标签: SSL协议

分类
知识中心

SSL证书的加密和SSL证书的使用情况

现在的网络技术飞速发展以及不断增加的公司将运用与事务放置到网上,网络隐私维护等疑问逐步得到了公司管理层及有关人士的注重,当公司在异地区域有分支机构或员工在外出差时如果更有效的衔接内网服务器和内网有关运用呢?不论是经过Windows服务器的远程桌面仍是专业VPN设备,咱们都会遇到传输的数据被外网人员sniffer盗取的疑问,这时根本的维护就需要依托天威诚信的SSL证书了。相信不少人都听说过SSL证书,也晓得他的特色,可是要想顺畅在公司中运用SSL证书则并不简略今天就给大家说说SSL证书的加密协议和SSL证书的使用情况,如果大家需要可以在天威诚信网站SSL证书申请。

一,通过SSL证书加密协议提供安全:

SSL协议位于TCP/IP协议与各种运用层协议之间,为数据通讯供给安全支撑。SSL协议可分为两层

SSL记载协议(SSL Record Protocol):它建立在牢靠的传输协议(如TCP)之上,为高层协议供给数据封装、紧缩、加密等根本功能的支撑。

SSL握手协议(SSL Handshake Protocol):它建立在SSL记载协议之上,用于在实践的数据传输开端前,通讯两边进行身份认证、洽谈加密算法、交流加密密钥等。

不论原理是啥样的,咱们要想顺畅运用这种加密安全协议就需要为通讯两边建立合法的SSL握手衔接,而这个衔接是经过导出与导入安全证书完成的,本文就将解说如何导出与导入安全证书。

二,用到SSL证书的情况:

SSL是安全加密协议,在内网运用并不多,通常都是在外网要拜访内网或许运用有关权限时用到SSL证书。从前经过SSL证书衔接过FTP,服务器的远程桌面和公司路由交流设备以及专业VPN接入设备。数据经过SSL加密后因为没有对应的证书入侵者无法经过sniffer类东西查看其内容。

SSL是一种安全传输协议,其全称是Securesocketlayer(安全套接层),该协议最初由Netscape企业发展而来,是加密通讯的全球化标准,已被广泛采用。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。对于网民来讲,在信用卡密码、银行账号、个人身份信息输入时均需要留意网站是否采用了SSL加密链接。因为SSL证书除了加密功能,还可以为网站提供身份验证服务。网民可以通过SSL证书查看网站的真实身份信息,避免登陆欺诈钓鱼网站。国内常见的SSL证书有Symantec赛门铁克(VeriSign)SSL证书,仅Symantec赛门铁克VeriSign)SSL证书全球就超过400万张。目前Symantec赛门铁克(VeriSign)SSL证书国内通过天威诚信签发各种数字证书产品,如招商银行、工商银行、建设银行、中国银行、光大银行、淘宝、红孩子、卓越亚马逊、凡客、国美电器等都是从天威诚信获取 SSL证书服务

分类
安全播报

协议漏洞来袭:天威诚信助力用户化险为夷

2014年4月一个名为“心脏出血”Heartbleed的漏洞是由安全公司Codenomicon和谷歌安全工程师发现。“心脏出血”属于高危漏洞,一个请求就可能窃取到一个用户帐号(返回服务器64K内存)。通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前的或已存储的传输数据,或在通信方使用完全正向保密的情况下,发动主动中间人攻击。攻击者无法控制服务器返回的数据,因为服务器会响应随机的内存块。

其次,漏洞还可能暴露其他用户的敏感请求和响应,包括用户任何形式的POST请求数据,会话cookie和密码,这能使攻击者可以劫持其他用户的服务身份。在其披露时,约有17%或五十万通过认证机构认证的互联网安全网络服务器被认为容易受到攻击。

同时另一个名为“贵宾犬”Poodle的漏洞被发现。它能通过网络访问发现加密的数据,让黑客获得用户的银行账户,电子邮件以及其他服务。“贵宾犬”是继“心脏出血”和“Shellshock”漏洞之后,这已经是今年发现的第三个互联网漏洞了,但是美国研究机构——科力斯的应用安全总监克里斯迪克表示其危险性不及前两个,只是程序较为复杂而已。美国国土安全局的网络顾问表示,黑客必须通过“中间人”才能利用该漏洞进行攻击,例如一些咖啡馆的公共Wi-Fi热点就特别容易受到“贵宾犬”攻击。

据此情况,赛门铁克VeriSign)证书亚太区战略合作伙伴“天威诚信”发出声明,SSL协议漏洞与SSL证书本身是无关的。SSL证书用于激活服务器和客户端之间的SSL传输协议。现有的SSL协议已发展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多个版本。其中SSLv2及SSLv3已被发现存在漏洞,推荐在服务器端配置关闭该协议,仅开启TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影响。俗话说,魔高一尺,道高一丈。相信能被发现的问题,就不是问题。就会有对策解决它。

分类
知识中心

协议漏洞来袭:如何安全防范方可化险为夷

2014年4月一个名为“心脏出血”Heartbleed的漏洞是由安全公司Codenomicon和谷歌安全工程师发现。“心脏出血”属于高危漏洞,一个请求就可能窃取到一个用户帐号(返回服务器64K内存)。通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前的或已存储的传输数据,或在通信方使用完全正向保密的情况下,发动主动中间人攻击。攻击者无法控制服务器返回的数据,因为服务器会响应随机的内存块。

其次,漏洞还可能暴露其他用户的敏感请求和响应,包括用户任何形式的POST请求数据,会话cookie和密码,这能使攻击者可以劫持其他用户的服务身份。在其披露时,约有17%或五十万通过认证机构认证的互联网安全网络服务器被认为容易受到攻击。

同时另一个名为“贵宾犬”Poodle的漏洞被发现。它能通过网络访问发现加密的数据,让黑客获得用户的银行账户,电子邮件以及其他服务。“贵宾犬”是继“心脏出血”和“Shellshock”漏洞之后,这已经是今年发现的第三个互联网漏洞了,但是美国研究机构——科力斯的应用安全总监克里斯迪克表示其危险性不及前两个,只是程序较为复杂而已。美国国土安全局的网络顾问表示,黑客必须通过“中间人”才能利用该漏洞进行攻击,例如一些咖啡馆的公共Wi-Fi热点就特别容易受到“贵宾犬”攻击。

据此情况,赛门铁克VeriSign)证书亚太区战略合作伙伴“天威诚信”发出声明,SSL协议漏洞与SSL证书本身是无关的。SSL证书用于激活服务器和客户端之间的SSL传输协议。现有的SSL协议已发展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多个版本。其中SSLv2及SSLv3已被发现存在漏洞,推荐在服务器端配置关闭该协议,仅开启TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影响。

俗话说,魔高一尺,道高一丈。能被发现的问题,就会有解决问题的办法出现。遇到漏洞别着急,可以咨询天威诚信安全专家了解。

分类
知识中心

Symantec SSL证书工作原理是什么?

将防护范围扩展到 HTTPS 之外

Symantec SSL Certificates 提供了更多服务,可帮助您保护网站,发展在线业务。SSL、漏洞评估服务和每日网站恶意软件扫描功能三者的完美组合,不仅可帮助您为站点访问者提供更安全的在线体验,还可扩大保护范围,将面向公众的网页包括在内,使其不局限于 https。诺顿安全认证签章和赛门铁克 Seal-in-Search 技术可让您的客户确认您的站点是安全的,能够为其提供从搜索到浏览再到购买的全程保护。

浏览器遇到 SSL 会发生什么情况

浏览器尝试连接受 SSL 保护的网站。

浏览器要求网络服务器确认身份。

服务器向浏览器发送其 SSL Certificate 副本。

浏览器检查它是否要信任该 SSL Certificate。如果信任,则向服务器发送消息。

服务器发回以数字形式签名的确认,启动 SSL 加密的会话。

加密的数据在浏览器和服务器之间共享。

 

加密保护传输中的数据

网络服务器和网络浏览器依托安全套接字层 (SSL) 协议创建以独特方式加密的通道,以此保护通过公共互联网传输的私人通信,进而帮助用户保护传输中的数据。每个 SSL Certificate 都由密钥对以及经过验证的身份信息组成。当网络浏览器(或客户端)指向安全的网站时,服务器会与客户端共享公钥,以确立加密方法和唯一会话密钥。客户端确认它认可并信任该 SSL Certificate 的颁发机构。该过程就是大家所熟知的“SSL 握手”,然后,开启一个保护信息隐私性和消息完整性的安全会话。

128 位强大加密形成的组合,是 40 位加密组合的 288 倍。强度超过了万亿倍。按照目前的计算速度,有时间、工具和动机的黑客使用暴力攻击需要万亿年才能侵入由 SGC 证书保护的会话。要对大多数站点访问者实现强大的加密,请选择 SSL Certificate,请选择可以对 99.9% 的网站访问者实施最低128位加密的SSL证书

 

凭据确定在线身份

用于确定身份的凭据随处可见:驾照、护照、公司徽章等。而 SSL Certificates 是网上世界的凭据,颁发给特定的域和网络服务器,独一无二,并由 SSL Certificate 提供商进行验证。浏览器连接到服务器时,服务器就会向浏览器发送身份信息。

查看网站的凭据:

单击浏览器窗口中的锁定挂锁图标

单击信任标记(例如 Norton™ Secured Seal (诺顿安全认证签章))

查看扩展验证 (EV) SSL 触发的绿色地址栏

 

身份验证让凭据值得信赖

凭据的可信赖程度取决于凭据颁发机构的可信度,因为颁发机构为凭据的真实性担保。证书颁发机构使用各种身份验证方法来验证企业提供的信息。赛门铁克是浏览器供应商所熟知和信任的领先证书颁发机构,因为我们采用了严格的身份验证方法和高度可靠的基础架构。浏览器扩展了这种信任,将赛门铁克颁发的 SSL Certificates 包括在内。

 

分类
知识中心

如何实现Tomcat http自动跳转至https

HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTPS,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面

与http区别:

一、https协议需要到ca申请证书,一般免费证书很少,需要交费。

二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

SSL协议:

SSL安全套接层协议(Secure Socket Layer)

为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全标准,但限制出境。只要3.0版本以上之IE.或Netscape浏览器即可支持SSL。

当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

SSL协议位于TCP/IP协议与各种应用层协议之间,是一种国际标准的加密及身份认证通信协议,为TCP提供一个可靠的端到端的安全服务,为两个通讯个体之间提供保密性和完整性(身份鉴别)。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

如何配置:

1、生成服务器端证书文件

可以使用Windows系统或者Linux系统

(1) Windows环境

条件:已经安装JDK

步骤:

l 进入%JAVA_HOME%/bin目录

l 执行命令

keytool -genkey -alias tomcat -keyalg RSA -keystore F:tomcat.keystore -validity 36500

参数简要说明:“F:tomcat.keystore”含义是将证书文件保存在F盘,证书文件名称是tomcat.keystore ;“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天

l 在命令行填写必要的参数:

A、输入keystore密码:此处需要输入大于6个字符的字符串

B、“您的名字与姓氏是什么?”这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你将来要在浏览器中输入的访问地址

C、 “你的组织单位名称是什么?”、“您的组织名称是什么?”、“您所在城市或区域名称是什么?”、“您所在的州或者省份名称是什么?”、“该单位的两字母国家代码是什么?”可以按照需要填写也可以不填写直接回车,在系统询问“正确吗?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息

D、输入<tomcat>的主密码,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以

l 完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件

(2) Linux环境

条件:安装了JDK

步骤:

l 进入$JAVA_HOME/bin目录

l 执行命令

./keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/ac/web/tomcat.keystore -validity 36500

参数简要说明:“/etc/tomcat.keystore”含义是将证书文件保存在路径/usr/local/ac/web/下,证书文件名称是tomcat.keystore ;“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天

l 在命令行填写必要的参数:

截图如下:

截图部分说明:

A、Enter keystore password:此处需要输入大于6个字符的字符串

B、“What is your first and last name?”这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你将来要在浏览器中输入的访问地址

C、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”可以按照需要填写也可以不填写直接回车,在系统询问“correct?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息

D、Enter key password for <tomcat>,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以

l 完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件

2、配置TOMCAT服务器

(1) 如果你是在Windows环境中生成证书文件,则需要将生成的证书tomcat.keystore拷贝到Tomcat将要引用的位置,假设tomcat的应用证书的路径是“/etc/tomcat.keystore”,则需要将证书文件拷贝到“etc/”下;如果是在Linux环境按照上述介绍的步骤生成证书文件的话,此时证书文件已经在“etc/”下。

(2) 配置Tomcat,打开$CATALINA_HOME/conf/server.xml,修改如下,

<Connector port=”8080″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”8443″ />

修改参数=>

<Connector port=”80″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”443″ />

 

<!–

<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS”/>

–>

去掉注释且修改参数=>

<Connector port=”443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS” keystoreFile=”/etc/tomcat.keystore” keystorePass=”www.gbcom.com.cn”/>

注释:标识为淡蓝色的两个参数,分别是证书文件的位置和<tomcat>的主密码,在证书文件生成过程中做了设置

<!–

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”8443″ />

–>

修改参数=>

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”443″ />

(3) 打开$CATALINA_HOME/conf/web.xml,在该文件末尾增加:

2.强制https访问

在tomcatconfweb.xml中的</welcome-file-list>后面加上这样一段:

Java代码

1. <login-config>

2. <!– Authorization setting for SSL –>

3. <auth-method>CLIENT-CERT</auth-method>

4. <realm-name>Client Cert Users-only Area</realm-name>

5. </login-config>

6. <security-constraint>

7. <!– Authorization setting for SSL –>

8. <web-resource-collection >

9. <web-resource-name >SSL</web-resource-name>

10. <url-pattern>/*</url-pattern>

11. </web-resource-collection>

12. <user-data-constraint>

13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>

14. </user-data-constraint>

15. </security-constraint>

3、上述配置完成后,重启TOMCAT后即可以使用SSL。IE地址栏中可以直接输入地址不必输入“http://” 或者 “https://” ;也可以输入 “http:// ” 会跳转成为 “https://” 来登录

4、注意事项:

(1) 生成证书的时间,如果IE客户端所在机器的时间早于证书生效时间,或者晚于有效时间,IE会提示“该安全证书已到期或还未生效”

(2) 如果IE提示“安全证书上的名称无效或者与站点名称不匹配”,则是由生成证书时填写的服务器所在主机的域名“您的名字与姓氏是什么?”/“What is your first and last name?”不正确引起的

分类
知识中心

用SSL证书解决假冒钓鱼网站

随着网络贸易的飞速发展,不仅让我们的生活发生了很大的改变,也给了很多不法分子利用钓鱼网站诈骗广大网民的钱财,要防止网站假冒的发生,需要在许多方面采取安全防范措施。有的需从管理方面着手,如域名注册的严格管理、实名制手机、安全防范教育等;有的需从技术方面入手,如确保域名解析系统的安全等。除了这些措施外,SSL服务器证书是目前防止网站假冒最有效的技术手段。

服务器证书是一个标识网站身份的电子身份凭证(electronic credential),它采用密码技术构造。安装了服务器证书的网站通过使用Secure Socket Layer(SSL)安全协议进行身份鉴别和数据保密传送,因此,服务器证书又称为SSL服务器证书,或SSL证书

这里的证书,又称为数字证书(digital certificate),是公开密钥基础设施(Public Key Infrastructure,PKI)安全技术和服务体系的一个重要要素,它由一个被称为证书认证机构(Certification Authority,CA)的独立第三方签发,用于标识最终实体的身份。这里的实体,可以是人、组织或设备(如Web服务器)。

SSL协议,又称为Transport Layer Security(TLS)协议,它基于密码学原理设计;在用户通过浏览器访问一个Web网站时,SSL协议可以基于数字证书进行单向(仅鉴别网站身份)或双向(同时鉴别用户和网站身份)的身份鉴别,并通过构建安全的加密通道,保证数据在互联网上传送时不被泄露、窃取。

在有了服务器证书后,一个用户可以根据如下两点来判断这个网站是否真实可信:1)这个网站是否安装了服务器证书?2)如果安装了,这个网站的服务证书是否可信和有效?

判断一个网站是否安装了服务器证书,可以看这个网站是否可以通过https:\\xxx形式的URL(Uniform Resource Locator)访问(URL,即是输入到浏览器地址栏的网站访问地址及访问方法信息),例如,https:\\www.icbc.com.cn。若是,则说明网站安装了服务器证书;否则,就没有。没有安装服务器证书的网站是通过http:\\xxx形式的URL访问的,例如,http:\\www.icbc.com.cn。二者的差别是,https比http多一个“s”。

即便网站安装了服务器证书,如果服务器证书不可信或无效,则在用户访问网站时,浏览器会弹出一个警告窗口,提示用户,比如该证书的签名无效,或者证书不是由一个可信的证书认证机构(CA)签发(即证书不可信),又或者该证书已过了有效期、证书上的主机域名与网站的域名不相符等等;如果证书可信并有效,则浏览器不会弹出警告信息。若证书可信并有效,则用户可以进一步通过点击浏览器右下角的黄色小锁,或地址  栏右边的黄色小锁,查看证书的详细信息(但用户通常不会这么做)。

如果网站安装了服务器证书,且证书可信并有效,那么,这个网站就基本上可以确定是真实可信的了。