分类
公司新闻 解决方案

天威诚信 Apple ATS应用安全解决方案

Apple ATS(App Transport Securty)致力于提升应用数据传输安全性,建议在网络请求中采用https协议。2017年1月1日开始,Apple将在iOS 10和OS X10.12中强制启用https通讯。

 

什么是ATS?

 

新型加密技术-Forward Secrecy新型加密技术

 

SSL/TLS通讯协议-应用与后台通讯必须使用最新的TLS1.2版本https协议

 

SHA256算法-SSL/TLS证书

ssl证书,代码签名证书,服务器证书,ev代码签名证书

 

ATS的影响范围:浏览器类允许禁用ATS;App调用Safari进程,允许http方式连接后台服务器;影音多媒体应用,可通过http方式加载。

 

重要提示:开发者最好保证与App通讯的所有网络服务器都部署了 HTTPS 加密,否则可能会在应用审核时遇到大麻烦。
天威诚信SSL证书顺利通过AppStore安全审核。2000年天威诚信首度将Symantec引入中国,为中国企业提供SSL证书服务。稳定的认证运营奠定了天威诚信的发展方向,在鉴证及技术支持上天威诚信拥有丰富的实践经验,并且能够为客户承担相应的汇率风险,全年365天在线支持,在天威专业便是我们夯实的后盾。

 

天威诚信是Symantec在中国区合作时间最长、合作范围最广、合作层级最高的白金战略合作伙伴。天威诚信目前可提供Symantec 旗下全线数字证书产品,在2015年天威诚信荣获了赛门铁克度亚太地区冠军。
ssl证书,代码签名证书,服务器证书,ev代码签名证书

全网HTTPS的必要性
不仅仅是Apple ATS,Google Chrome、Android,以及下一代通讯协议http2,都在持续推进https协议的应用和普及。https将成为未来网络通讯协议的标配。
数据传输安全已成为企业互联网安全建设的重要环节,阿里巴巴和百度已经启用全站Https加密安全,并且阿里平台已经开始进行SSL证书的销售。SSL证书可有效防范各种新型攻击,提高用户信任度,醒目的绿色地址栏已经得到网民的认可,能有效的提升网民对网站的信息度,增加网民访问次数,提高合作量

分类
知识中心

HTTPS 登陆IOS9 拉开APP信息安全新大幕

IOS9一经问世,可以说秒杀无数果粉芳心。别的不多说,在续航续航还是续航的玩儿机年代,IOS9省电提升1小时,这魅力简直无法阻挡。

 

然而这次IOS9最大的变革,就是让HTTP退出系统舞台,取而代之的是HTTPS。我们身处在信息发达的年代,但是三大风险不容忽视:窃听风险,第三方可以获知通信内容;篡改风险,第三方可以修改通信内容;冒充风险,第三方可以冒充他人身份参与通信。正因如此,为了解决这三大风险而设计出SSL/TLS协议,希望达到所有信息都是加密传播,第三方无法窃听;具有校验机制,一旦被篡改,通信双方会立刻发现;配备身份证书,防止身份被冒充。

 

SSL/TSL是一个分层协议,共有两层组成,其中 SSL/TSL 握手协议允许服务方与客户方互相认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥。SSL/TSL的握手协议主要交换数字证书、随机数、机密通信协议这三个信息,以保证访问的安全。

 

此次IOS9引入了新特性App Transport Security (ATS)。iOS9系统发送的网络请求将统一使用TLS 1.2 SSL协议TLS 是 SSL 新的别称及HTTPS协议,采用TLS 1.2 协议,目的是强制增强数据访问安全,而且系统 Foundation 框架下的相关网络请求,将不再默认使用Http等不安全的网络协议,而默认采用TLS 1.2。服务器因此需要更新,以解析相关数据。

 

苹果的应用生态之庞大,只要是对手机比较感兴趣的都有所明了。如今,苹果IOS9的一纸号令,让HTTP协议走上台前,并且告诉大家,这个已经不安全了,必须是HTTPS协议,才能保证用户安全。乔布斯重新定义了手机,如今,库克很可能要去重新定义手机安全。数据安全才是未来信息社会的大势走向。

 

其实说起来,HTTP变身成HTTPS,并非什么难事。这中间,就差着一个数字证书认证。只需要找到一家有从业资格的数字证书颁发CA机构,就可以很顺利地进阶为HTTPS。目前笔者了解的,在国内比较权威的数字证书颁发CA机构,是天威诚信itruschina)。天威诚信为支付宝、联想、招商银行等大型企业提供了网络安全认证服务,有着十多年的从业经验。想继续在IOS的应用市场里占有一席之地,找天威诚信这样的认证机构去升级HTTPS,必不可少。

 

手机市场从来红海一片,各方发布会是你方唱罢我登场。手机已经是出门三大件(手机、钥匙、钱包),低头族指尖族就在身边。关心用户信息安全,这体现的是浓厚的企业人文关怀。苹果用实际行动证明了这点,接下来,安卓机是不是见贤思齐呢?

分类
知识中心

SSL证书和TLS证书安全通信机制

为了更好地理解SSL证书TLS证书,我们来观察一下HTTPS的通信步骤。

步骤1: _客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。

步骤2: _服务器可进行SSL通信时,会以Server Hello报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤3: _之后服务器发送Certificate报文。报文中包含公开密钥证书。

步骤4:  最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束。

步骤5:  SSL第一次握手结束之后,客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。

步骤6:  接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密。

步骤7:  客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

步骤8:  服务器同样发送Change Cipher Spec报文。

步骤9: 服务器同样发送Finished报文。

步骤10:  服务器和客户端的Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求。

步骤11: 应用层协议通信,即发送HTTP响应。

步骤12: 最后由客户端断开连接。断开连接时,发送close_notify报文。上图做了一些省略,这步之后再发送TCP FIN报文来关闭与TCP的通信。

在以上流程中,应用层发送数据时会附加一种叫做MAC(Message Authentication Code)的报文摘要。MAC能够查知报文是否遭到篡改,从而保护报文的完整性。

下面是对整个流程的图解。图中说明了从仅使用服务器端的公开密钥证书(服务器证书)建立HTTPS通信的整个过程。

 

SSL证书和TLS证书

HTTPS使用SSL(Secure Socket Layer)和TLS(Transport Layer Security)这两个协议。

A  CBC模式(Cipher Block Chaining) 又名密码分组链接模式。在此模式下,将前一个明文块加密处理后和下一个明文块做XOR运算,使之重叠,然后再对运算结果做加密处理。对第一个明文块做加密时,要么使用前一段密文的最后一块,要么利用外部生成的初始向量(initial vector,IV)。–译者注

SSL技术最初是由浏览器开发商网景通信公司率先倡导的,开发过SSL3.0之前的版本。目前主导权已转移到IETF(Internet Engineering Task Force,Internet工程任务组)的手中。

IETF以SSL3.0为基准,后又制定了TLS1.0、TLS1.1和TLS1.2。TSL是以SSL为原型开发的协议,有时会统一称该协议为SSL。当前主流的版本是SSL3.0和TLS1.0。

由于SSL1.0协议在设计之初被发现出了问题,就没有实际投入使用。SSL2.0也被发现存在问题,所以很多浏览器直接废除了该协议版本。

SSL速度慢吗

HTTPS也存在一些问题,那就是当使用SSL时,它的处理速度会变慢。

SSL的慢分两种。一种是指通信慢。另一种是指由于大量消耗CPU及内存等资源,导致处理速度变慢。

和使用HTTP相比,网络负载可能会变慢2到100倍。除去和TCP连接、发送HTTP请求o响应以外,还必须进行SSL通信,因此整体上处理通信量不可避免会增加。

另一点是SSL必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲,比起HTTP会更多地消耗服务器和客户端的硬件资源,导致负载增强。

针对速度变慢这一问题,并没有根本性的解决方案,我们会使用SSL加速器这种(专用服务器)硬件来改善该问题。该硬件为SSL通信专用硬件,相对软件来讲,能够提高数倍SSL的计算速度。仅在SSL处理时发挥SSL加速器的功效,以分担负载。

为什么不一直使用HTTPS

既然HTTPS那么安全可靠,那为何所有的Web网站不一直使用HTTPS

其中一个原因是,因为与纯文本通信相比,加密通信会消耗更多的CPU及内存资源。如果每次通信都加密,会消耗相当多的资源,平摊到一台计算机上时,能够处理的请求数量必定也会随之减少。

因此,如果是非敏感信息则使用HTTP通信,只有在包含个人信息等敏感数据时,才利用HTTPS加密通信。

特别是每当那些访问量较多的Web网站在进行加密处理时,它们所承担着的负载不容小觑。在进行加密处理时,并非对所有内容都进行加密处理,而是仅在那些需要信息隐藏时才会加密,以节约资源。

 

要进行HTTPS通信,证书是必不可少的。而使用的证书必须向认证机构(CA)购买。如全球权威认证机构VeriSign威瑞信),业务范围全球服务网络遍及全球,面向各地客户提供PKI及SSL证书服务。在SSL证书业务上,VeriSign通过强大的加密功能和严格的鉴权措施,保护着全世界超过 500000 台 Web 服务器的安全。为了让全球客户都能享受到SSL证书所带来的安全保障,VeriSign通过严格的评价机制,在全球选择了解当地业务情况,运营规范的企业 作为VeriSign SSL代理合作伙伴,确保SSL证书准确高效签发。

分类
知识中心

HTTP通信使用明文可能会被窃听

由于HTTP本身不具备加密的功能,所以也无法做到对通信整体(使用HTTP协议通信的请求和响应的内容)进行加密。即,HTTP报文使用明文(指未经过加密的报文)方式发送。

 

TCP/IP是可能被窃听的网络

 

如果要问为什么通信时不加密是一个缺点,这是因为,按TCP/IP协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。

 

所谓互联网,是由能连通到全世界的网络组成的。无论世界哪个角落的服务器在和客户端通信时,在此通信线路上的某些网络设备、光缆、计算机等都不可能是个人的私有物,所以不排除某个环节中会遭到恶意窥视行为。

 

即使已经过加密处理的通信,也会被窥视到通信内容,这点和未加密的通信是相同的。只是说如果通信经过加密,就有可能让人无法破解报文信息的含义,但加密处理后的报文信息本身还是会被看到的。

 

窃听相同段上的通信并非难事。只需要收集在互联网上流动的数据包(帧)就行了。对于收集来的数据包的解析工作,可交给那些抓包(Packet Capture)或嗅探器(Sniffer)工具。

 

广泛使用的抓包工具Wireshark,它可以获取HTTP协议的请求和响应的内容,并对其进行解析。

 

像使用GET方法发送请求、响应返回了200 OK,查看HTTP响应报文的全部内容等一系列的事情都可以做到。

 

加密处理防止被窃听

 

在目前大家正在研究的如何防止窃听保护信息的几种对策中,最为普及的就是加密技术。加密的对象可以有这么几个。

 

通信的加密

 

一种方式就是将通信加密。HTTP协议中没有加密机制,但可以通过和SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全层传输协议)的组合使用,加密HTTP的通信内容。

 

用SSL建立安全通信线路之后,就可以在这条线路上进行HTTP通信了。与SSL证书组合使用的HTTP被称为HTTPS(HTTP Secure,超文本传输安全协议)或HTTP over SSL。

 

内容的加密

 

还有一种将参与通信的内容本身加密的方式。由于HTTP协议中没有加密机制,那么就对HTTP协议传输的内容本身加密。即把HTTP报文里所含的内容进行加密处理。

 

在这种情况下,客户端需要对HTTP报文进行加密处理后再发送请求。

 

诚然,为了做到有效的内容加密,前提是要求客户端和服务器同时具备加密和解密机制。主要应用在Web服务中。有一点必须引起注意,由于该方式不同于SSL或TLS将整个通信线路加密处理,所以内容仍有被篡改的风险。稍后我们会加以说明

 

分类
知识中心

如何开启Nginx TLS(SSL) SNI support

VPS上的多个站点都使用SSL加密,主要那些twitter api被墙怕了,还是加密好

但是看一个ip只能一个ssl证书,我不可能去多买几个ip吧,毕竟只是自己想玩玩,不是那种必须的

但是既然想了就折腾下,后来查了下资料,可以multiple SSL sites on a single IP address

而Nginx如果开启了TLS SNI support,就能支持多个SSL加密站点共同使用一个IP

方法也很简单,首先先看看你现在的Nginx是否enable了这个功能

/usr/local/nginx/sbin/nginx -V

nginx: nginx version: nginx/1.1.0

nginx: TLS SNI support disable

nginx: configure arguments: –user=www –group=www –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_gzip_static_module –with-ipv6

 

如果是TLS SNI support disable那你需要重新编译下Nginx,如果enable了,你直接修改配置文件就行

这里的环境事先说明,这里使用LNMP一键安装包搭建的环境,其他方法的请自行查看需要修改地方

方法很简单,首先安装OpenSSL,不过一般都装好的,这里忽略

下载openssl源码包

wget http://www.openssl.org/source/openssl-1.0.0d.tar.gz

tar xvf openssl-1.0.0d.tar.gz

 

然后重新编译Nginx,需要在Configuare里多加一行参数,指明openssl的路径

我的openssl解压路径和nginx的目录在同级目录下,如果你的不在请自行修改

./configure –user=www –group=www –prefix=/usr/local/nginx \

–with-http_stub_status_module \

–with-http_ssl_module \

–with-http_gzip_static_module \

–with-ipv6 \

–with-openssl=../openssl-1.0.0d/

make

mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old

cp objs/nginx /usr/local/nginx/sbin/nginx

/usr/local/nginx/sbin/nginx -t

make upgrade

 

然后我们看下Nginx版本信息,确认下

/usr/local/nginx/sbin/nginx -V

nginx: nginx version: nginx/1.1.0

nginx: TLS SNI support enabled

nginx: configure arguments: –user=www –group=www –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_gzip_static_module –with-ipv6 –with-openssl=../../openssl-1.0.0d/

 

搞定,TLS SNI support enabled,接下来就是修改vhost的配置,加上ssl证书配置了

分类
知识中心

用SSL证书解决假冒钓鱼网站

随着网络贸易的飞速发展,不仅让我们的生活发生了很大的改变,也给了很多不法分子利用钓鱼网站诈骗广大网民的钱财,要防止网站假冒的发生,需要在许多方面采取安全防范措施。有的需从管理方面着手,如域名注册的严格管理、实名制手机、安全防范教育等;有的需从技术方面入手,如确保域名解析系统的安全等。除了这些措施外,SSL服务器证书是目前防止网站假冒最有效的技术手段。

服务器证书是一个标识网站身份的电子身份凭证(electronic credential),它采用密码技术构造。安装了服务器证书的网站通过使用Secure Socket Layer(SSL)安全协议进行身份鉴别和数据保密传送,因此,服务器证书又称为SSL服务器证书,或SSL证书

这里的证书,又称为数字证书(digital certificate),是公开密钥基础设施(Public Key Infrastructure,PKI)安全技术和服务体系的一个重要要素,它由一个被称为证书认证机构(Certification Authority,CA)的独立第三方签发,用于标识最终实体的身份。这里的实体,可以是人、组织或设备(如Web服务器)。

SSL协议,又称为Transport Layer Security(TLS)协议,它基于密码学原理设计;在用户通过浏览器访问一个Web网站时,SSL协议可以基于数字证书进行单向(仅鉴别网站身份)或双向(同时鉴别用户和网站身份)的身份鉴别,并通过构建安全的加密通道,保证数据在互联网上传送时不被泄露、窃取。

在有了服务器证书后,一个用户可以根据如下两点来判断这个网站是否真实可信:1)这个网站是否安装了服务器证书?2)如果安装了,这个网站的服务证书是否可信和有效?

判断一个网站是否安装了服务器证书,可以看这个网站是否可以通过https:\\xxx形式的URL(Uniform Resource Locator)访问(URL,即是输入到浏览器地址栏的网站访问地址及访问方法信息),例如,https:\\www.icbc.com.cn。若是,则说明网站安装了服务器证书;否则,就没有。没有安装服务器证书的网站是通过http:\\xxx形式的URL访问的,例如,http:\\www.icbc.com.cn。二者的差别是,https比http多一个“s”。

即便网站安装了服务器证书,如果服务器证书不可信或无效,则在用户访问网站时,浏览器会弹出一个警告窗口,提示用户,比如该证书的签名无效,或者证书不是由一个可信的证书认证机构(CA)签发(即证书不可信),又或者该证书已过了有效期、证书上的主机域名与网站的域名不相符等等;如果证书可信并有效,则浏览器不会弹出警告信息。若证书可信并有效,则用户可以进一步通过点击浏览器右下角的黄色小锁,或地址  栏右边的黄色小锁,查看证书的详细信息(但用户通常不会这么做)。

如果网站安装了服务器证书,且证书可信并有效,那么,这个网站就基本上可以确定是真实可信的了。