标签： HTTPS

vTrus通过零信浏览器国密根证书可信认证

文章作者 mzwame
发布日期 2023年1月12日

随着国密算法在各重要领域的深入应用，支持国密算法的SSL证书和浏览器之间的合作也愈加紧密。在2022年6月，由天威诚信自主研发的支持国密SM2算法的vTrus自主根证书和国家根下的二级根证书正式通过零信浏览器国密根证书可信认证，获得《国密SM2可信根》证明书。

目前，天威诚信研发的国密根证书已被预置于全球唯一一个支持国密证书透明的零信浏览器信任，并全球多语言版本发布。

天威诚信签发的vTrus国密SSL证书在得到零信浏览器信任后，可实现有效的网络身份鉴别、信息传输国密算法加密，将有效保障我国网络空间安全、身份可信、加密传输，在防范网络入侵、网络钓鱼，保障网民的信息和财产安全等方面发挥着重要作用。

随着《密码法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施，国内重要领域越来越需要实现网站安全的国密合规，并逐渐开始部署国密SSL证书，同时在对内对外的业务场景中应用国密浏览器，以实现国密算法HTTPS加密，保障系统信息的安全。

天威诚信是为金融行业客户签发占比较多国密证书的CA机构之一，可为客户提供完善的国密HTTPS升级改造方案。目前，天威诚信vTrus国密SSL证书业已完成在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器、赢达信国密安全浏览器的根证书预埋，广泛应用于政府、电信、金融、能源等重点领域，保障关键基础设施的信息安全。

天威诚信vTrus国密证书正式入根零信浏览器，意味着天威诚信将同其他零信浏览器信任的CA机构一道，携手发展壮大国密数字证书体系，共同承担维护国家重要领域和关键信息基础设施的安全责任，在为用户提供更安全使用体验的同时，共同助力国密生态安全的建设发展。

在国密SM算法升级改造HTTPS应用不断加速的大趋势下，天威诚信将以vTrus国密SSL证书为纽带，协手国内众多安全生态伙伴，共同为国密数字证书体系的发展壮大和国密生态安全的建设发展贡献力量。

　　零信浏览器

零信浏览器是目前全球唯一一个支持国密证书透明的、完全免费的国密浏览器，并且独家特别增显国密加密标识、云WAF防护标识、网站可信认证标识、EV认证绿色地址栏等。

标签 360, CA, HTTPS, SSL, 天威, 天威诚信, 数字证书, 绿色地址栏, 网站安全, 网络安全, 金融, 钓鱼

知识中心

Apache单IP配置多个HTTPS虚拟主机方案

文章作者 mzwame
发布日期 2022年12月22日

在Apache文档中提到，不能在单个IP上同时有多个按名字识别的虚拟主机(“named virtual host”)，其实不完全是这样，接下来我们就来演示下如何打破这一魔咒。

　　使用SNI

SNI全称Server Name Indication（服务器名称指示），这个问题可以解决apache中的单IP多HTTPS虚拟主机，只有默认第一个站点的SSL生效的问题。但是这些技术需要浏览器的版本支持

　　支持SNI的浏览器

*Mozilla Firefox 2.0 or later

*Opera 8.0 or later(the TLS 1.1 protocol must be enabled)

*Internet Explorer 7(Vista,not XP)or later

*Google Chrome(Vista,not XP)(NOT Chromium)

*Safari 3.2.1 Mac OS X 10.5.6

　　支持SNI的web容器

*apache版本在2.2.12以上

*需要mod_gnutls或者mod_ssl模块的支持

*Openssl在0.9.8j后的版本也都支持了SNI的功能

　　配置Apache

打开Apache/conf/extra/httpd-vhost.conf文件并找到以下参数进行配置。

Listen 443

NameVirtualHost*:443

<VirtualHost*:443>

ServerName www.test1.com

SSLOptions StrictRequire

DocumentRoot/path/to/ssl/enabled/site

SSLProtocol all-SSLv2-SSLv3

注意，这里我们同时禁用了SSLv2、SSLv3不安全的协议。

SSLHonorCipherOrder on

SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

SSLCertificateFile conf/server.crt

SSLCertificateKeyFile conf/server.key

SSLCertificateChainFile conf/ca.crt

完成上述操作后，将CA证书ca.crt配置到该路径下。

SSLRequireSSL

Order Deny,Allow

Allow from All

</Directory>

</VirtualHost>

“`

最后，保存httpd-vhost.conf文件并退出，使用https方式访问网站，测试证书配置是否成功。

标签 Apache, CA, HTTPS, SNI, SSL, ssl模块, tls, 虚拟主机

知识中心

为什么国家一直大力推行国密SSL证书？

文章作者 mzwame
发布日期 2022年9月30日

随着国际安全形势的恶化，网络层面的战争也在悄然升级。今年以来，美国部分CA厂商已对被列入制裁名单的国家和地区禁售SSL证书，并停止对其域名的维护，导致失去SSL证书的网站和信息管理系统面临大规模的访问故障和安全隐患。

在当前及未来应用环境不可控的情况下，为保障重要领域信息系统安全，国家层面一方面积极推进网络通信“加密化升级”，提升信息技术自主安全能力；另一方面持续在重要行业推广使用我国自主研发的支持国密算法的SSL证书，以维护我国网络环境安全，护航数字经济健康发展。

国密算法比RSA算法更优

国密算法是我国在密码核心领域自主研发的技术成果，国密SSL证书则是遵循国家标准技术规范的支持国密算法的SSL证书，它与传统SSL证书的区别主要是密码算法体系的不同。

传统SSL证书多是国外CA厂商签发，通常采用的是RSA算法。而国密SSL证书则采用我国自主研发的SM2公钥算法体系，与RSA算法相比，SM2算法普遍采用256位密钥长度，单位安全强度相对较高，并发处理响应时间更短，是一种在安全性能、速度性能等方面都优于RSA的算法。

在保护网站信息安全方面，国密SSL证书在工作原理上和采用RSA算法的SSL证书是一样的。国密SSL证书和RSA算法的SSL证书在功能上都是采用自主可控密码技术保护数据机密性、完整性，实现HTTPS网站加密传输，防止数据在传输过程中被窃取或篡改，确保通信主体身份真实性、完整性。

企业如何兼顾国密合规与全球信任？

为保障我国网络环境的自主安全可控，国家层面近年来相继出台了《网络安全法》《密码法》《关键信息基础设施安全保护条例》等一系列法律法规，并对政府机构、事业单位、大型国企、金融银行等重要领域实施相关政策要求，以推动国密SSL证书的应用。

依托22年的证书服务经验，天威诚信可为有需求的客户提供自主建设的支持国密SM2算法的vTrus SSL证书产品，并通过软件Nginx国密兼容服务端部署、移动端SDK改造、报文签名验签等服务，帮助客户建立完整的国密SSL证书全生态支持体系，确保从浏览器到服务器的每个环节，都采用国密算法实现全流程HTTPS加密。

天威诚信vTrus SSL证书以国密SM2算法为支撑，覆盖单域名、多域名、通配符等多种型号，证书已成功预埋360浏览器、红莲花浏览器、奇安信浏览器、赢达信国密安全浏览器、零信浏览器等多款国密浏览器，可满足不同行业用户的使用需求。

此外，为保证网站系统的可用性和通用性，天威诚信还可提供全浏览器支持和全球信任的“SM2+RSA”双证书解决方案。完成双证书部署后，即可实现SM2算法与RSA算法之间的无缝切换，更近一步确保网站系统的可用性和安全性，保护重要领域网站数据传输安全。

通过天威诚信提供的国密SSL证书服务及双证书解决方案，既能帮助重点领域客户满足国家政策监管要求，又能以低成本规避巨大网络安全风险。目前，vTrus SSL证书已广泛应用于政府、电信、金融、能源等重点领域，切实保障客户网站信息安全，助力企业合规发展。

标签 360, CA, HTTPS, SSL, 企业, 天威, 天威诚信, 网络安全, 金融, 银行

安全播报

HTTPS证书为敏感信息穿上“防护衣”

文章作者 mzwame
发布日期 2022年8月30日

日前，中国司法大数据研究院正式对外发布《涉信息网络犯罪特点和趋势（2017.1-2021.12）司法大数据专题报告》（以下简称《报告》）。

《报告》显示，2017年至2021年，全国涉信息网络犯罪案件共涉及282个罪名，其中诈骗罪案件量占比最高，为36.53%。《报告》还显示，在网络诈骗案件中，前三类案件为贷款、冒充类和虚假招聘类案件。

网络诈骗缘何屡禁不止

近年来，网络诈骗高发多发，诈骗手法也是千变万化，它的主要特点是覆盖面广、变化快、社会危害大，打击起来又特别难，给企业和民众造成了巨大损失。

当前，网络诈骗已经由“随机诈骗”向“精准诈骗”转变。与广撒网、随机式诈骗方式不同，“精准诈骗”更具针对性和指向性，欺骗性、迷惑性进一步增强，一些犯罪分子还从单一“对话式”诈骗向“情景剧式”诈骗转变。

个人信息泄露是“精准诈骗”实施的重要推手。在网络环境中，信息的共享更为频繁和简单，但往往由于企业网站没有做好信息防护、网民自我保护意识较低等原因，导致不法分子通过网络攻击的手段大量窃取和盗卖用户个人信息，不仅危及用户的个人隐私和财产安全，也会给企业的网站系统和品牌信誉造成重大损失。

企业保护策略：从HTTPS做起

用户个人信息和企业运营数据是数字经济时代下企业的最大资产，而数据的生命周期包括“产生、传输、处理、存储、访问、展现”等诸多环节，任意环节存在的一丝风险，黑客、越权访问者都有可能通过非法手段盗窃数据。

在复杂多变的互联网环境下，企业应如何保障数据安全呢？

首先是增强管控措施，增强内部员工的防范意识，加强对IT人员的操作监管、操作审计和事前严格控制。

其次，从技术上防止数据泄露，为官网部署HTTPS证书，实现网站HTTPS加密，防止数据在传送过程中被窃取、篡改，保证数据的完整性，防止运营商的流量劫持、网页广告植入现象，确保用户与企业网站之间的链接是安全的。

此外，企业还应实时进行网络监控，发现可疑问题或者恶意攻击及时做出处理，做到防患于未然。用户也需提高网络安全意识，尤其在访问网站和支付时认准HTTPS加密链接，通过查看HTTPS证书确认网站的的真实身份，确保数据加密。

网络诈骗是一个极其复杂的社会治理问题，需要社会各界通力合作、共同治理。从实践情况看，企业为网站部署SSL证书，是当前较为有效的强化信息安全的解决方案，可有效减少虚假网站对用户权益的侵害。

天威诚信一直致力于构建安全可信的网络环境，可为企业提供Digicert、GeoTrust 、GlobalSign、Entrust等全球安全厂商的全类型SSL证书，以及支持国密SM2算法的国产vTrus证书，满足不同企业的信息安全需求。

标签 HTTPS, SSL, 企业, 天威, 天威诚信, 网络安全, 黑客

安全播报

隐私风险跃居国内首要网络隐患？尽快部署SSL证书为网站加上“安全锁”

文章作者 mzwame
发布日期 2022年8月23日

为了解当今IT审计中最受关注的技术风险，国际信息系统审计协会（ISACA）与甫瀚咨询近日联合推出了年度《IT审计技术风险调查》。来自全球的7,500余位IT审计领导者与专家参与了本次调查，调查结果显示：网络攻击、隐私、数据及监管合规几大方面为当今IT首要风险事项。

需要指出的是，中国地区的调查结果与全球综合数据有所不同。在中国地区，隐私风险取代网络攻击成为最受瞩目的焦点，该统计结果表明的趋势与中国企业信息技术快速更新迭代以及IT管理成熟度阶段等特点紧密相关。

数字化时代，隐私安全无小事

数字经济时代，网络上承载着个人身份信息、电话号码、银行卡号、住址、企业机密等各种信息，任何隐私信息泄露事件极可能导致企业名誉受损、收入及客户流失、受到合规处罚及审查，对企业安全和用户权益造成双重消极影响。

企业作为网站所有者和运营者，保护用户隐私信息和敏感数据安全，避免受到网络犯罪分子的恶意攻击是企业不可推卸的责任。此时，企业为网站部署SSL证书实现HTTPS加密的重要性便凸显出来了。

HTTPS是HTTPoverSSL的简称，是指对HTTP做了SSL处理，可以理解为给用户的隐私数据加了一把锁。当用户在网站上提交任何敏感信息时，HTTPS会对用户信息进行加密处理，保护数据免遭窃听、中间人攻击等恶意窃取或破坏，确保用户数据和隐私安全，同时保障数据的机密性和完整性。

同时，SSL证书通过在浏览器上显示安全锁、绿色地址栏、证书信息等形式，为用户提供了一种简单直观的方式来表明网站的真实性，避免用户因点击假冒网站而导致上当受骗，使用户可以放心浏览，企业也可以凭此获取客户的信任，从而提高获客率，助力企业业务增长。

部署SSL证书，护航企业数字化转型

当前，随着国内企业数字化转型进程的不断加快，越来越多业务开始线上化办理，包括用户信息在内的企业数据已经成为企业最重要的资产之一，也是为企业发展壮大新引擎。

在此情况下，企业更应加强用户个人信息的防护机制，及时为网站部署合适的SSL证书，不仅能够有效避免数据泄露的危害，还能够大幅消除用户对于个人隐私泄露的疑虑。

SSL虽然是看似简单的三个英文字母缩写，其中却包含着非常多的工作原理和技术。因此，企业需要依托可靠的机构部署SSL证书，实现HTTPS加密并提供后续服务。

天威诚信作为工信部许可设立的全国性电子认证服务机构，可为国内企业提供DigiCert、Geotrust、GlobalSign、Entrust、vTrus等众多知名品牌的SSL证书及可靠的认证服务，保障企业网站信息安全。

目前，天威诚信已累计为超过200万的各行业客户提供了完善的SSL证书产品与服务，并可根据客户需求提供可靠的本地化服务与全天候的技术支持，降低企业数据泄露的风险，并通过持续优化的服务和针对性的解决方案助力企业线上化业务安全发展。

标签 CA, HTTPS, SSL, 企业, 天威, 天威诚信, 绿色地址栏, 银行

安全播报

广东首例！一公司未履行数据安全保护义务被警方处罚，企业部署SSL证书需趁早

文章作者 mzwame
发布日期 2022年8月3日

7月26日，广州市公安局新闻办公室召开新闻发布会通报广州警方全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中，广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件：广州一公司未履行数据安全保护义务被警方处罚5万元。

警方检查发现，该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条，但该公司没有建立数据安全管理制度和操作规程，系统存在严重数据安全隐患。系统平台一旦被不法分子突破窃取，将导致大量驾校学员个人信息泄露，给广大人民群众个人利益造成重大影响。

此举对数据安全治理作出了积极探索和实践。履行数据安全保护义务，保护数据安全是企业应有的责任，特别是持有、掌握大量公民个人信息的单位，更应该严格依法采取保护措施，有效保障公民个人信息安全。

按照《中华人民共和国数据安全法》第八条规定，企业应依法、依规履行数据安全保护义务。当前，在众多数据安全保护措施之中，为网站部署SSL证书，仍是提升企业网站服务器防护能力的重要举措。

网站通过部署SSL证书实现HTTPS安全协议，可对数据进行高强度的加密，防止用户隐私数据在信息传输时被黑客攻击。一方面可以防止用户信息泄露，另一方面可以防止网站被钓鱼网站冒充，避免不必要的用户流失与品牌信任危机。

如网站未配备SSL证书，用户在访问该站点时，会遇到弹出“连接不安全”、“不受信任的证书”等提醒，大部分用户见到此类弹窗后，会放弃继续浏览。因此，为保障网站数据安全，提升客户转化率，企业应及时部署合适的SSL证书，避免因网站安全问题给企业造成损失。

天威诚信是国内老牌的SSL证书服务提供商，依托服务于全行业超过95%大客户的深厚经验，可为国内企业网站提供世界各大品牌的全品类SSL证书产品和相关认证服务。目前，天威诚信已累计为200+企业提供权威的认证服务和安全的认证保障，是国内企业域名安全领域的知名品牌之一。

标签 HTTPS, SSL, 企业, 天威, 天威诚信, 网站安全, 钓鱼, 黑客

网络新闻

国家新安全技术标准发布！公有云个人信息保护成关注焦点

文章作者 mzwame
发布日期 2022年7月27日

近日，国家市场监督管理总局、国家标准化管理委员会发布了中华人民共和国国家标准公告（2022年第8号），全国信息安全标准化技术委员会归口的国家标准GB/T41574-2022《信息技术安全技术公有云中个人信息保护实践指南》正式发布，实施日期为2023年2月1日。

云计算作为新兴信息技术之一，支撑着数字经济发展，也是产业升级的重要基石，但只要是信息技术就绕不开“个人信息保护”这一铁律。事实上，国内外一些公有云厂商数据丢失的事件也屡见报道。伴随该标准的发布，不免令人心生疑虑，公有云环境下的数据信息真的不安全吗？

没有绝对的安全，只有相对的安全

云计算根据服务对象范围的不同，有四种部署模式：公有云、私有云、社区云和混合云，其中最常见的是公有云和私有云。公有云通常指第三方提供商为用户提供的能够使用的云，一般可通过Internet使用，其服务可能是免费或成本低廉的。

对用户来说，部署公有云后，不需要再投入成本建立数据中心，不需要进行系统的维护，在降低了使用成本的同时，可获得技术领先的云计算服务。尽管如此，仍有不少企业拒绝使用公有云而选择私有云，他们最大的担心就是数据安全问题。有企业直接表示，如果把所有数据托付给公有云服务商，就相当于失去原本属于自己的控制权，岂不是任何人都可以访问我的数据？

把云安全的讨论归结为“公有云不安全，私有云安全”的公式似乎过于简单化。因为，安全具有相对性：没有绝对的安全，只有相对的安全。一旦计算设备连上网络，都有可能遭受恶意的网络攻击，不管是公有云还是私有云，本质上面临的安全问题都是一样的。

部署SSL证书，实现数据安全传输

为了解决安全问题，IT巨头们投入了大量的人力物力财力。对于企业最关心的数据安全和用户个人信息安全问题，目前主流的技术解决方案是数据加密技术，其中尤以使用SSL协议加密最为普遍和实用。

SSL协议是一种全球化标准的安全通信协议，通过在服务器和客户端之间建立一条加密的通道，保障数据传输安全，保证信息不会被窃取和篡改。在当前，实现SSL协议的方式就是为网站安装SSL证书。

安装SSL证书后，网站协议将从HTTP转换为安全HTTPS，网站的URL中也会添加一个可信任的绿色安全挂锁符号，确保访问者通过安全连接进行通信。SSL证书增加了网站的用户体验，并有助于提高其在Google搜索引擎结果页面上的排名。此外，它还验证了网站的真实性，避免了用户被钓鱼网站欺诈的风险，更有利于保护用户个人信息，赢得用户信任。

随着各类云平台、云产品的不断完善，云计算生态体系的不断壮大，为响应国家政策要求，也为给客户和合作伙伴提供更加安全可靠的服务，各类云服务商应持续强化安全意识，通过包括SSL证书在内的数据加密技术对云端关键数据进行加密处理，确保数据的存在性、完整性与可用性，保护用户隐私，不断提升云服务能力的专业性和可靠性。

作为工信部许可设立的首批全国性电子认证机构，天威诚信可为广大企业和各类云服务商提供支持国际和国密算法的全品类SSL证书服务，以及基于加密技术的各类密码应用服务，依托全面的安全解决方案和可靠的CA运营机制护航公有云的健康发展，守护企业数据与用户个人信息的安全。

标签 CA, HTTPS, SSL, SSL协议, 企业, 天威, 天威诚信, 钓鱼

公司新闻

天威诚信vTrus证书入根两款国密浏览器，共筑国密生态安全

文章作者 mzwame
发布日期 2022年7月15日

日前，天威诚信自主研发的支持国密SM算法的vTrus SSL证书成功入根赢达信、零信两款国密浏览器，标志着天威诚信在国产密码研发应用领域取得了新进展，进一步夯实了国密数字证书的安全根基。

长期以来，密码都是维护网络信息安全的核心技术和黄金标准。也正因如此，针对密码的网络攻击从未止息，甚至呈现愈演愈烈之势。随着密码技术的发展，DES、MD5算法早已被攻破，国际RSA算法也面临着严峻的安全挑战。

为应对密码算法应用中存在的问题，我国积极推动国产密码算法的研发和使用，先后研制和公布了SM2、SM3、SM4等一系列国密算法，并制定了相关标准，包括国密浏览器在内的各类国密安全产品应运而生，赢达信安全浏览器和零信浏览器正是践行国密算法应用，构筑国密生态安全体系的创新产品。

赢达信国密安全浏览器

赢达信国密安全浏览器由天津赢达信科技有限公司自主研发，主要应用于政企、金融和重要领域信息系统的安全办公应用。

浏览器支持SM2、SM3和SM4国密算法，支持基于国密算法的SSL协议，内置国密根证书，目前已获得国家密码管理局商用密码检测中心商用密码产品认证证书，先后在多个政企项目中成功应用。

零信浏览器

零信浏览器是由零信技术（深圳）有限公司基于开源Chromium研发的一款全面支持国密双证书和单证书的国密浏览器。其最主要特色就是优先使用国密算法实现HTTPS加密，网站部署国密SSL证书后，地址栏安全锁后面会增加一个“m”标识，以突显国密算法。

此外，零信浏览器在使用HTTPS协议同服务器握手过程中就已经全部了解了SSL证书的安全部署情况，即在正常显示安全锁标识的同时显示网站安全体检评级级别，这是零信浏览器的全球独家率先创新实现，有利提升网站安全的整体水平。

随着《密码法》《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施，国内重要领域越来越需要实现网站安全的国密合规，并逐渐开始部署国密SSL证书，应用国密浏览器，以实现国密算法HTTPS加密。

作为国内首批获得《电子认证服务许可证》《电子认证服务使用密码许可证》的电子认证机构，天威诚信积极响应国家政策，依托深耕密码领域多年的技术优势，自主研发的支持SM2算法的电子认证服务系统/密钥管理系统已通过国家密码管理局的安全性审查，在此基础上研发了支持国密SM算法的vTrusSSL系列证书。

在国密SM算法替代国际RSA算法和泛在化应用不断加速的大趋势下，通过纵向深耕与横向协作，vTrusSSL证书已实现了在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器的根证书预埋，进一步提升了各国密浏览器的兼容性，并广泛应用于政府、电信、金融、能源等重点领域，保障关键信息的安全。

天威诚信vTrus证书的正式入根，意味着天威诚信将与赢达信国密安全浏览器和零信浏览器一起，携手发展壮大国密数字证书体系，共同承担维护国家重要领域和关键信息基础设施的安全责任，在为用户提供更安全使用体验的同时，共同助力国密生态安全的建设发展。

标签 360, HTTPS, SSL, SSL协议, 天威, 天威诚信, 数字证书, 网站安全, 金融

安全播报

88%企业遭受DNS攻击 SSL证书为您的DNS安全护航

文章作者 mzwame
发布日期 2022年6月16日

据国际知名网络安全机构EfficientIP与IDC合作发布的《2022年全球DNS威胁报告》指出，在过去一年中，88%的组织遭受了与DNS相关的攻击，平均每家响应公司有七次。其中包括DNS隧道、DDoS攻击、DNS劫持和云配置错误滥用等，与上一年相比，所有类别的攻击频率都有所增加，其中尤以DNS劫持最为显著。

正如报告指出的那样，在DNS相关攻击类别中，DNS劫持是一种非常常见且危害极大的网络攻击手段，其攻击目的与方式十分直接，就是通过修改域名的NS记录，将域名原本指定的DNS服务器修改为黑客可以操控的DNS，然后便可以通过修改域名解析记录的方式，将域名指向恶意IP从而达到劫持的目的。

DNS劫持对业务造成哪些影响？

DNS一旦被劫持，相关用户查询就没办法获取到正确IP解析，这就很容易造成：

（1）很多用户习惯依赖书签或者易记域名进入，一旦被劫持会使这类用户无法打开网站，导致用户大量流失。

（2）用户流量主要是通过搜索引擎SEO进入，DNS被劫持后会导致搜索引擎蜘蛛抓取不到正确IP，网站就可能会被百度屏蔽掉。

（3）一些域名使用在手机应用APP调度上，如果解析出现劫持就会导致应用APP无法访问，进而出现用户无法访问或者下载的空窗期。

从上图可以看到，DNS劫持对业务有着巨大影响，对用户而言，通过DNS劫持可以将用户诱导至攻击者控制额非法网站，可能会造成银行卡号、手机号码、账号密码等重要信息的泄露。对政府或企业网站而言，DNS劫持将用户引导至其他网站，会导致用户流失和形象受损，同时造成数据失窃、流量被劫持等潜在风险。

防DNS劫持需要“组合拳”

DNS自创建以来一直都是网络安全的致命弱点，因而也成为网络犯罪分子获取网络访问权限和窃取数据的首选目标。为保护网站信息安全，各个网站都要组织部署适当的DNS安全解决方案，以提高网络安全性。

那么，要如何防御DNS劫持呢?

DNS对网站安全的作用至关重要，防御DNS劫持不能依靠单一的方式，必须采取多重组合方案提升网站DNS防护能力。除常规的定期修改域名管理系统账号、设置较小的TTL值、锁定DNS解析记录等方式外，还应为网站部署较高等级的SSL证书，从根本上强化网站系统安全。

较高等级的SSL证书如OVSSL和EVSSL证书具备服务器身份认证和数据传输加密功能，如果网站DNS被劫持，就会因为无法提供正确的网站证书而发出警告提示，从而使劫持被及时发现和终止。同时，通过HTTPS加密协议可确保网站在服务端和客户端的数据传输中不被窃取和篡改。

基于SSL证书对网站信息的强大防护作用，当前，各大公司的网站都会使用OV型或者EV型证书，以保障网站信息、在线交易的安全。同时，各主流浏览器也要求企业网站安装SSL证书，否则就会出现不安全提示。

为保障网站信息安全，企业应根据自身网站的性质和规模，尽快向可信的CA机构发起证书申请。作为工业和信息化部批准设立的首批电子认证服务机构，天威诚信早在2000年便开始为国内企业提供SSL证书服务，目前已服务目前已服务于全行业95%大客户，覆盖超10亿网民，伴随着数字经济的蓬勃发展，天威诚信依托数字证书等技术和产品服务，在保障企业网站信息安全的基础上，持续助推全行业的数字化转型。

标签 APP, CA, HTTPS, SSL, 企业, 天威, 天威诚信, 数字证书, 网站安全, 网络安全, 银行, 黑客

知识中心

SSL 握手协议

文章作者 mzwame
发布日期 2022年2月23日

SSL握手协议是建立HTTPS连接的进程的技术名称。几乎所有重要的工作都是在这个协议中完成的。换句话说，它在服务器和客户端之间建立安全通道。

SSL握手协议的主要目的是执行具有安全连接所需的所有加密工作，例如检查SSL证书的真实性，它们是否由受信任的证书颁发机构创建和签名，证明服务器拥有的私钥与证书相关联，并且整个SSL握手是在几百毫秒内完成的。此外，SSL握手是HTTPS连接中发生的第一件事，甚至在网页完全加载之前。

每个软件彼此不同。因此，握手协议的第一步允许客户端和服务器共享其功能，以找出相互支持的加密功能。例如，Web浏览器是典型的客户端之一，但它们的功能因Microsoft Internet Explorer，GoogleChrome和Mozilla Firefox等浏览器而异。同样，当涉及到服务器时，如Windows Server，Apache和NGINX，它们的功能彼此不同。

虽然有一点需要注意，SSL握手是一系列几个步骤，这些步骤是为了完成以下三个主要任务而完成的。

交换加密功能
SSL/TLS证书的身份验证
交换或生成会话密钥

如果您有兴趣了解确切的过程是什么，以下是完整的说明步骤。（请注意，在即将推出的协议版本TLS1.3中，握手设计已更改。因此，这些步骤与TLS1.2相关。

步骤编号	消息	行动
1	客户你好	这是第一步。在这里，客户端通过发送消息”ClientHello”来启动握手，该消息推荐将在整个 SSL 会话期间使用的 SSL 参数。
2	服务器你好	在这里，服务器使用消息”ServerHello”响应客户端，其中包含从提供的列表中选定的 SSL 参数，这些参数将在 SSL 会话期间使用。如果客户端和服务器无法共享公共参数，则连接将立即终止。
3	证书	在这里，服务器将向客户端发送 SSL 证书链（包括叶证书和中间证书）。然后，客户端将通过验证证书和证书链的数字签名并检查证书数据是否存在任何潜在问题（证书是否过期，域名错误等）来开始检查证书是否合法。客户端还将确保服务器拥有证书的私钥，并且整个过程在密钥交换/生成期间完成。
4	ServerKeyExchange	这是一条可选消息，当某些密钥交换方法要求服务器提供其他数据时，需要该消息。
5	服务器HelloDone	在这里，服务器完成了 SSL 协商的一部分。换句话说，此消息”ServerHelloDone”告诉客户端所有消息都已发送过来。
6	客户端密钥交换	在这里，客户端发送有关会话密钥的信息，该密钥是使用服务器的公钥加密的。
7	更改密码规格	在这里，客户端向服务器提供指令，指示它为将来发送的所有消息激活所有协商的 SSL 参数。
8	完成	客户端指示服务器验证 SSL 协商是否成功。
9	更改密码规格	在这里，服务器向客户端发出指令，以激活所有协商的 SSL 参数，以便将来发送消息。
10	完成	最后，服务器指示客户端验证 SSL 协商是否成功。

完成上述步骤表示完成SSL握手。现在，双方将拥有会话密钥，并将开始与加密和经过身份验证的连接进行通信。此时，可以发送”应用程序”数据的第一个字节（属于双方将通信的实际服务的数据-即网站的HTML，Javascript等）。

标签 Apache, HTTPS, SSL, SSL 证书, TLS证书, 数字签名