标签: CA

分类
公司新闻

DigiCert根证书和中间CA 证书更新计划

2023月3月8日,DigiCert将开始向我们的公共第二代(G2)根和中间CA(ICA)证书层次结构更新TLS/SSL证书的默认公开发行。

为什么DigiCert将开始从G2根和中间CA证书层次结构颁发公共TLS/SSL证书?

2025年,Mozilla将开始不信任旧的DigiCert根证书。在下面的Mozilla证书不信任和日期表中指定的日期,Mozilla也将停止信任您的活动最终实体证书:首先是TLS/SSL证书,然后是S/MIME证书。

DigiCert已对移动到G2根证书层次结构进行了计时,以确保您的现有证书不会受到Mozilla不信任策略的影响。从G1层次结构颁发的活动TLS/SSL证书将保持受信任,直到过期。

Mozilla不信任证书和日期
Generation Root certificate *Mozilla TLS distrust date *Mozilla S/MIME distrust date
 G1  Baltimore CyberTrust Root  2025年4月15日  N/A
 G1  DigiCert Assured ID Root CA 2026年4月15日  2029年4月15日
 G1  DigiCert Global Root CA 2026年4月15日 2029年4月15日
 G1  DigiCert High Assurance EV Root CA  April 15, 2026 2029年4月15日
 G2  DigiCert Global Root G2 2029年4月15日 2032年4月15日
 G5  DigiCert TLS RSA4096 Root G5 2036年1月15日  N/A
 *在不信任日期,Mozilla 也将停止信任您的活动最终实体证书:首先是 TLS/SSL 证书,然后是 S/MIME 证书
受影响的数字证书品牌
品牌  类型  产品
  DigiCert  OV
  • Basic OV
  • Secure Site OV
  • Secure Site Pro SSL
  • Cloud
  • Standard SSL
  • Multi-Domain SSL
  • Wildcard
  • Secure Site SSL
  • Secure Site Multi-Domain SSL
  • Secure Site Wildcard SSL
  DigiCert  EV
  • Basic EV
  • Secure Site EV
  • Secure Site Pro EV SSL
  • Extended Validation SSL
  • EV Multi-Domain SSL
  • Secure Site EV SSL
  • Secure Site EV Multi-Domain SSL
  GeoTrust  DV
  • GeoTrust DV SSL
  • GeoTrust Cloud DV
  • GeoTrust Standard DV
  • GeoTrust Wildcard DV
 GeoTrust  OV
  • GeoTrust TrueBusiness ID OV
  GeoTrust  EV
  • GeoTrust TrueBusiness ID EV
  RapidSSL  DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  Thawte  DV
  Thawte  OV
  • Thawte SSL Webserver OV
  Thawte  EV
  • Thawte SSL Webserver EV
 Encryption Everywhere  DV
  • Encryption Everywhere DV
2023年3月8日,ICA根替换
Certificate brand G1 ICA证书-当前 G1根证书-当前 G2 ICA证书-新 G2 根A证书-新
 DigiCert DigiCert TLS RSA SHA256 2020 CA1 DigiCert Global Root CA DigiCert Global G2 TLS RSA SHA256 2020 CA1 DigiCert Global Root G2
  DigiCert DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA DigiCert EV RSA CA G2 DigiCert Global Root G2
  Thawte Thawte RSA CA 2018 DigiCert Global Root CA Thawte TLS RSA CA G1 DigiCert Global Root G2
  Thawte Thawte EV RSA CA 2018 DigiCert High Assurance EV Root CA Thawte EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust RSA CA 2018 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  GeoTrust GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA GeoTrust EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  RapidSSL RapidSSL Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA RapidSSL TLS RSA CA G1 DigiCert Global Root G2
 Encryption Everywhere Encryption Everywhere DV TLS CA – G1 DigiCert Global Root CA Encryption Everywhere DV TLS CA – G2 DigiCert Global Root G2
根证书和 ICA 证书的用途是什么?
根证书

根证书是公共证书信任的锚点。证书颁发机构 (CA) 与操作系统、浏览器和其他应用程序合作,将其根证书包含在信任存储区中,以确保您的公共证书受信任。

CA 使用公共根证书颁发中间 CA 证书。它们不使用根证书来颁发公共 TLS 证书。

ICA证书

CA 使用 ICA 证书颁发 TLS 和其他数字证书。ICA 证书还会将您的 TLS 证书链接到信任存储中的根证书,使浏览器和其他应用程序能够信任它。

切换根证书和 ICA 证书对我有何影响?

1、Digicert 及旗下所有品牌SSL证书自升级日期起将现有SHA1根证书签发体系升级到SHA2根证书签发体系,届时Digicert将使用新的根和中级CA签发证书;

2、升级日期之前已经生效的证书不受影响,可正常进行替换或加域名操作,在升级日期起进行替换或加域名操作,新证书的证书链会升级到新的根证书签发体系。

天威诚信提示您:

1、升级日期起签发的证书,请使用全新的中级证书进行安装部署,否则会因为中级证书链配置不完整而影响证书的兼容性;

2、如果您的客户端预埋了旧的证书链,使用升级日期起签发的证书后会导致业务中断的风险,请提前做好相关准备工作,若有问题欢迎随时联系我们。

分类
知识中心

什么是证书颁发机构?

每次访问以 HTTPS 开头的网站时,您都会使用证书颁发机构。但问题是,什么是证书颁发机构,它如何通过保护互联网使我们的生活更轻松?让我们深入了解 CA 是什么。

证书颁发机构是维护现代数字世界中安全性的最关键组成部分之一。证书颁发机构 (CA) 是高度受信任的实体,负责签名和生成数字证书。CA 是 PKI 最重要的支柱之一。证书颁发机构专门颁发数字证书,这些证书随后用于确认网站、设备、个人等的合法性。

公共证书颁发机构本质上是一个公共可靠的机构,用于向个人、公司和其他实体颁发数字证书。这些颁发的证书是简短的数据文件,其中包含经过验证的组织标识信息。因此,通过为您提供值得信赖的第三方担保,CA 是一种在那些不直接了解您(或您的组织)的人中建立信誉的技术。

但问题是,在所有这些中,网站安全性如何?
因此,证书颁发机构会经历一组规则来确保证书的完整性。认证机构在颁发证书之前对申请实体进行调查。他们检查来自官方来源的记录和文件,以确保业务的真实性。之后,CA 颁发数字证书,公司可以使用该证书对其软件、网站和电子邮件通信进行加密和数字签名

因此,如果您是需要公司证书的人,证书颁发机构会帮助您实现以下目标:

  • 验证组织的身份
  • 验证组织的合法性
分类
知识中心

数字时代,SSL证书如何保证信息和数据的安全?

数字技术不仅是一种生产力工具,而且极大地改变着人们的工作和生活方式。然而,在各领域数字化进程不断深入的同时,网络诈骗、信息泄露、钓鱼攻击等违法犯罪活动仍然严重影响着互联网经济的正常发展。企业网站,尤其是涉及用户敏感信息和金融交易的网站,时常面临数据泄露和网络威胁。潜在的攻击风险。

用户信息和数据安全关系到企业未来的发展。同时,维护网站信息安全也是企业获得客户信任进而达成交易合作的必要条件之一。 《中华人民共和国网络安全法》第二十一条规定,企业需要制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

保护网站信息和数据的方法有很多,其中为网站安装SSL证书仍然是目前世界上最有效的网络数据安全保护措施之一。

SSL 代表安全套接字协议层。它位于HTTP协议层和TCP协议层之间。它用于在用户和服务器之间建立加密通信。除向指定服务器发送信息外,任何其他第三方均无法读取该信息,从而保证了传输信息的安全性。

部署SSL证书后,网站地址栏会显示HTTPS开头和一个绿色的锁符号。用户可以通过查看证书信息来确认网站的真实性,避免个人信息被钓鱼网站窃取甚至诈骗。在安全和用户体验方面,HTTPS站点更安全优质,更有利于用户识别。

值得一提的是,网站采用安全高速的HTTPS协议,可以提高网页的加载速度,使文本、图片、多媒体等加载速度更快,实现低延迟和高吞吐量,优化用户体验,并且能够提高网站的SEO排名,也有利于提高企业的获客率和销售业绩,这对于处于数字化转型过程中的企业尤为重要。

在数字时代,社交沟通、工作办公、休闲购物、娱乐游戏、投资理财、医疗保健等领域都需要深度连接互联网,通过互联网进行交易和数据分析。这已经成为一种习惯。 SSL证书通过加密算法和严格的认证机制帮助企业网站保护用户隐私和敏感数据,构筑网络安全防线,为企业数字化转型和安全合规发展保驾护航。

天威诚信是国内具有公信力的网络安全认证服务商。凭借服务全行业95%以上大客户的经验,长期为国内企业提供DigiCertEntrustGlobalSignvTrus、Geotrust等全球可信的SSL证书及证书全生命周期管理服务,以完善的安全解决方案和可靠的CA运行机制保护网站信息安全,维护数字世界秩序。

分类
知识中心

CA如何工作?

证书颁发机构使用非对称加密来颁发证书。一个公钥和一个私钥用于非对称加密,以加密和解密通信,并防止其滥用或不必要的访问。私钥用于解密已使用关联的公钥加密的消息,证书持有者应该只知道它。此外,证书持有者可以在使用数字签名或代替密码时使用它来验证其身份。

CA层次结构是支持证书颁发机构整体概念的一个关键组件。从本质上讲,这表明CA的存在是为了确认另一个证书颁发机构的合法性并向另一个证书颁发机构颁发证书。两个最常见的层次结构包括两层和三层CA层次结构,因为更多的层可能会导致更多的复杂性。

两层CA层次结构包括根CA和颁发CA,而三层CA层次结构包括根CA、策略CA和颁发CA。根CA将颁发中间CA证书。中间CA随后将颁发或签署最终实体证书或另一个CA低一级。

分类
知识中心

共有CA和私有CA的区别

现在我们有两种类型的CA,即公共CA和私有CA。尽管具有基本相同的功能,但它们是不同的,大多数组织必须同时使用两者。

私有CA

由为其提供证书的公司管理的内部CA称为私有CA(或私有证书颁发机构)。为了更清楚地证明,这与签署孩子的成绩单相同。自签名文件在您的公司内可能是可以接受的,但不认识您的陌生人不会接受它们。

公共CA

另一方面,公共证书颁发机构是独立的组织,不受其颁发证书的组织管辖。公共CA与获得证书的个人完全无关,他们颁发的证书在互联网上被广泛认为是可靠的。

  • 标签
分类
知识中心

CA如何判断您是否链接到合法网站?

CA如何判断您是否链接到合法网站?这正是证书颁发机构的实际工作;它确保您知道您正在与谁在线交谈。CA 验证网站和组织,从而防止您将数据或敏感号码发送给黑客。

当您访问安全网站时,现代浏览器的 URL 栏中应始终有锁定。当您单击它时,锁将显示更多信息,包括确认站点当前证书的声明。

安全网站
您甚至可以看到证书的详细信息,其中包括所有参数,例如颁发给谁,颁发者,有效期和指纹等。

证书详细信息
如果站点显示连接不是专用的警告,并指出证书不受信任且没有有效证书,则它是一种虚假网站,打开不安全。

不是有效的证书
所有证书必须由信誉良好的实体颁发,防篡改,并包括证明其合法性的信息,以使该系统正常运行。

分类
知识中心

CA的两种类型是什么?

公共CA是向其他组织颁发证书的组织。公共CA通常受信任,因此它们颁发的证书经过验证,并具有更高的信任级别。组织首先执行一些必要的检查,包括域验证。然后,公共CA使用其私钥向请求者颁发证书,同时还附加请求者可以使用的公钥。当有人建立连接时,通过检查请求者是否是证书的有效持有者,使用公共CA验证证书。检查公钥,然后可以使用非对称加密建立安全连接。

私有CA是组织自己的本地CA,仅用于内部目的。颁发的证书由组织的私有根CA使用其私钥签名。私有CA用于构建私有内部PKI网络,以在组织内颁发证书。它们可用于在组织内运行设备和设备,并可由用户用于VPN,安全电子邮件,并可由服务器用于加密数据库中的数据。

  • 标签
分类
知识中心

证书颁发机构的作用

证书可以通过受信任的证书颁发机构或通过对证书本身进行签名来生成。证书颁发机构(CA)为用户生成用于TLS/SSL身份验证的证书。为了确保证书颁发机构可以信任,可以将CA的信任链跟踪回源CA。信任链是由受信任的CA发布的证书链,一直通向根CA。若要开始获取数字证书的过程,请求者必须向CA发送证书签名请求(CSR)。CSR必须具有请求者创建的密钥对的公钥,以及用于确认请求者身份的信息,例如社会保险号或驾驶执照。确认请求者身份后,CA将签名并返回证书,并可用于识别请求者。

获取证书的另一个选项是使用相同的信息自行创建一个证书,然后对其进行自签名。这使用频率较低,因为无法通过其他可信CA验证签名者的身份,从而使自签名证书变得可疑。因此,许多人不会接受自签名证书,因此建议使用CA创建证书。

分类
知识中心

TLS握手的过程

1.客户端问候:客户端向服务器发送通信请求时,会出现客户端问候。TLS版本、支持的密码套件以及称为“客户端随机数”的随机字节字符串包含在hello中。

2.服务器问候:在服务器问候中,服务器确认客户端问候。然后,它确保它使用的是与客户端TLS版本兼容的TLS版本,从客户端提供的密码套件中选择兼容的密码套件,并将其证书、服务器随机(类似于客户端随机数)和公钥发送到客户端。

3.证书验证:客户端首先通过证书颁发机构检查服务器证书的有效性。证书颁发机构(CA)是一个高度受信任的实体,负责签署和生成数字证书

4.预主字符串:然后客户端使用服务器的公钥加密一个随机的字节串,称为“预主字符串”,并将其发送回服务器。这可确保只有服务器可以使用自己的私钥解密密钥,从而充当另一个安全级别。

5.会话密钥创建:服务器解密预主密钥,然后客户端和服务器都从客户端随机数、服务器随机数和预主字符串创建会话密钥。

6.完成消息传递:然后客户端和服务器相互发送消息,说他们已经完成了密钥的创建,并且他们相互比较密钥。如果会话密钥匹配,则TLS握手完成,会话密钥用于加密和解密服务器和客户端之间发送的任何数据。

创建后,证书可用于服务器、客户端或其他设备的身份验证。证书被视为在特定时间段内有效,并在该时间范围之后过期。证书遵循恒定的生命周期,其中包括创建、续订、暂停、过期等阶段。如果证书过期,则证书持有者将不再受信任,从而导致正在使用的网站或设备的服务丢失。要获得证书,用户或网站必须首先通过证书颁发机构或自己签名。

分类
公司新闻

vTrus通过零信浏览器国密根证书可信认证

vTrus通过零信浏览器国密根证书可信认证

随着国密算法在各重要领域的深入应用,支持国密算法的SSL证书和浏览器之间的合作也愈加紧密。在2022年6月,由天威诚信自主研发的支持国密SM2算法的vTrus自主根证书和国家根下的二级根证书正式通过零信浏览器国密根证书可信认证,获得《国密SM2可信根》证明书。

vTrus通过零信浏览器国密根证书可信认证-1

目前,天威诚信研发的国密根证书已被预置于全球唯一一个支持国密证书透明的零信浏览器信任,并全球多语言版本发布。

天威诚信签发的vTrus国密SSL证书在得到零信浏览器信任后,可实现有效的网络身份鉴别、信息传输国密算法加密,将有效保障我国网络空间安全、身份可信、加密传输,在防范网络入侵、网络钓鱼,保障网民的信息和财产安全等方面发挥着重要作用。

随着《密码法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施,国内重要领域越来越需要实现网站安全的国密合规,并逐渐开始部署国密SSL证书,同时在对内对外的业务场景中应用国密浏览器,以实现国密算法HTTPS加密,保障系统信息的安全。

天威诚信是为金融行业客户签发占比较多国密证书的CA机构之一,可为客户提供完善的国密HTTPS升级改造方案。目前,天威诚信vTrus国密SSL证书业已完成在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器、赢达信国密安全浏览器的根证书预埋,广泛应用于政府、电信、金融、能源等重点领域,保障关键基础设施的信息安全。

天威诚信vTrus国密证书正式入根零信浏览器,意味着天威诚信将同其他零信浏览器信任的CA机构一道,携手发展壮大国密数字证书体系,共同承担维护国家重要领域和关键信息基础设施的安全责任,在为用户提供更安全使用体验的同时,共同助力国密生态安全的建设发展。

在国密SM算法升级改造HTTPS应用不断加速的大趋势下,天威诚信将以vTrus国密SSL证书为纽带,协手国内众多安全生态伙伴,共同为国密数字证书体系的发展壮大和国密生态安全的建设发展贡献力量。

  零信浏览器

零信浏览器是目前全球唯一一个支持国密证书透明的、完全免费的国密浏览器,并且独家特别增显国密加密标识、云WAF防护标识、网站可信认证标识、EV认证绿色地址栏等。