  DigiCert TLS RSA4096 Root G5 2036年1月15日  N/A
 *在不信任日期,Mozilla 也将停止信任您的活动最终实体证书:首先是 TLS/SSL 证书,然后是 S/MIME 证书
受影响的数字证书品牌
品牌  类型  产品
  DigiCert  OV
  • Basic OV
  • Secure Site OV
  • Secure Site Pro SSL
  • Cloud
  • Standard SSL
  • Multi-Domain SSL
  • Wildcard
  • Secure Site SSL
  • Secure Site Multi-Domain SSL
  • Secure Site Wildcard SSL
  DigiCert  EV
  • Basic EV
  • Secure Site EV
  • Secure Site Pro EV SSL
  • Extended Validation SSL
  • EV Multi-Domain SSL
  • Secure Site EV SSL
  • Secure Site EV Multi-Domain SSL
  GeoTrust  DV
  • GeoTrust DV SSL
  • GeoTrust Cloud DV
  • GeoTrust Standard DV
  • GeoTrust Wildcard DV
 GeoTrust  OV
  • GeoTrust TrueBusiness ID OV
  GeoTrust  EV
  • GeoTrust TrueBusiness ID EV
  RapidSSL  DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  Thawte  DV
  Thawte  OV
  • Thawte SSL Webserver OV
  Thawte  EV
  • Thawte SSL Webserver EV
 Encryption Everywhere  DV
  • Encryption Everywhere DV
2023年3月8日,ICA根替换
Certificate brand G1 ICA证书-当前 G1根证书-当前 G2 ICA证书-新 G2 根A证书-新
 DigiCert DigiCert TLS RSA SHA256 2020 CA1 DigiCert Global Root CA DigiCert Global G2 TLS RSA SHA256 2020 CA1 DigiCert Global Root G2
  DigiCert DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA DigiCert EV RSA CA G2 DigiCert Global Root G2
  Thawte Thawte RSA CA 2018 DigiCert Global Root CA Thawte TLS RSA CA G1 DigiCert Global Root G2
  Thawte Thawte EV RSA CA 2018 DigiCert High Assurance EV Root CA Thawte EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust RSA CA 2018 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  GeoTrust GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA GeoTrust EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  RapidSSL RapidSSL Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA RapidSSL TLS RSA CA G1 DigiCert Global Root G2
 Encryption Everywhere Encryption Everywhere DV TLS CA – G1 DigiCert Global Root CA Encryption Everywhere DV TLS CA – G2 DigiCert Global Root G2
根证书和 ICA 证书的用途是什么?
根证书

根证书是公共证书信任的锚点。证书颁发机构 (CA) 与操作系统、浏览器和其他应用程序合作,将其根证书包含在信任存储区中,以确保您的公共证书受信任。

CA 使用公共根证书颁发中间 CA 证书。它们不使用根证书来颁发公共 TLS 证书。

ICA证书

CA 使用 ICA 证书颁发 TLS 和其他数字证书。ICA 证书还会将您的 TLS 证书链接到信任存储中的根证书,使浏览器和其他应用程序能够信任它。

切换根证书和 ICA 证书对我有何影响?

1、Digicert 及旗下所有品牌SSL证书自升级日期起将现有SHA1根证书签发体系升级到SHA2根证书签发体系,届时Digicert将使用新的根和中级CA签发证书;

2、升级日期之前已经生效的证书不受影响,可正常进行替换或加域名操作,在升级日期起进行替换或加域名操作,新证书的证书链会升级到新的根证书签发体系。

天威诚信提示您:

1、升级日期起签发的证书,请使用全新的中级证书进行安装部署,否则会因为中级证书链配置不完整而影响证书的兼容性;

2、如果您的客户端预埋了旧的证书链,使用升级日期起签发的证书后会导致业务中断的风险,请提前做好相关准备工作,若有问题欢迎随时联系我们。

分类
知识中心

什么是X.509证书?

X.509 是定义数字证书格式的标准。SSL证书使用 X.509 格式。换句话说,SSL证书实际上是 X.509 证书。

X.509 使用一种称为抽象语法表示法一 (ASN.1) 的形式语言来表示证书的数据结构。

X.509 格式的 SSL 证书包括以下信息:

  • 版本:根据 X.509 的证书数据格式的版本号。
  • 序号:CA 分配的证书的唯一标识符
  • 公钥:所有者的公钥
  • 主题:所有者的姓名、地址、国家/地区和域名
  • 发行:颁发证书的 CA 的名称
  • 有效起始日期:证书的有效日期
  • 有效期至:到期日期
  • 签名算法:用于创建签名的算法
  • 指纹:证书的哈希
  • 指纹算法:用于创建证书哈希的算法
分类
知识中心

SSL 握手协议

SSL握手协议是建立HTTPS连接的进程的技术名称。几乎所有重要的工作都是在这个协议中完成的。换句话说,它在服务器和客户端之间建立安全通道。

SSL握手协议的主要目的是执行具有安全连接所需的所有加密工作,例如检查SSL证书的真实性,它们是否由受信任的证书颁发机构创建和签名,证明服务器拥有的私钥与证书相关联,并且整个SSL握手是在几百毫秒内完成的。此外,SSL握手是HTTPS连接中发生的第一件事,甚至在网页完全加载之前。

每个软件彼此不同。因此,握手协议的第一步允许客户端和服务器共享其功能,以找出相互支持的加密功能。例如,Web浏览器是典型的客户端之一,但它们的功能因Microsoft Internet Explorer,GoogleChrome和Mozilla Firefox等浏览器而异。同样,当涉及到服务器时,如Windows Server,Apache和NGINX,它们的功能彼此不同。

虽然有一点需要注意,SSL握手是一系列几个步骤,这些步骤是为了完成以下三个主要任务而完成的。

  • 交换加密功能
  • SSL/TLS证书的身份验证
  • 交换或生成会话密钥

如果您有兴趣了解确切的过程是什么,以下是完整的说明步骤。(请注意,在即将推出的协议版本TLS1.3中,握手设计已更改。因此,这些步骤与TLS1.2相关。

步骤编号 消息 行动
1 客户你好 这是第一步。在这里,客户端通过发送消息”ClientHello”来启动握手,该消息推荐将在整个 SSL 会话期间使用的 SSL 参数。
2 服务器你好 在这里,服务器使用消息”ServerHello”响应客户端,其中包含从提供的列表中选定的 SSL 参数,这些参数将在 SSL 会话期间使用。如果客户端和服务器无法共享公共参数,则连接将立即终止。
3 证书 在这里,服务器将向客户端发送 SSL 证书链(包括叶证书和中间证书)。然后,客户端将通过验证证书和证书链的数字签名并检查证书数据是否存在任何潜在问题(证书是否过期,域名错误等)来开始检查证书是否合法。客户端还将确保服务器拥有证书的私钥,并且整个过程在密钥交换/生成期间完成。
4 ServerKeyExchange 这是一条可选消息,当某些密钥交换方法要求服务器提供其他数据时,需要该消息。
5 服务器HelloDone 在这里,服务器完成了 SSL 协商的一部分。换句话说,此消息”ServerHelloDone”告诉客户端所有消息都已发送过来。
6 客户端密钥交换 在这里,客户端发送有关会话密钥的信息,该密钥是使用服务器的公钥加密的。
7 更改密码规格 在这里,客户端向服务器提供指令,指示它为将来发送的所有消息激活所有协商的 SSL 参数。
8 完成 客户端指示服务器验证 SSL 协商是否成功。
9 更改密码规格 在这里,服务器向客户端发出指令,以激活所有协商的 SSL 参数,以便将来发送消息。
10 完成 最后,服务器指示客户端验证 SSL 协商是否成功。

完成上述步骤表示完成SSL握手。现在,双方将拥有会话密钥,并将开始与加密和经过身份验证的连接进行通信。此时,可以发送”应用程序”数据的第一个字节(属于双方将通信的实际服务的数据-即网站的HTML,Javascript等)。

分类
公司新闻

量子安全加密:DigiCert与Gemalto,ISARA强强联手

量子安全加密:DigiCert与Gemalto,ISARA强强联手

量子计算是当今加密的一大威胁,DigiCert希望解决这一问题。量子安全加密是一个需要及早关注的概念。今年,量子计算领域取得了惊人的进展。虽然这本身是个令人振奋的消息,但同时,这也对我们当下使用的加密标准构成了一大威胁。

量子安全加密:DigiCert与Gemalto,ISARA强强联手-1


量子安全加密

幸运的是,DigiCert已经宣布与Gemalto和ISARA合作,共同开发量子安全数字证书与密钥管理解决方案,尤其针对IoT设备。

DigiCert新兴市场执行副总裁Deepika Chauhan指出:“为了帮助互联设备及相关网络抵御未来量子计算带来的新型安全威胁,DigiCert、Gemalto和ISARA公司达成合作伙伴关系。三方将致力于确保用于汽车、工业控制系统、医疗设备、核电站及关键基础设施的互联系统在未来5年、10年,甚至20年里能够有效应对网络安全威胁。”

那么,什么是量子安全加密?这种合作关系对数字证书行业意味着什么?

让我们一一分析。

什么是量子计算?

最好先从回顾量子计算的基本概念开始。我们已经深入讨论过这一问题,这里是简化版:传统计算机在二进制系统上运行,这意味着位(0和1)是已知量,也即,位是0或1.

量子安全加密。量子计算完全不考虑这个概念。量子比特,即量子位,可以叠加,这意味着它们可以同时是0和1。这似乎有些抽象,确实如此。坦率地说,我们无须细究这个问题的细枝末节。重要的是,量子计算能力要比现代计算机的计算能力高出指数倍。这对今天的加密技术构成了巨大的威胁。

RSA(Rivest-Shamir-Adleman)是当今最常用的密码体系之一,它基于素数分解。众所周知,私钥实际上只是一长串字母和数字。要“破解”RSA加密,须猜出密钥。由于一台标准台式计算机一次只能尝试一个组合,因此破解一个2048位RSA私钥要耗时6.4千万亿年。

由于量子位能够叠加,即可同时处于多个位置,因此量子计算机可以一次尝试多个组合。你大概能够猜到这意味着什么……能够同时尝试多个组合可以极大地减少破解密钥的时间。

一台量子位量子计算机可以同时尝试两个数值。两台量子位计算机可以同时处于四个位置,这意味着可以同时尝试四个值。今年3月,谷歌推出了72量子位量子计算机,击败了IBM的50量子位量子计算机。72量子位量子计算机可以同时尝试272(4,722,366,482,869,645,213,696)个值。

突然间,猜测私钥并不那么困难了。事实上,这个过程可以很快完成。因为RSA的伸缩性欠佳,即密钥的硬度不会随着密钥的长度同等增加。

ISARA首席执行官兼创始人斯科特·托兹克说:“根据专家预测,大规模量子计算将在未来8至10年到来,届时,所有的现有公共密钥加密都将变得不再可信。为此,我们合力注入量子级安全加密技术,以确保安全堆栈的基础要素—— 根证书,得到有效的保护。这意味着,我们将为物联网制造商和大型机构带来必要的解决方案和工具,在量子时代到来之前,为应对量子威胁做好准备,确保机密信息和高价值资产安全无虞。”

数字证书的未来是耐量子的

很显然,现今使用的密码体系将无法承受量子计算的能力,因此,像DigiCert这样的公司带头走在即将到来的量子革命的前沿是至关重要的。这些问题极为重要,不能等到真正发生后再找出答案。

DigiCert在应对这一挑战中首屈一指。作为企业安全领域的领导者之一,DigiCert早已经享有盛誉,因此,DigiCert非常精通于如何应对大公司和组织的挑战及痛点。

这种合作关系之初的实现形式是,Gemalto的SafeNet硬件安全模块(作为密钥管理和存储解决方案)将与DigiCert的API集成,可为连接的设备大规模签发量子安全数字证书。数字证书将利用ISARA提供的量子安全加密。

这三家公司还与IETF及其他标准组织合作,为其他公司开始使用量子安全加密奠定基础。

DigiCert的提姆·霍勒比克在eWEEK采访中称:“ISARA及其他地方的研究人员正在研发量子计算机无法破解的新密码算法,这些算法需要用于PKI/TLS证书中,并且其他地方都使用经典的非对称算法。”

什么是量子安全加密?

如果没有数学或者物理学的博士学位,很难回答这个问题。从概念上讲,量子安全加密指能够抵挡量子计算机攻击的密码系统。

今天,密码系统的安全性依赖于三种数学问题:

●整数分解

●离散对数

●椭圆曲线离散对数

这三种问题是指它们可能被运行舒尔算法的量子计算机所破解。舒尔算法是皮特·舒尔于1994年提出的一种量子算法,可用于解决大多数公钥密码机制的破解问题。

为了保证量子安全,密码系统需要能够承受量子计算机可能对其施加的处理能力。有关后量子密码学的大多数研究集中在以下六种可能的方法中:

●基于格的密码学

●多元密码学

●基于哈希的密码学

●基于代码的密码学

●超奇异椭圆曲线同构密码学

●对称密钥量子电阻

ISARA似乎中意的方法之一是被称为Leighton-Micali的机制,这是一种基于哈希的密码系统,目前正在考虑标准化。它将一次性签名机制与Merkle树函数相结合。

量子安全数字证书会是什么样子?

现在我们至少已经了解了什么是量子安全加密,让我们来看看这个概念如何应用于我们今天使用的数字证书。

Equifax过期数字证书。本质上,您所看到的是一个X.509证书,它支持两种算法,并且有两个数字签名。一个算法和签名将用于当前使用的经典密码系统(如RSA),而另一个算法和签名将是量子安全的(如我们刚刚讨论的Leighton-Micali机制)。

这样,该证书仍然可以像其他数字证书一样用于普通计算机,并且在未来更新的系统中将能够使用量子安全加密算法。

这使得证书不会过时,对很多组织极具吸引力。但还有很多工作需要完成,包括升级现有的验证和签发系统,以及从数字证书行业内外的利益相关者那里买进。

但这是重大的第一步。

霍勒比克说:“向量子安全技术过渡将最终需要每一个使用密码保护其系统的用户进行投资,我们正在向长寿命设备制造商提供这一能力,以便他们具有较长保质期的产品从现在起就能够使用量子安全算法,而不需要后期更新。”

天威诚信与Digicert

天威诚信是依据《中华人民共和国电子签名法》,由工业和信息化部许可设立的电子认证服务机构。2000年将DigiCert/Symantec认证业务引入中国,开启为中国用户提供DigiCert/Symantec认证方案的先河。

目前,天威诚信公司是中国唯一一家由DigiCert/Symantec直接授权且由中国工信部批准的CA认证机构,拥有最高的行业准入标准。天威诚信服务于全行业超过95%的大客户,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。