分类
知识中心

HTTPS协议是如何防中间人窃听的

HTTPS协议是在HTTP协议的基础上,通过添加SSL加密协议而成的,其载体就是SSL证书。SSL协议是一种用于网络通信安全的加密协议,可以将数据在传输过程中进行加密,防止中间人窃听,保证数据的机密性和完整性。

HTTPS协议是如何防中间人窃听的

那么,HTTP协议具体是如何防止中间人窃听的呢?要回答这个问题,我们就要明白HTTPS协议双方(客户端和服务器)的通信过程。

客户端发送请求

当用户在浏览器中输入一个HTTPS网址时,客户端会向服务器发送一个请求,请求将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

服务器回应

服务器确定本次通信采用的SSL版本和加密套件,并将携带自己公钥信息的数字证书发送给客户端,通知客户端版本和加密套件协商结束,开始进行密钥交换。

客户端验证证书并生成密钥

客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成密钥,并通知SSL服务器。

客户端发送密钥

客户端使用已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),发送给SSL服务器。

服务器解密密钥

服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

经过以上的验证和加密,HTTPS通信就建立了起来。此时,客户端和服务器之间的数据传输都是通过对称密钥进行加密的,通信过程非常安全。

理解了以上内容就会明白,客户端和服务器实现加密通讯最重要的过程就是验证SSL证书,只要证书是合规的,服务器是安全的,就可以防止中间人窃听和攻击。

SSL证书由专业的CA机构颁发和管理,所以是可信的。最后,要注意的是,当您浏览网页时遇到浏览器或手机端弹出安全警告时,一定不要随意信任和继续浏览,因为,黑客可能正在暗处等待着,窥探您的隐私并窃取数据。

分类
知识中心

证书管理的重要性

拥有强大的自动化证书管理系统的最重要原因之一是您是否拥有自己的公钥基础结构(PKI)。PKI是为基于数字证书对用户进行身份验证而创建的基础结构。PKI也可以加密通信。最常见的PKI是TLS/SSL,它使用对称和非对称加密来保护两个用户之间的连接。PKI的核心信任来自连接双方之间交换的证书。大多数PKI使用两层体系结构,其中包括根CA和颁发CA

根CA是保持脱机状态的证书颁发机构,并为联机颁发CA创建证书。这将创建一个信任链,其中包含颁发CA颁发的所有证书,因为根CA保持脱机状态,因此可以防止恶意意图。颁发CA会为最终用户和设备分发证书。PKI不太常用的三层体系结构包括根CA和颁发CA之间的中间CA,它充当根CA和颁发CA之间的中间CA。自动证书管理主要由PKI使用的原因是,正确创建一次PKI,然后让自动化服务使证书保持最新更安全。这减少了公司的成本、保持PKI运行所需的工时以及人为错误。由于如此多的组织正在创建自己的PKI,因此适当的证书管理是任何公司安全计划的关键。

如此重视证书管理的另一个原因是,连接到Internet的每个设备和用户都需要拥有数字证书。每当用户或设备连接到网站时,都会检查其数字证书的真实性以及网站的证书。通过拥有强大的信任链和有效的证书,您可以访问互联网上的任何地方。但是,如果证书所属的用户或设备无法访问大多数网站,则证书无效或已过期,因为无法建立安全连接。网站证书也是如此。如果他们的数字证书无效,那么用户将不会或不能使用该网站,因为担心他们的设备上出现恶意软件或病毒。

确保强大的证书管理的另一个原因是,组织中不会发生违规行为。如果允许证书进入网络,即使其信任链中具有不受信任的CA,则该证书的所有者可能会窃取敏感数据或以其他方式滥用公司数据用于恶意目的。此外,如果证书未正确存储,则攻击者可能会窃取该证书并伪装成合法用户,同时窃取、更改或删除敏感数据。

分类
公司新闻

DigiCert根证书和中间CA 证书更新计划

2023月3月8日,DigiCert将开始向我们的公共第二代(G2)根和中间CA(ICA)证书层次结构更新TLS/SSL证书的默认公开发行。

为什么DigiCert将开始从G2根和中间CA证书层次结构颁发公共TLS/SSL证书?

2025年,Mozilla将开始不信任旧的DigiCert根证书。在下面的Mozilla证书不信任和日期表中指定的日期,Mozilla也将停止信任您的活动最终实体证书:首先是TLS/SSL证书,然后是S/MIME证书。

DigiCert已对移动到G2根证书层次结构进行了计时,以确保您的现有证书不会受到Mozilla不信任策略的影响。从G1层次结构颁发的活动TLS/SSL证书将保持受信任,直到过期。

Mozilla不信任证书和日期
Generation Root certificate *Mozilla TLS distrust date *Mozilla S/MIME distrust date
 G1  Baltimore CyberTrust Root  2025年4月15日  N/A
 G1  DigiCert Assured ID Root CA 2026年4月15日  2029年4月15日
 G1  DigiCert Global Root CA 2026年4月15日 2029年4月15日
 G1  DigiCert High Assurance EV Root CA  April 15, 2026 2029年4月15日
 G2  DigiCert Global Root G2 2029年4月15日 2032年4月15日
 G5  DigiCert TLS RSA4096 Root G5 2036年1月15日  N/A
 *在不信任日期,Mozilla 也将停止信任您的活动最终实体证书:首先是 TLS/SSL 证书,然后是 S/MIME 证书
受影响的数字证书品牌
品牌  类型  产品
  DigiCert  OV
  • Basic OV
  • Secure Site OV
  • Secure Site Pro SSL
  • Cloud
  • Standard SSL
  • Multi-Domain SSL
  • Wildcard
  • Secure Site SSL
  • Secure Site Multi-Domain SSL
  • Secure Site Wildcard SSL
  DigiCert  EV
  • Basic EV
  • Secure Site EV
  • Secure Site Pro EV SSL
  • Extended Validation SSL
  • EV Multi-Domain SSL
  • Secure Site EV SSL
  • Secure Site EV Multi-Domain SSL
  GeoTrust  DV
  • GeoTrust DV SSL
  • GeoTrust Cloud DV
  • GeoTrust Standard DV
  • GeoTrust Wildcard DV
 GeoTrust  OV
  • GeoTrust TrueBusiness ID OV
  GeoTrust  EV
  • GeoTrust TrueBusiness ID EV
  RapidSSL  DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  Thawte  DV
  Thawte  OV
  • Thawte SSL Webserver OV
  Thawte  EV
  • Thawte SSL Webserver EV
 Encryption Everywhere  DV
  • Encryption Everywhere DV
2023年3月8日,ICA根替换
Certificate brand G1 ICA证书-当前 G1根证书-当前 G2 ICA证书-新 G2 根A证书-新
 DigiCert DigiCert TLS RSA SHA256 2020 CA1 DigiCert Global Root CA DigiCert Global G2 TLS RSA SHA256 2020 CA1 DigiCert Global Root G2
  DigiCert DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA DigiCert EV RSA CA G2 DigiCert Global Root G2
  Thawte Thawte RSA CA 2018 DigiCert Global Root CA Thawte TLS RSA CA G1 DigiCert Global Root G2
  Thawte Thawte EV RSA CA 2018 DigiCert High Assurance EV Root CA Thawte EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust RSA CA 2018 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  GeoTrust GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA GeoTrust EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  RapidSSL RapidSSL Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA RapidSSL TLS RSA CA G1 DigiCert Global Root G2
 Encryption Everywhere Encryption Everywhere DV TLS CA – G1 DigiCert Global Root CA Encryption Everywhere DV TLS CA – G2 DigiCert Global Root G2
根证书和 ICA 证书的用途是什么?
根证书

根证书是公共证书信任的锚点。证书颁发机构 (CA) 与操作系统、浏览器和其他应用程序合作,将其根证书包含在信任存储区中,以确保您的公共证书受信任。

CA 使用公共根证书颁发中间 CA 证书。它们不使用根证书来颁发公共 TLS 证书。

ICA证书

CA 使用 ICA 证书颁发 TLS 和其他数字证书。ICA 证书还会将您的 TLS 证书链接到信任存储中的根证书,使浏览器和其他应用程序能够信任它。

切换根证书和 ICA 证书对我有何影响?

1、Digicert 及旗下所有品牌SSL证书自升级日期起将现有SHA1根证书签发体系升级到SHA2根证书签发体系,届时Digicert将使用新的根和中级CA签发证书;

2、升级日期之前已经生效的证书不受影响,可正常进行替换或加域名操作,在升级日期起进行替换或加域名操作,新证书的证书链会升级到新的根证书签发体系。

天威诚信提示您:

1、升级日期起签发的证书,请使用全新的中级证书进行安装部署,否则会因为中级证书链配置不完整而影响证书的兼容性;

2、如果您的客户端预埋了旧的证书链,使用升级日期起签发的证书后会导致业务中断的风险,请提前做好相关准备工作,若有问题欢迎随时联系我们。

分类
知识中心

什么是证书颁发机构?

每次访问以 HTTPS 开头的网站时,您都会使用证书颁发机构。但问题是,什么是证书颁发机构,它如何通过保护互联网使我们的生活更轻松?让我们深入了解 CA 是什么。

证书颁发机构是维护现代数字世界中安全性的最关键组成部分之一。证书颁发机构 (CA) 是高度受信任的实体,负责签名和生成数字证书。CA 是 PKI 最重要的支柱之一。证书颁发机构专门颁发数字证书,这些证书随后用于确认网站、设备、个人等的合法性。

公共证书颁发机构本质上是一个公共可靠的机构,用于向个人、公司和其他实体颁发数字证书。这些颁发的证书是简短的数据文件,其中包含经过验证的组织标识信息。因此,通过为您提供值得信赖的第三方担保,CA 是一种在那些不直接了解您(或您的组织)的人中建立信誉的技术。

但问题是,在所有这些中,网站安全性如何?
因此,证书颁发机构会经历一组规则来确保证书的完整性。认证机构在颁发证书之前对申请实体进行调查。他们检查来自官方来源的记录和文件,以确保业务的真实性。之后,CA 颁发数字证书,公司可以使用该证书对其软件、网站和电子邮件通信进行加密和数字签名

因此,如果您是需要公司证书的人,证书颁发机构会帮助您实现以下目标:

  • 验证组织的身份
  • 验证组织的合法性
分类
知识中心

数字时代,SSL证书如何保证信息和数据的安全?

数字技术不仅是一种生产力工具,而且极大地改变着人们的工作和生活方式。然而,在各领域数字化进程不断深入的同时,网络诈骗、信息泄露、钓鱼攻击等违法犯罪活动仍然严重影响着互联网经济的正常发展。企业网站,尤其是涉及用户敏感信息和金融交易的网站,时常面临数据泄露和网络威胁。潜在的攻击风险。

用户信息和数据安全关系到企业未来的发展。同时,维护网站信息安全也是企业获得客户信任进而达成交易合作的必要条件之一。 《中华人民共和国网络安全法》第二十一条规定,企业需要制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

保护网站信息和数据的方法有很多,其中为网站安装SSL证书仍然是目前世界上最有效的网络数据安全保护措施之一。

SSL 代表安全套接字协议层。它位于HTTP协议层和TCP协议层之间。它用于在用户和服务器之间建立加密通信。除向指定服务器发送信息外,任何其他第三方均无法读取该信息,从而保证了传输信息的安全性。

部署SSL证书后,网站地址栏会显示HTTPS开头和一个绿色的锁符号。用户可以通过查看证书信息来确认网站的真实性,避免个人信息被钓鱼网站窃取甚至诈骗。在安全和用户体验方面,HTTPS站点更安全优质,更有利于用户识别。

值得一提的是,网站采用安全高速的HTTPS协议,可以提高网页的加载速度,使文本、图片、多媒体等加载速度更快,实现低延迟和高吞吐量,优化用户体验,并且能够提高网站的SEO排名,也有利于提高企业的获客率和销售业绩,这对于处于数字化转型过程中的企业尤为重要。

在数字时代,社交沟通、工作办公、休闲购物、娱乐游戏、投资理财、医疗保健等领域都需要深度连接互联网,通过互联网进行交易和数据分析。这已经成为一种习惯。 SSL证书通过加密算法和严格的认证机制帮助企业网站保护用户隐私和敏感数据,构筑网络安全防线,为企业数字化转型和安全合规发展保驾护航。

天威诚信是国内具有公信力的网络安全认证服务商。凭借服务全行业95%以上大客户的经验,长期为国内企业提供DigiCertEntrustGlobalSignvTrus、Geotrust等全球可信的SSL证书及证书全生命周期管理服务,以完善的安全解决方案和可靠的CA运行机制保护网站信息安全,维护数字世界秩序。

分类
知识中心

CA如何工作?

证书颁发机构使用非对称加密来颁发证书。一个公钥和一个私钥用于非对称加密,以加密和解密通信,并防止其滥用或不必要的访问。私钥用于解密已使用关联的公钥加密的消息,证书持有者应该只知道它。此外,证书持有者可以在使用数字签名或代替密码时使用它来验证其身份。

CA层次结构是支持证书颁发机构整体概念的一个关键组件。从本质上讲,这表明CA的存在是为了确认另一个证书颁发机构的合法性并向另一个证书颁发机构颁发证书。两个最常见的层次结构包括两层和三层CA层次结构,因为更多的层可能会导致更多的复杂性。

两层CA层次结构包括根CA和颁发CA,而三层CA层次结构包括根CA、策略CA和颁发CA。根CA将颁发中间CA证书。中间CA随后将颁发或签署最终实体证书或另一个CA低一级。

分类
知识中心

共有CA和私有CA的区别

现在我们有两种类型的CA,即公共CA和私有CA。尽管具有基本相同的功能,但它们是不同的,大多数组织必须同时使用两者。

私有CA

由为其提供证书的公司管理的内部CA称为私有CA(或私有证书颁发机构)。为了更清楚地证明,这与签署孩子的成绩单相同。自签名文件在您的公司内可能是可以接受的,但不认识您的陌生人不会接受它们。

公共CA

另一方面,公共证书颁发机构是独立的组织,不受其颁发证书的组织管辖。公共CA与获得证书的个人完全无关,他们颁发的证书在互联网上被广泛认为是可靠的。

分类
知识中心

CA如何判断您是否链接到合法网站?

CA如何判断您是否链接到合法网站?这正是证书颁发机构的实际工作;它确保您知道您正在与谁在线交谈。CA 验证网站和组织,从而防止您将数据或敏感号码发送给黑客。

当您访问安全网站时,现代浏览器的 URL 栏中应始终有锁定。当您单击它时,锁将显示更多信息,包括确认站点当前证书的声明。

安全网站
您甚至可以看到证书的详细信息,其中包括所有参数,例如颁发给谁,颁发者,有效期和指纹等。

证书详细信息
如果站点显示连接不是专用的警告,并指出证书不受信任且没有有效证书,则它是一种虚假网站,打开不安全。

不是有效的证书
所有证书必须由信誉良好的实体颁发,防篡改,并包括证明其合法性的信息,以使该系统正常运行。

分类
知识中心

CA的两种类型是什么?

公共CA是向其他组织颁发证书的组织。公共CA通常受信任,因此它们颁发的证书经过验证,并具有更高的信任级别。组织首先执行一些必要的检查,包括域验证。然后,公共CA使用其私钥向请求者颁发证书,同时还附加请求者可以使用的公钥。当有人建立连接时,通过检查请求者是否是证书的有效持有者,使用公共CA验证证书。检查公钥,然后可以使用非对称加密建立安全连接。

私有CA是组织自己的本地CA,仅用于内部目的。颁发的证书由组织的私有根CA使用其私钥签名。私有CA用于构建私有内部PKI网络,以在组织内颁发证书。它们可用于在组织内运行设备和设备,并可由用户用于VPN,安全电子邮件,并可由服务器用于加密数据库中的数据。

分类
知识中心

证书颁发机构的作用

证书可以通过受信任的证书颁发机构或通过对证书本身进行签名来生成。证书颁发机构(CA)为用户生成用于TLS/SSL身份验证的证书。为了确保证书颁发机构可以信任,可以将CA的信任链跟踪回源CA。信任链是由受信任的CA发布的证书链,一直通向根CA。若要开始获取数字证书的过程,请求者必须向CA发送证书签名请求(CSR)。CSR必须具有请求者创建的密钥对的公钥,以及用于确认请求者身份的信息,例如社会保险号或驾驶执照。确认请求者身份后,CA将签名并返回证书,并可用于识别请求者。

获取证书的另一个选项是使用相同的信息自行创建一个证书,然后对其进行自签名。这使用频率较低,因为无法通过其他可信CA验证签名者的身份,从而使自签名证书变得可疑。因此,许多人不会接受自签名证书,因此建议使用CA创建证书。