分类
知识中心

HTTPS协议是如何防中间人窃听的

HTTPS协议是在HTTP协议的基础上,通过添加SSL加密协议而成的,其载体就是SSL证书。SSL协议是一种用于网络通信安全的加密协议,可以将数据在传输过程中进行加密,防止中间人窃听,保证数据的机密性和完整性。

HTTPS协议是如何防中间人窃听的

那么,HTTP协议具体是如何防止中间人窃听的呢?要回答这个问题,我们就要明白HTTPS协议双方(客户端和服务器)的通信过程。

客户端发送请求

当用户在浏览器中输入一个HTTPS网址时,客户端会向服务器发送一个请求,请求将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

服务器回应

服务器确定本次通信采用的SSL版本和加密套件,并将携带自己公钥信息的数字证书发送给客户端,通知客户端版本和加密套件协商结束,开始进行密钥交换。

客户端验证证书并生成密钥

客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成密钥,并通知SSL服务器。

客户端发送密钥

客户端使用已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),发送给SSL服务器。

服务器解密密钥

服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

经过以上的验证和加密,HTTPS通信就建立了起来。此时,客户端和服务器之间的数据传输都是通过对称密钥进行加密的,通信过程非常安全。

理解了以上内容就会明白,客户端和服务器实现加密通讯最重要的过程就是验证SSL证书,只要证书是合规的,服务器是安全的,就可以防止中间人窃听和攻击。

SSL证书由专业的CA机构颁发和管理,所以是可信的。最后,要注意的是,当您浏览网页时遇到浏览器或手机端弹出安全警告时,一定不要随意信任和继续浏览,因为,黑客可能正在暗处等待着,窥探您的隐私并窃取数据。

分类
知识中心

SSL/TLS可以防止哪些攻击?

SSL/TLS是互联网/在线安全的使用标准。这些协议用于加密在客户端机器和服务器(计算机上托管的网站)之间通过不安全介质(互联网)发送的数据。这可以防止多种类型的攻击。即使黑客拦截了加密数据,如果没有用于解密过程的私钥,他/她也无法读取或将其用于有益的目的。

SSL/TLS使网站安全,因为它经常保护数据不被窃取、修改或欺骗。任何网站都不可能100%安全,但任何存储客户个人信息或其他敏感数据的网站都应启用SSL/TLS,以增加更高级别的安全性,增加客户的信心。

世界上的黑客不断寻找打破互联网实际标准(即SSl/TLS)的方法。SSL/TLS漏洞的高回报性使攻击者竭尽全力,这使组织面临漏洞和计划外系统停机的风险。

分类
知识中心

SSL和TLS

TLS(传输层安全性)是用于身份验证和加密的 SSL(安全套接字层)协议的后继者。目前,TLS 1.3 被认为是最安全的,与其前身相比,它在 RFC 8446 中定义。SSL和TLS版本1.2由于这些协议(如ROBOT,LogJam和WeakHD)的漏洞和攻击而被弃用。这些攻击利用了在协商阶段客户端和服务器之间发生密钥交换的方式。随着TLS 1.2的引入,这些攻击得到了缓解,但是仍然容易受到降级攻击,如POODLE。这些漏洞已在 TLS 1.3 中得到缓解,TLS 1.3保护了客户端-服务器协商期间的握手,从而缓解了这些漏洞。

为什么SSL证书很重要?使用SSL证书的好处

SSL和TLS是用于加密网络设备之间通信通道的协议。SSL和TLS用于在数字证书的帮助下绑定系统,用户,网站等的身份。这些数字证书由内部受信任的证书颁发机构或公共证书颁发机构颁发。内部证书在企业内的网络设备之间受信任,而公共证书受全球网络设备信任。这些证书保存最终实体的身份,并包含一个由一对公钥和私钥组成的加密密钥对。公钥与证书一起分发,而私钥由实体保护。使用这些密钥对网络通道进行加密,以确保这些网络设备之间通信的数据不会被篡改或更改。

但是,在所有这些安全措施到位的情况下,始终存在漏洞,技术和流程差距,使黑客能够利用和窃取数据。

分类
知识中心

CA如何判断您是否链接到合法网站?

CA如何判断您是否链接到合法网站?这正是证书颁发机构的实际工作;它确保您知道您正在与谁在线交谈。CA 验证网站和组织,从而防止您将数据或敏感号码发送给黑客。

当您访问安全网站时,现代浏览器的 URL 栏中应始终有锁定。当您单击它时,锁将显示更多信息,包括确认站点当前证书的声明。

安全网站
您甚至可以看到证书的详细信息,其中包括所有参数,例如颁发给谁,颁发者,有效期和指纹等。

证书详细信息
如果站点显示连接不是专用的警告,并指出证书不受信任且没有有效证书,则它是一种虚假网站,打开不安全。

不是有效的证书
所有证书必须由信誉良好的实体颁发,防篡改,并包括证明其合法性的信息,以使该系统正常运行。

分类
安全播报

HTTPS证书为敏感信息穿上“防护衣”

日前,中国司法大数据研究院正式对外发布《涉信息网络犯罪特点和趋势(2017.1-2021.12)司法大数据专题报告》(以下简称《报告》)。

《报告》显示,2017年至2021年,全国涉信息网络犯罪案件共涉及282个罪名,其中诈骗罪案件量占比最高,为36.53%。《报告》还显示,在网络诈骗案件中,前三类案件为贷款、冒充类和虚假招聘类案件。

网络诈骗缘何屡禁不止

近年来,网络诈骗高发多发,诈骗手法也是千变万化,它的主要特点是覆盖面广、变化快、社会危害大,打击起来又特别难,给企业和民众造成了巨大损失。

当前,网络诈骗已经由“随机诈骗”向“精准诈骗”转变。与广撒网、随机式诈骗方式不同,“精准诈骗”更具针对性和指向性,欺骗性、迷惑性进一步增强,一些犯罪分子还从单一“对话式”诈骗向“情景剧式”诈骗转变。

个人信息泄露是“精准诈骗”实施的重要推手。在网络环境中,信息的共享更为频繁和简单,但往往由于企业网站没有做好信息防护、网民自我保护意识较低等原因,导致不法分子通过网络攻击的手段大量窃取和盗卖用户个人信息,不仅危及用户的个人隐私和财产安全,也会给企业的网站系统和品牌信誉造成重大损失。

企业保护策略:从HTTPS做起

用户个人信息和企业运营数据是数字经济时代下企业的最大资产,而数据的生命周期包括“产生、传输、处理、存储、访问、展现”等诸多环节,任意环节存在的一丝风险,黑客、越权访问者都有可能通过非法手段盗窃数据。

在复杂多变的互联网环境下,企业应如何保障数据安全呢?

首先是增强管控措施,增强内部员工的防范意识,加强对IT人员的操作监管、操作审计和事前严格控制。

其次,从技术上防止数据泄露,为官网部署HTTPS证书,实现网站HTTPS加密,防止数据在传送过程中被窃取、篡改,保证数据的完整性,防止运营商的流量劫持、网页广告植入现象,确保用户与企业网站之间的链接是安全的。

此外,企业还应实时进行网络监控,发现可疑问题或者恶意攻击及时做出处理,做到防患于未然。用户也需提高网络安全意识,尤其在访问网站和支付时认准HTTPS加密链接,通过查看HTTPS证书确认网站的的真实身份,确保数据加密。

网络诈骗是一个极其复杂的社会治理问题,需要社会各界通力合作、共同治理。从实践情况看,企业为网站部署SSL证书,是当前较为有效的强化信息安全的解决方案,可有效减少虚假网站对用户权益的侵害。

天威诚信一直致力于构建安全可信的网络环境,可为企业提供DigicertGeoTrustGlobalSign、Entrust等全球安全厂商的全类型SSL证书,以及支持国密SM2算法的国产vTrus证书,满足不同企业的信息安全需求。

分类
公司新闻

天威诚信国密改造持续推进中

随着网络购物、移动支付、金融理财等场景的普及盛行,大量个人金融信息留存在各金融类服务平台中。高频、高速、高密度的个人金融信息在不同渠道传输,个人数据违法获取、违规泄露等侵害用户权益的情况屡有发生。

天威诚信国密改造持续推进中
为保护金融领域数据安全,银保监会在2022年5月19日发布了《银行保险机构消费者权益保护管理办法征求意见稿》,其中包括对于个人信息保护机制的要求,“从收集、使用、传输消费者个人信息等方面作出规定,保护消费者信息安全权。”

然而,我国个人信息泄露现状仍需重视。据微众银行近日发布的《ESG丨个人信息保护专题研究报告》显示,82.5%的用户遭遇过个人信息泄露事件,其中12.9%的用户遭遇了10次以上的个人信息泄露,频繁的电话骚扰和数据失窃,给用户和金融机构造成了诸多困扰。

在数字经济“数据为王”的时代背景下,个人金融信息的经济价值日益凸显。与其他个人信息相比,个人金融信息具有高价值的特点,若因网络黑客攻击导致用户信息泄露,或由此关联到银行或者国家关键基础设施建设的安全,将会造成无法估量的损失。

在保护金融机构等国家关键基础设施建设安全方面,国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强金融行业安全可控的要求。国产密码算法的推广和应用已经成为我国快速应对信息安全威胁的首选措施之一,也是我国从根本上实现信息化产业完全自主可控的安全基础。

作为电子认证机构这个国产密码算法排头兵来说,由于密码服务是信息化安全建设的基础服务,密码的国产化改造和推广就成为电子认证机构重要的历史使命。鉴于金融机构往往存在分支机构多、渠道多、业务场景多的特点,在网络层及应用层实施全面的数据国密改造仍存在较大的困难。

天威诚信作为深耕国密改造领域多年的全国性电子认证机构,同时也是制定SM算法服务器证书体系标准课题研究的牵头单位之一,早在2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查并获得商用密码产品型号证书。

通过结合金融行业客户国密改造需求,依托密码与数据加密技术,天威诚信可从算法、协议、密钥等多个方面为金融机构提供一站式全面国密改造方案,方案支持SM2/SM3/SM4等国密算法,可有效解决金融系统服务端和客户端在身份认证、数据存储、数据传输过程中面临的安全问题。

目前,天威诚信国密改造方案已在银行、互联网金融、期货、保险、证券、第三方支付等金融场景中得到深入应用,未来天威诚信将继续立足在国密改造领域的技术优势,通过赋能多元化金融场景,加速推进金融行业国密改造工作,为金融机构数据安全和高质量发展保驾护航。

分类
安全播报

广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早

7月26日,广州市公安局新闻办公室召开新闻发布会通报广州警方全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。

为什么谷歌要求网站使用SSL证书

警方检查发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,系统存在严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。

此举对数据安全治理作出了积极探索和实践。履行数据安全保护义务,保护数据安全是企业应有的责任,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。

按照《中华人民共和国数据安全法》第八条规定,企业应依法、依规履行数据安全保护义务。当前,在众多数据安全保护措施之中,为网站部署SSL证书,仍是提升企业网站服务器防护能力的重要举措。

网站通过部署SSL证书实现HTTPS安全协议,可对数据进行高强度的加密,防止用户隐私数据在信息传输时被黑客攻击。一方面可以防止用户信息泄露,另一方面可以防止网站被钓鱼网站冒充,避免不必要的用户流失与品牌信任危机。

如网站未配备SSL证书,用户在访问该站点时,会遇到弹出“连接不安全”、“不受信任的证书”等提醒,大部分用户见到此类弹窗后,会放弃继续浏览。因此,为保障网站数据安全,提升客户转化率,企业应及时部署合适的SSL证书,避免因网站安全问题给企业造成损失。

天威诚信是国内老牌的SSL证书服务提供商,依托服务于全行业超过95%大客户的深厚经验,可为国内企业网站提供世界各大品牌的全品类SSL证书产品和相关认证服务。目前,天威诚信已累计为200+企业提供权威的认证服务和安全的认证保障,是国内企业域名安全领域的知名品牌之一。

分类
知识中心

HTTPS的优势有哪些

安全通信:https通过在浏览器和服务器或任意两个系统之间建立加密链接来建立安全连接。

数据完整性:https通过加密数据来提供数据完整性,因此,即使黑客设法捕获数据,他们也无法读取或修改数据。

隐私和安全:https通过防止黑客被动地监听浏览器和服务器之间的通信来保护网站用户的隐私和安全。

更快的性能:与http相比,https通过加密和减小数据的大小来提高数据传输速度。

搜索引擎优化:使用https可以提高SEO排名。在谷歌浏览器中,如果用户的数据是通过http收集的,谷歌会在浏览器中显示“不安全”标签。

未来:https通过使互联网对用户和网站所有者安全来代表网络的未来。

http vs https
网址 网址
以超文本(结构化文本)格式传输数据 以加密格式传输数据
默认使用端口 80 默认使用端口 443
不安全 使用 SSL 技术进行保护
开头为http:// 开头为https://
分类
安全播报

短链接钓鱼再度肆虐 部署SSL证书杜绝安全隐患

据外媒报道,数字风险防护公司CloudSEK观察到,在大规模网络钓鱼活动中使用短链接的情况有所增加,同时,不法分子还借助反向隧道在本地托管网络钓鱼页面,以逃避防护系统检测。专家建议,为了防止此类威胁,用户应避免点击从未知或可疑来源收到的链接。

短链接钓鱼再度肆虐 部署SSL证书杜绝安全隐患-1

防御钓鱼攻击SSL证书必不可少

钓鱼网站是互联网中最常碰到的一种诈骗方式,通过诱导用户点击“短链接”跳转到伪装成银行或电子商务网站,窃取用户输入的银行账号、身份证、密码等私密信息和企业的敏感数据,由于钓鱼网站和真实网站差别细微,用户很难第一时间分辨该链接是否为虚假网站或钓鱼网站,稍不留心便会上当受骗。

防御钓鱼攻击最重要的方式就是识别网站的真实身份。网站都是由字母数字组合在一起的域名,但这些字母和数字并不能表明网站服务器的真实身份,用户也无法仅从域名来区分这个网站是属于哪个公司,在不确定的互联网环境中,企业要杜绝此种情况,就需要安装SSL证书来为网站“验明正身”了。

SSL证书由国家授权的电子认证服务机构签发,安装SSL证书可以认证网站服务器身份,帮助用户识别正确网站,以及防止网站被黑客窃取、篡改和监听关键信息。但要注意的是,并不是所有的SSL证书都能起到防钓鱼的作用。

保护网站安全首选高等级SSL证书

通常,网站的SSL证书分为3个级别:DV SSL证书OV SSL证书EV SSL证书

DV SSL证书只能实现网站的https加密功能,不需验证公司的真实性即可自动签发,很容易让一些不法分子钻空子。

OV SSL证书可以实现https加密功能以及企业身份认证,除验证域名管理权限外,还要通过人工审核的方式重点验证企业信息,确认该公司是否真实、合法存在,确保真实有效,安装SSL证书后,用户点击证书即可查看企业的详细身份信息。

EV SSL证书防护等级最高,验证环节更多,也更为严格。如果公司未满三年,还必须要提供银行开户许可证书或律师函,而钓鱼网站是不可能通过此严格的验证方式的。网站使用EV证书,在地址栏中会显示企业名称,更有利于用户辨识,可进一步提升用户对网站的信任感以及网站的信誉度。

为避免用户免受钓鱼网站的攻击,企业尤其是涉及用户私密信息和在线交易的网站,如银行、电商、电信等网站,一定要部署OV或EV级别的SSL证书,实现网站服务器身份验证和数据传输加密,有效防范钓鱼攻击,让用户能够放心浏览,安全交易。

SSL证书对企业网站安全至关重要,但对企业而言,购买证书并非是价格越贵越好。国内目前SSL证书供应商较多,可选空间和余地较大,企业要根据自身情况,选择一款适合自己网站的、性价比最高的SSL证书。

分类
安全播报

攻击http协议的常见方式

日前,Killnet黑客组织袭击了意大利,使用的是一种旧的但仍然有效的攻击方法,称为“慢速http”。意大利计算机安全事件响应小组(CSIRT)随即发布了一项紧急警报,以提高对国家实体遭受网络攻击的高风险的认识。

攻击http协议的常见方式-1

该事件再次引发了人们对http漏洞的关注。http协议虽然依旧是当前搭建网站的主流协议,但随着互联网技术的飞速发展以及如今日益严峻的网络安全问题,http协议的不安全性也越发明显,黑客攻击http协议仍然是最常见方式,具体主要有以下几种攻击方式。

01跨站脚本攻击(XSS)

攻击者在网页上发布包含攻击性代码的数据,当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击,例如CSRF攻击。

02跨站请求伪造攻击(CSRF)

攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据,或者执行特定任务的目的。为了假冒用户的身份,CSRF攻击常常和XSS攻击配合起来做,但也可以通过其它手段,例如诱使用户点击一个包含攻击的链接。

03HttpHeads攻击

凡是用浏览器查看任何WEB网站,无论你的WEB网站采用何种技术和框架,都用到了http协议。http协议在Responseheader和content之间,有一个空行,即两组CRLF(0x0D0A)字符。这个空行标志着headers的结束和content的开始。只要攻击者有办法将任意字符“注入”到headers中,这种攻击就可以发生。

04Cookie攻击

通过JavaScript非常容易访问到当前网站的cookie。你可以打开任何网站,然后在浏览器地址栏中输入:javascript:alert(doucment.cookie),立刻就可以看到当前站点的cookie(如果有的话)。攻击者可以利用这个特性来取得你的关键信息。假设这个网站仅依赖cookie来验证用户身份,那么攻击者就可以假冒你的身份来做一些事情。

05重定向攻击

最常用的攻击手段就是“钓鱼”。钓鱼攻击者,通常会发送给受害者一个合法链接,当链接被点击时,用户被导向一个似是而非的非法网站,从而达到骗取用户信任、窃取用户资料的目的。

部署SSL证书保护网站信息安全

随着互联网技术的不断发展,http在黑客层出不穷的攻击手段面前几乎毫无招架之力。为避免数据泄露,保障网站和用户信息安全,世界各国都督促其域内网站通过部署SSL证书的方式提升网站防护能力,尤其是涉及用户个人信息和交易系统的政务、金融、电商等网站,则被要求部署更高等级的SSL证书

部署SSL证书后,可通过SSL协议帮助网站从“http”进阶为更加安全的“https”链接,通过开启https绿色加密通道,可保障网站数据的加密传输,防止网站核心数据被窃取或篡改,提升网站的安全防护能力。

同时,SSL证书可对网站服务器身份认证,为网站提供国际通用的信任背书,让真假网站一目了然,从而有效避免用户受到钓鱼、欺诈网站的侵害,增加访客的信心。

此外,SSL证书还具有防止运营商的流量劫持,阻止弹窗广告,提升网站在搜索引擎中的排名等诸多作用,是企业在数字化转型过程中最基础的安全防护工具之一。

天威诚信SSL证书服务

需要强调的是,无论哪种网站,部署SSL证书都必须向依法设立的CA机构申请。成立于2000年的天威诚信是由工业和信息化部许可设立的电子认证服务机构,拥有国家授权的《电子认证服务许可证》《电子认证服务使用密码许可证》,并通过了WebTrust国际安全审计认证。

根据不同用户的需求,天威诚信可提供涵盖DigicertGeoTrustGlobalSign、Entrust在内的多品牌全类型SSL证书产品及安装、管理等专业化服务,以及自主研发的支持国密SM算法的国产vTrus证书,致力于为中国企业提供更加安全的网络空间防护保障。