标签: CA

分类
知识中心

SSL证书安全的功能和优势

SSL通过加密保护数据

SSL/TLS证书通过在客户端(Web浏览器)和服务器之间建立安全的加密隧道来保护网站访问者的敏感信息,包括他们的登录详细信息,密码,帐户详细信息和信用卡号。SSL/TLS证书配备了强大的256位加密标准,无法轻易破解。

SSL确认您的身份

在互联网上信任某人并不容易,您也无法确定您正在访问的网站是真实的。许多虚假网站通过使用他人的姓名欺骗访问者并获得敏感信息。SSL证书可以帮助避免这种情况。获取SSL证书的第一步是完成验证过程。SSL提供商通过基于CA/B(CA和Web浏览器的联合论坛)设置的某些规则和法规的过程来验证购买SSL证书的个人或组织的合法性。

SSL提供不可否认性

加密、完整性和身份验证的组合可建立不可否认性。这意味着担保交易中的任何一方当事人都不能合法地说他们的通信来自其他人。SSL删除了一方拒绝或换句话说”收回”他们在线传达的信息的选项。

有助于避免”不安全”警告消息

2014年早些时候,搜索引擎的领导者谷歌宣布,安装了SSL/TLS证书的网站将在搜索结果中获得更多的偏好,这是他们使整个网络安全和加密的使命的一部分。自2018年以来,谷歌Chrome和其他流行的网络浏览器(如Mozilla Firefox)已经朝着它迈出了更严肃的一步。随着他们最新的Web浏览器版本的发布,他们甚至开始在非SSL网站上显示”不安全”警告。有些网站甚至无法在这些流行的浏览器上加载。因此,如果您希望访问者访问您的网站,则必须使用SSL。

分类
知识中心

搞清楚这三个问题,秒变SSL证书“专家”

搞清楚这三个问题,秒变SSL证书“专家”

数字经济时代

保障自家网站数据安全

防诈骗、防钓鱼、防窃听

SSL证书少不了

  现而今,企业在网络安全方面的意识逐渐增强,可以将http协议转换成https加密传输协议的SSL证书已成为建设网站的标配。

  虽然大家对SSL证书的作用已很清楚,但在选择SSL证书的时候,却不免有一些犯难:那个……我的网站该用什么类型的证书呢?

SO easy~

只要明确了这三个问题

你也可以秒变SSL证书“专家”

搞清楚这三个问题,秒变SSL证书“专家”

  明确网站类型

  如果是高度安全和信任的企业网站,如金融证券、银行、第三方支付、网上商城等,涉及到交易支付、客户隐私信息和账号密码的传输,那就不用考虑了,直接选择EV型 SSL证书。它支持国际主流浏览器绿色地址栏,安全锁旁显示企业名称,强制256位加密,是最高级别的SSL证书,没有之一。

  如果是普通企业网站,如电子商务网站、企业网站等,但其中涉及注册、登录、会员中心等页面,那选择OV 型SSL证书准没错儿了,证书可显示中文单位名称和中文域名,利于品牌推广,更容易赢得客户信赖。

  如果是个人品牌网站,如博客、信息、文章展示等,建议选购DV型 SSL证书,可以保证信息在传输过程中不会被非法窃取和篡改,而且无须审核信息,可快速签发(网站标配)。

  明确域名数量

  单域型:一般而言,一张ssl证书对应的是一个域名,如果只有单个域名需要使用SSL证书,那就可以选择网站单域名SSL证书

  多域型:如果有多个顶级域名完全不同的域名需要使用SSL证书,那就选择支持多域名的SSL证书进行保护,最多支持250个域名哦。

  通配型:如果拥有多个子域名网站,那就选择通配符型SSL证书,它不限制子域名数量,可实现全站https安全加密。

  明确加密强度

  刚才提到的DV、OV、EV三种类型SSL证书,它们的加密强度是逐级提升的。对于涉及到资金、机密信息传输等对安全性要求高的网站,那么支持256位加密的EV型SSL证书自然是最合适的选择。如果对安全性要求没那么高的网站,那选择DV、OV型SSL证书都可以,但是如果网站涉及用户密码信息的,最好选择OV型SSL证书。

  最后需要强调的是,无论您选择哪种SSL证书,一定要通过正规渠道,简单来说,必须是国家授牌CA认证机构(天威诚信)签发的SSL证书才可以,不然不仅会白白浪费金钱,甚至还会造成企业和用户信息泄露的严重后果。

分类
公司新闻

Tengine+BabaSSL强强联合,vTrus证书大有可为

Tengine+BabaSSL强强联合,vTrus证书大有可为

  近日,蚂蚁集团高级技术专家杨洋(花名:凯申 )发文称,国内著名Web服务器和反向代理开源软件Tengine已完成了对BabaSSL的适配工作,并增加了对NTLS相关能力的支持。

Tengine+BabaSSL强强联合,vTrus证书大有可为

  至此,对我国密码行业相关安全通信协议有使用需求的用户可以直接使用Tengine+BabaSSL的组合,无需额外的patch或者代码改动,即可原生开启NTLS能力,进一步为用户的使用提升了便利性。

  Tengine+BabaSSL组合:更高效更安全

  需要说明的是,Tengine是由淘宝网发起的Web服务器项目,其性能和稳定性已经在许多大型的网站如淘宝网、天猫商城等得到了很好的检验,在各领域均得到了广泛的使用且享有很高的知名度。

  BabaSSL则是主打国密的密码算法库,是基于之前蚂蚁集团和阿里集团内部的OpenSSL版本合并而来,它与OpenSSL1.1.1保持兼容,作为国密的密码算法解决方案而诞生,广泛的应用在包括网络、存储、移动端App等场景中。

  此次Tengine官方对BabaSSL进行适配和支持,让用户可以更加便捷的使用BabaSSL所提供的商用密码能力,必将进一步扩大各行业对商用密码算法的应用落地,为广大用户带来更加高效、易用、安全、稳定的使用体验。

  BabaSSL密码库:推进国密算法深入应用

  随着互联网业务的发展,数据逐渐成为了影响人们正常生活的核心要素。步入数字经济时代,国家层面对数据安全和个人信息保护也更加重视,近年来,我国针对数据安全领域进行了相关立法,加强保障网络数据和个人信息的安全。

  密码学技术作为整个信息安全领域的基础技术能力,对数据安全有着重要的影响。同时密码行业是属于受到国家强监管的行业,其相关技术的应用和实施均有一定的特殊性。

  专注国密算法的BabaSSL密码库,其核心目标之一就是为用户提供合规的技术能力,使得用户在符合要求的情况下可以更加便捷的将国家核定的技术标准应用起来,从而在满足技术合规的要求的同时实现对数据安全需求的达成。

  伴随着Tengine与BabaSSL的强强联合,支持国密算法的SSL证书无疑将得到更加广泛的发展空间和更深入的场景应用。在新形势的助力下,由天威诚信自主建设的,基于开源Tengine平台和BabaSSL密码算法库,并通过国际WebTrust审计认证的国产SSL证书品牌vTrus将为中国企业网站的可信认证提供更高效更安全的服务体验和更强大的动力支撑。

  vTrus证书:基于BabaSSL,更贴合国内用户

  与国际证书产品相比,国产vTrus品牌产品策略贴合国内用户、验证审核通过率更高、本地化服务完善、兼容性达国际一线标准,而且还可根据用户需求,提供完整的国密改造生态解决方案。

  值得一提的是,天威诚信的SM2国密改造方案正是基于BabaSSL密码算法库,通过对开源Tengine进行软编译,集成天威SSLhub补丁和SSL模块补丁完成国密算法兼容,并实现keyless和多种密钥管理功能。

  当前,天威诚信国密算法证书已完成多家国密浏览器信任,后端可扩展硬件加密机设备,支持RSA/SM2双算法同时对外提供服务,具有平滑业务切换和自适应识别功能,确保证书使用过程中符合多种环境国密证书要求。

  vTrus SSL证书包含DV基础版、OV标准版、OV专业版3种产品,覆盖单域名多域名通配符、多域名通配符等多种型号,适应各种业务场景部署模式。服务领域覆盖包括政府机构、教育医疗、公安系统、军工系统、网络运营商、物联网等在内的核心机构,满足网站核心业务系统和APP移动端业务的注册、交易、用户信息收集、支付等关键业务节点的数据安全需求。

  天威诚信深耕网络安全领域21年,是国家首批授牌的CA认证机构,天威诚信建设的vTrus品牌致力于为中国互联网用户打造自主且高可用性的SSL证书品牌,在数字经济引领经济增长的新时代中,持续为中国企业提供权威可信、安全规范、自主可控的可信网站认证与数据安全服务,提供符合政策法规和用户需求的国密改造方案。

分类
公司新闻

天威诚信国密SM2算法证书通过奇安信、麒麟软件、统信软件联合认证

天威诚信国密SM2算法证书通过奇安信、麒麟软件、统信软件联合认证

《中华人民共和国密码法》的实施和一系列相关网络安全政策的密集出台,为新创领域基于国内商用密码的数字证书的使用带来了更广阔的空间。国内自主商用密码系统的建设也随之掀起新的热潮。

但是,目前新创操作系统和浏览器预装国产商用密码数字证书的进度还比较缓慢,导致国产密码证书信任体系并未被市场广泛接受。因此,新创环境下的业务接入缺乏安全可信的信任基础。

基于安全共识

推动国密算法的应用和普及

有鉴于此,2021年8月26日,奇安信、麒麟操作系统、统信操作系统联合发布《商用密码证书信托计划》,公开受理国密数字证书发证机构的根申请。该计划对推动国内密码证书的实施和普及起到了强有力的推动作用,同时为我国CA机构的繁荣运营提供了有力支撑。

天威诚信国密SM2算法证书通过奇安信、麒麟软件、统信软件联合认证

作为国家工信部首批批准的电子认证服务机构,天威诚信vTrusSM算法独立根和国家根下的二级根近日通过了奇安信、麒麟操作系统和统信操作系统。认证并成为奇安信联合认证信任合作伙伴之一。

天威诚信成立于2000年,具有工信部、国家密码管理局、公安部授予的完整经营资质。是中国领先的电子认证服务运营商。

天威诚信利用加密、区块链、大数据等技术,将立法标准、司法实践标准与加密应用规范、电子认证业务规范相结合,构建完整的法律科技服务体系,为网络空间的人和事提供服务。、物、时空提供可信认证服务、智能签名服务、证据存证服务、出证服务、在线司法调解和司法协助等法律增值服务,为法治建设提供支撑和保障在网络空间。

天威诚信是第一家将全球SSL/TLS证书引入中国的电子认证机构,是国内知名的SSL/TLS证书服务商。在国密算法领域,天威诚信积极响应国家政策。公司自主研发的支持国密SM算法的vTrus SSL系列证书均已通过国家密码管理局的安全审查,并在360、红莲花等取得认证,预嵌国产浏览器。

依托国密算法

构建独立可信的网络环境

天威诚信近期成功root的奇安信可信浏览器,实现了Windows、新创、Mac全平台支持。具有秘密识别等抢眼功能,在最新的Chromium97内核上已支持国密算法

根据联合认证流程,通过商用密码根证书受信认证后,天威诚信所提交的根证书将按计划预置于奇安信可信浏览器及银河麒麟操作系统、统信操作系统中,天威诚信所签发的国密证书在操作系统和浏览器中自动受信,实现“一次审核、共同信任”,实现有效的身份鉴别、敏感信息安全存储与传输等,这对保证网络空间安全、可信时间、可信操作具备里程碑的意义。

目前,奇安信可信浏览器已经被广泛应用于党政、金融、石油、电力、电信、交通、航空航天、医院、教育等行业,以及外交部、教育部、科技部、工业和信息化部等26个国家部委,已经成为千万终端的业务访问入口。

今后,天威诚信将和奇安信、麒麟软件、统信软件一起,共同推动国产密码SM2算法的应用普及,助力基于国产密码数字证书的信创环境安全访问体系持续完善,为广大信创用户构建自主安全可信的网络环境基石

分类
知识中心

标准数字签名证书和EV数字签名证书有什么区别?如何选择

数字签名证书– 可以在 标准数字签名证书中对代码进行签名,该证书将展示您的组织作为发布者。

它确实在安装时显示一个智能屏幕弹出窗口,要求您确认是否要进一步继续,但不会发出警告。软件声誉将随着文件/软件下载量的增加而有机地建立。

EV 数字签名证书– 它不显示任何弹出窗口。EV 数字签名证书通过 Microsoft SmartScreen 信誉扫描程序提供即时确认。因此,可以保证用户不会看到未知的发布者警告消息”无法验证发布者。是否确实要运行此软件?”如果使用 EV 数字签名证书对软件进行了签名。它包括由 CA 发送给您的 USB 令牌。因此,您将需要证书和USB令牌来绑定代码。

分类
知识中心

weblogic + jdk1.6 报错

weblogic + jdk1.6 报错Unsupported OID in the AlgorithmIdentifier object

I am getting the following error enabling SSL, when I use the jkd 1.6.0_13 and WebLogic Server 10.3

Aug 21, 2009 11:30:16 AM GMT+00:00> <Emergency> <Security> <BEA-090034> <Not listening for SSL, java.io.IOException: PKIX: Unsupported OID in the AlgorithmIdentifier object: 1.2.840.113549.1.1.11.>

<Aug 21, 2009 11:30:16 AM GMT+00:00> <Error> <WebLogicServer> <BEA-000297> <Inconsistent security configuration, java.security.cert.CertificateParsingException: PKIX: Unsupported OID in the AlgorithmIdentifier object: 1.2.840.113549.1.1.11>

Resolution:

To output the keys affected from {JAVA_HOME}\bin (Windows):

keytool -list -v -keystore ..\lib\security\cacerts -storepass changeit > list.txt

I ended up having to delete the following keys:

keytool -delete -keystore ..\lib\security\cacerts -alias ttelesecglobalrootclass2ca -storepass changeit

keytool -delete -keystore ..\lib\security\cacerts -alias ttelesecglobalrootclass3ca -storepass changeit

keytool -delete -keystore ..\lib\security\cacerts -alias keynectisrootca -storepass changeit

keytool -delete -keystore ..\lib\security\cacerts -alias thawteprimaryrootcag3 -storepass changeit

keytool -delete -keystore ..\lib\security\cacerts -alias globalsignr3ca -storepass changeit

keytool -delete -keystore ..\lib\security\cacerts -alias secomscrootca2 -storepass changeit

keytool -delete -keystore ..\lib\security\cacerts -alias verisignuniversalrootca -storepass changeit

keytool -delete -keystore ..\lib\security\cacerts -alias geotrustprimarycag3 -storepass changeit

Referrence:

http://forums.oracle.com/forums/thread.jspa?threadID=947219

问题原因:

查询了网上,得到原因是由于AIX上使用了IBM的JDK,jre/lib/security/cacerts中某些ca根证书的签名算法方式不被weblogic所支持,也可以说是JDK和weblogic不配套。如果在Linux或Windows下的weblogic版本,由于自身就带有jdk,故是配套的,所以不存在签名算法的问题。因此也不能说一定是IBM的JDK问题,JDK版本和Weblogic不配套也会出现此类问题。

 

解决方法:

删除cacerts下不被weblogic支持的签名算法的证书。

查询OID为1.2.840.113549.1.1.11的是sha256WithRSA算法,故删除sha256WithRSA算法的ca证书。

 

keytool -delete -keystore ../lib/security/cacerts -alias ttelesecglobalrootclass2ca -storepass changeit

keytool -delete -keystore ../lib/security/cacerts -alias ttelesecglobalrootclass3ca -storepass changeit

keytool -delete -keystore ../lib/security/cacerts -alias keynectisrootca -storepass changeit