分类
公司新闻

量子安全加密:DigiCert与Gemalto,ISARA强强联手

量子计算是当今加密的一大威胁,DigiCert希望解决这一问题。量子安全加密是一个需要及早关注的概念。今年,量子计算领域取得了惊人的进展。虽然这本身是个令人振奋的消息,但同时,这也对我们当下使用的加密标准构成了一大威胁。

量子安全加密:DigiCert与Gemalto,ISARA强强联手-1


量子安全加密

幸运的是,DigiCert已经宣布与Gemalto和ISARA合作,共同开发量子安全数字证书与密钥管理解决方案,尤其针对IoT设备。

DigiCert新兴市场执行副总裁Deepika Chauhan指出:“为了帮助互联设备及相关网络抵御未来量子计算带来的新型安全威胁,DigiCert、Gemalto和ISARA公司达成合作伙伴关系。三方将致力于确保用于汽车、工业控制系统、医疗设备、核电站及关键基础设施的互联系统在未来5年、10年,甚至20年里能够有效应对网络安全威胁。”

那么,什么是量子安全加密?这种合作关系对数字证书行业意味着什么?

让我们一一分析。

什么是量子计算?

最好先从回顾量子计算的基本概念开始。我们已经深入讨论过这一问题,这里是简化版:传统计算机在二进制系统上运行,这意味着位(0和1)是已知量,也即,位是0或1.

量子安全加密。量子计算完全不考虑这个概念。量子比特,即量子位,可以叠加,这意味着它们可以同时是0和1。这似乎有些抽象,确实如此。坦率地说,我们无须细究这个问题的细枝末节。重要的是,量子计算能力要比现代计算机的计算能力高出指数倍。这对今天的加密技术构成了巨大的威胁。

RSA(Rivest-Shamir-Adleman)是当今最常用的密码体系之一,它基于素数分解。众所周知,私钥实际上只是一长串字母和数字。要“破解”RSA加密,须猜出密钥。由于一台标准台式计算机一次只能尝试一个组合,因此破解一个2048位RSA私钥要耗时6.4千万亿年。

由于量子位能够叠加,即可同时处于多个位置,因此量子计算机可以一次尝试多个组合。你大概能够猜到这意味着什么……能够同时尝试多个组合可以极大地减少破解密钥的时间。

一台量子位量子计算机可以同时尝试两个数值。两台量子位计算机可以同时处于四个位置,这意味着可以同时尝试四个值。今年3月,谷歌推出了72量子位量子计算机,击败了IBM的50量子位量子计算机。72量子位量子计算机可以同时尝试272(4,722,366,482,869,645,213,696)个值。

突然间,猜测私钥并不那么困难了。事实上,这个过程可以很快完成。因为RSA的伸缩性欠佳,即密钥的硬度不会随着密钥的长度同等增加。

ISARA首席执行官兼创始人斯科特·托兹克说:“根据专家预测,大规模量子计算将在未来8至10年到来,届时,所有的现有公共密钥加密都将变得不再可信。为此,我们合力注入量子级安全加密技术,以确保安全堆栈的基础要素—— 根证书,得到有效的保护。这意味着,我们将为物联网制造商和大型机构带来必要的解决方案和工具,在量子时代到来之前,为应对量子威胁做好准备,确保机密信息和高价值资产安全无虞。”

数字证书的未来是耐量子的

很显然,现今使用的密码体系将无法承受量子计算的能力,因此,像DigiCert这样的公司带头走在即将到来的量子革命的前沿是至关重要的。这些问题极为重要,不能等到真正发生后再找出答案。

DigiCert在应对这一挑战中首屈一指。作为企业安全领域的领导者之一,DigiCert早已经享有盛誉,因此,DigiCert非常精通于如何应对大公司和组织的挑战及痛点。

这种合作关系之初的实现形式是,Gemalto的SafeNet硬件安全模块(作为密钥管理和存储解决方案)将与DigiCert的API集成,可为连接的设备大规模签发量子安全数字证书。数字证书将利用ISARA提供的量子安全加密。

这三家公司还与IETF及其他标准组织合作,为其他公司开始使用量子安全加密奠定基础。

DigiCert的提姆·霍勒比克在eWEEK采访中称:“ISARA及其他地方的研究人员正在研发量子计算机无法破解的新密码算法,这些算法需要用于PKI/TLS证书中,并且其他地方都使用经典的非对称算法。”

什么是量子安全加密?

如果没有数学或者物理学的博士学位,很难回答这个问题。从概念上讲,量子安全加密指能够抵挡量子计算机攻击的密码系统。

今天,密码系统的安全性依赖于三种数学问题:

●整数分解

●离散对数

●椭圆曲线离散对数

这三种问题是指它们可能被运行舒尔算法的量子计算机所破解。舒尔算法是皮特·舒尔于1994年提出的一种量子算法,可用于解决大多数公钥密码机制的破解问题。

为了保证量子安全,密码系统需要能够承受量子计算机可能对其施加的处理能力。有关后量子密码学的大多数研究集中在以下六种可能的方法中:

●基于格的密码学

●多元密码学

●基于哈希的密码学

●基于代码的密码学

●超奇异椭圆曲线同构密码学

●对称密钥量子电阻

ISARA似乎中意的方法之一是被称为Leighton-Micali的机制,这是一种基于哈希的密码系统,目前正在考虑标准化。它将一次性签名机制与Merkle树函数相结合。

量子安全数字证书会是什么样子?

现在我们至少已经了解了什么是量子安全加密,让我们来看看这个概念如何应用于我们今天使用的数字证书。

Equifax过期数字证书。本质上,您所看到的是一个X.509证书,它支持两种算法,并且有两个数字签名。一个算法和签名将用于当前使用的经典密码系统(如RSA),而另一个算法和签名将是量子安全的(如我们刚刚讨论的Leighton-Micali机制)。

这样,该证书仍然可以像其他数字证书一样用于普通计算机,并且在未来更新的系统中将能够使用量子安全加密算法。

这使得证书不会过时,对很多组织极具吸引力。但还有很多工作需要完成,包括升级现有的验证和签发系统,以及从数字证书行业内外的利益相关者那里买进。

但这是重大的第一步。

霍勒比克说:“向量子安全技术过渡将最终需要每一个使用密码保护其系统的用户进行投资,我们正在向长寿命设备制造商提供这一能力,以便他们具有较长保质期的产品从现在起就能够使用量子安全算法,而不需要后期更新。”

天威诚信与Digicert

天威诚信是依据《中华人民共和国电子签名法》,由工业和信息化部许可设立的电子认证服务机构。2000年将DigiCert/Symantec认证业务引入中国,开启为中国用户提供DigiCert/Symantec认证方案的先河。

目前,天威诚信公司是中国唯一一家由DigiCert/Symantec直接授权且由中国工信部批准的CA认证机构,拥有最高的行业准入标准。天威诚信服务于全行业超过95%的大客户,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。

分类
知识中心

SSL证书是什么?ssl证书的重要性有哪些?

SSL(Secure Sockets Layer,安全套接层)是支持在网络服务器(主机)与网页浏览器(客户端)间建立加密连接的标准技术。运用SSL技术后,保证了主机与客户端连接过程中的数据安全。随着电子商务的发展,越来越多的运用SSL保护用户在线交易的安全性。如果您访问某网站时,在浏览器地址栏输入的地址以“https://”开头,则代表您正通过SSL建立安全连接。

SSL连接如何保护数据安全

SSL证书是什么?ssl证书的重要性有哪些?-1

使用SSL证书后,即在用户网络浏览器及网络服务器间创建了加密数据连接,这也就意味着,服务器与浏览器间的任何交易数据在解密前是不可读的。因此,正由于加密数据不易理解性,也防止了网络中的第三者窥探数据信息。

如何建立加密连接

SSL证书是什么?ssl证书的重要性有哪些?-2

在尝试建立安全连接前,需要进行以下三步操作:

1、在地址栏输入或选择安全URL,例如“https://www.baidu.com”;

2、服务器在收到您发送的安全连接请求后,提交尝试在浏览器与服务器间建立可信任连接的回复,这也就是所谓的“SSL握手”;

3、通过SSL握手验证SSL证书后,服务器与客户端间的数据将会以加密的形式传输,保证其隐私与安全。

如何直观辨别网站是否使用SSL
如果网站使用了SSL证书,虽然SSL协议具体内容并不会直接展示给用户,但大部分浏览器支持在地址栏显示一个锁的图案或其他形式证明其使用了SSL,这也表明了您目前正享受SSL加密会话的保护。如果您想了解SSL证书详细信息,只需点击地址栏头部“锁”的图标即可。

SSL对访问者意味着什么?
大 部分SSL证书包含域名、公司名称、国家及详细地址,当然也包含证书的有效期与证书颁发机构的详细信息。当浏览器尝试与网站建立SSL连接时,会首先核实 证书是否过期,是否由可信任的机构颁发以及网站是否正确。如果有任一项出现错误,浏览器将会提示警告,告知用户网站未使用SSL。

分类
知识中心

赛门铁克(VeriSign)SSL证书—企业网站安全第一通道

如今,对大多数年轻网民来说,网络购物已经成为一件稀松平常的事情。人们能够毫不犹豫地在购物网站上完成支付,是因为今天的技术已经能够为网络交易的真实性和安全性提供保障。比如,当我们在网上完成一笔交易时,都会提示安装安全证书,此时安全证书就相当于网站的身份证。浏览器在登录网站时会根据证书中提供的信息,逐级验证证书的真伪,以保证证书的真实性和网站的真实性。

其实所安装的安全证书,就是SSL证书及服务器证书。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer),以SSL安全协议来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,以及保障数据的完整性。

由于SSL技术建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

其次,SSL证书技术通过加密信息和提供鉴权,不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密,而不被黑客截取,即使截取到也是密文,也看不到真实的用户名与密码。而我们经常遇到的网络攻击,如数据劫持和钓鱼攻击等,都是在没有SSL证书的保护下造成的。这极有可能让用户信息泄露甚至造成严重的经济损失,而通过SSL证书认证就可有效避免,因为只有授权用户才能读取数据。

所以,随着网络的普及,网络安全环境对SSL证书的需求日益加大,目前世界500强企业中93%的公司和世界100家最大的银行中97%的银行以及全球50家大型电子商务网站中的47个网站都安装了赛门铁克(VeriSign)SSL证书。企业只有部署了SSL证书,才真正给了网民一个放心的交易平台。

目前在中国的网络安全市场也早已与世界同步,大部分互联网企业都部署了SSL证书,以期给广大个人网络用户最大极度的安全保障。天威诚信作为国内网络安全服务商经过几年的开拓已经领跑业界,合作伙伴遍及各个行业。近期更是签约了国航、强生等商业巨头。天威诚信提示广大用户重视网络安全、防止财产损失。

分类
知识中心

SSL证书的加密和SSL证书的使用情况

现在的网络技术飞速发展以及不断增加的公司将运用与事务放置到网上,网络隐私维护等疑问逐步得到了公司管理层及有关人士的注重,当公司在异地区域有分支机构或员工在外出差时如果更有效的衔接内网服务器和内网有关运用呢?不论是经过Windows服务器的远程桌面仍是专业VPN设备,咱们都会遇到传输的数据被外网人员sniffer盗取的疑问,这时根本的维护就需要依托天威诚信的SSL证书了。相信不少人都听说过SSL证书,也晓得他的特色,可是要想顺畅在公司中运用SSL证书则并不简略今天就给大家说说SSL证书的加密协议和SSL证书的使用情况,如果大家需要可以在天威诚信网站SSL证书申请。

一,通过SSL证书加密协议提供安全:

SSL协议位于TCP/IP协议与各种运用层协议之间,为数据通讯供给安全支撑。SSL协议可分为两层

SSL记载协议(SSL Record Protocol):它建立在牢靠的传输协议(如TCP)之上,为高层协议供给数据封装、紧缩、加密等根本功能的支撑。

SSL握手协议(SSL Handshake Protocol):它建立在SSL记载协议之上,用于在实践的数据传输开端前,通讯两边进行身份认证、洽谈加密算法、交流加密密钥等。

不论原理是啥样的,咱们要想顺畅运用这种加密安全协议就需要为通讯两边建立合法的SSL握手衔接,而这个衔接是经过导出与导入安全证书完成的,本文就将解说如何导出与导入安全证书。

二,用到SSL证书的情况:

SSL是安全加密协议,在内网运用并不多,通常都是在外网要拜访内网或许运用有关权限时用到SSL证书。从前经过SSL证书衔接过FTP,服务器的远程桌面和公司路由交流设备以及专业VPN接入设备。数据经过SSL加密后因为没有对应的证书入侵者无法经过sniffer类东西查看其内容。

SSL是一种安全传输协议,其全称是Securesocketlayer(安全套接层),该协议最初由Netscape企业发展而来,是加密通讯的全球化标准,已被广泛采用。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。对于网民来讲,在信用卡密码、银行账号、个人身份信息输入时均需要留意网站是否采用了SSL加密链接。因为SSL证书除了加密功能,还可以为网站提供身份验证服务。网民可以通过SSL证书查看网站的真实身份信息,避免登陆欺诈钓鱼网站。国内常见的SSL证书有Symantec赛门铁克(VeriSign)SSL证书,仅Symantec赛门铁克VeriSign)SSL证书全球就超过400万张。目前Symantec赛门铁克(VeriSign)SSL证书国内通过天威诚信签发各种数字证书产品,如招商银行、工商银行、建设银行、中国银行、光大银行、淘宝、红孩子、卓越亚马逊、凡客、国美电器等都是从天威诚信获取 SSL证书服务

分类
知识中心

SSL证书基本工作原理

安全套接字层 (SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份SSL证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。a 确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。

保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。

在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和最低128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。

最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10年。

分类
知识中心

企业网站安全提示:正确选择SSL服务商

互联网启蒙于美国军方的内部网络,由于其是一个专网,初期网络规模小,处理能力低,设计的TCP/IP协议的核心是信息传递,很少涉及信息安全,因此,应用层协议http、smtp、ftp均是明文数据,未采用加密措施。

随者互联网的普及,互联网应用层出不穷,同时,由于互联网的爆炸性增长,接入互联网的节点泥沙俱下,带来各种各样的互联网威胁,如何辨别一个网站的身份,如何安全的传递机密或隐私信息,成为至关重要的问题

对于绝大多数网民来讲,安全高效的互联网对于客户的信心保障远胜过铺天盖地的广告宣传。ssl安全套接字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书(certificate ssl)的申请与配置。 决定购买何种SSL网站安全证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。在一系列SSL服务商面前,企业又该如何抉择呢?

在选择SSL证书时有很多重要的因素供您权衡,第一个因素是您的业务范围。很多证书对域和子域、物理服务器的数量是有限制的,建议充分参考提供的参数选择最适合您网站的SSL证书

选择之前您要考虑是否需要保护多个域名。例如,如果你在一台服务器上部署多个不同域名的站点,建议购买SSL多域名证书。其次一个主域名下的多个子域,都需要证书来保护信息传输安全,你应该选择SSL通配符证书,保护的二级子域名数量没有限制。

对线上购物者来说,绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用扩展验证EVSSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

清楚证书使用的加密长度是非常重要的。40位强度的证书暴力破解耗费4小时,而对于128位证书破解需要一万亿年以上。128位强制型,在消费者登录安全页面时以技术手段强制消费者采用128位加密级别,以提升安全性,能很大程度上减少隐私信息外泄的可能,因此128位强制型SSL证书在市场上倍受青睐。

低端SSL服务器证书无法与多数浏览器兼容,因此访问时会弹出安全警告或直接禁止客户访问,极大的降低客户登录成功率。同时低端证书一遍无法提供128位的加密强度,因此在安全性上存在重大隐患。对于重要的金融机构、大型购物网站,配置不进行身份验证的低端SSL证书极容易被欺诈仿冒,其品牌价值和信任度将经受严重考验。高端SSl服务器证书可以与浏览器完全兼容,高安全的加密强度及身份验证机制可以确保网站的安全可靠,其最新的天威诚信EVssl证书更可以展示绿色地址栏提升网站安全可信度。

 

其次,无论从功能、服务、认证级别还是证书安全性及证书应用体验考虑,免费的SSL证书都存在巨大差距。如果您只是在测试系统中使用免费的SSL服务是没有问题的,但如果涉及到隐私数据传输及网上交易及支付,应尽量避免使用免费的SSL证书产品,从而使机密数据的网上传输能够得到更好的安全保障。

分类
知识中心

如何验证SSL证书公钥的正确性

公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。比如,正准备和某台服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输途中,真正的公开密钥已经被攻击者替换掉了。

为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。

数字证书认证机构处于客户端与服务器双方都可信赖的第三方机构的立场上。威瑞信VeriSign)就是其中一家非常有名的数字证书认证机构。我们来介绍一下数字证书认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。

服务器会将这份由数字证书认证机构颁发的公钥证书发送给客户端,以进行公开密钥加密方式通信。公钥证书也可叫做数字证书或直接称为证书。

接到证书的客户端可使用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,客户端便可明确两件事:一,认证服务器的公开密钥的是真实有效的数字证书认证机构。二,服务器的公开密钥是值得信赖的。

此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。

 

可证明组织真实性的EV SSL证书

证书的一个作用是用来证明作为通信一方的服务器是否规范,另外一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书(Extended Validation SSL Certificate)。

EV SSL证书是基于国际标准的认证指导方针颁发的证书。其严格规定了对运营组织是否真实的确认方针,因此,通过认证的Web网站能够获得更高的认可度。

持有EV SSL证书的Web网站的浏览器地址栏处的背景色是绿色的,从视觉上就能一眼辨别出。而且在地址栏的左侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。

 

为了防止用户被钓鱼攻击(Phishing),但就效果上来讲,还得打一个问号。很多用户可能不了解EV SSL证书相关的知识,因此也不太会留意它。

用以确认客户端的客户端证书

HTTPS中还可以使用客户端证书。以客户端证书进行客户端认证,证明服务器正在通信的对方始终是预料之内的客户端,其作用跟服务器证书如出一辙。

但客户端证书仍存在几处问题点。其中的一个问题点是证书的获取及发布。

想获取证书时,用户得自行安装客户端证书。但由于客户端证书是要付费购买的,且每张证书对应到每位用户也就意味着需支付和用户数对等的费用。另外,要让知识层次不同的用户们自行安装证书,这件事本身也充满了各种挑战。

现状是,安全性极高的认证机构可颁发客户端证书但仅用于特殊用途的业务。比如那些可支撑客户端证书支出费用的业务。

例如,银行的网上银行就采用了客户端证书。在登录网银时不仅要求用户确认输入ID和密码,还会要求用户的客户端证书,以确认用户是否从特定的终端访问网银。

客户端证书存在的另一个问题点是,客户端证书毕竟只能用来证明客户端实际存在,而不能用来证明用户本人的真实有效性。也就是说,只要获得了安装有客户端证书的计算机的使用权限,也就意味着同时拥有了客户端证书的使用权限。

认证机构信誉第一

SSL机制中介入认证机构之所以可行,是因为建立在其信用绝对可靠这一大前提下的。然而,2011年7月,荷兰的一家名叫DigiNotar的认证机构曾遭黑客不法入侵,颁布了google.com和twitter.com等网站的伪造证书事件。这一事件从根本上撼动了SSL的可信度。

因为伪造证书上有正规认证机构的数字签名,所以浏览器会判定该证书是正当的。当伪造的证书被用做服务器伪装之时,用户根本无法察觉到。

虽然存在可将证书无效化的证书吊销列表(Certificate Revocation List,CRL)机制,以及从客户端删除根证书颁发机构(Root Certificate Authority,RCA)的对策,但是距离生效还需要一段时间,而在这段时间内,到底会有多少用户的利益蒙受损失就不得而知了。

由自认证机构颁发的证书称为自签名证书

如果使用OpenSSL这套开源程序,每个人都可以构建一套属于自己的认证机构,从而自己给自己颁发服务器证书。但该服务器证书在互联网上不可作为证书使用,似乎没什么帮助。

独立构建的认证机构叫做自认证机构,由自认证机构颁发的”无用”证书也被戏称为自签名证书

浏览器访问该服务器时,会显示”无法确认连接安全性”或”该网站的安全证书存在问题”等警告消息。

 

由自认证机构颁发的服务器证书之所以不起作用,是因为它无法消除伪装的可能性。自认证机构能够产生的作用顶多也就是自己对外宣称”我是○○”的这种程度。即使采用自签名证书,通过SSL加密之后,可能偶尔还会看见通信处在安全状态的提示,可那也是有问题的。因为就算加密通信,也不能排除正在和已经过伪装的假服务器保持通信。

值得信赖的第三方机构介入认证,才能让已植入在浏览器内的认证机构颁布的公开密钥发挥作用,并借此证明服务器的真实性。

中级认证机构的证书可能会变成自认证证书

多数浏览器内预先已植入备受信赖的认证机构的证书,但也有一小部分浏览器会植入中级认证机构的证书。

对于中级认证机构颁发的服务器证书,某些浏览器会以正规的证书来对待,可有的浏览器会当作自签名证书。

分类
知识中心

Symantec SSL证书工作原理是什么?

将防护范围扩展到 HTTPS 之外

Symantec SSL Certificates 提供了更多服务,可帮助您保护网站,发展在线业务。SSL、漏洞评估服务和每日网站恶意软件扫描功能三者的完美组合,不仅可帮助您为站点访问者提供更安全的在线体验,还可扩大保护范围,将面向公众的网页包括在内,使其不局限于 https。诺顿安全认证签章和赛门铁克 Seal-in-Search 技术可让您的客户确认您的站点是安全的,能够为其提供从搜索到浏览再到购买的全程保护。

浏览器遇到 SSL 会发生什么情况

浏览器尝试连接受 SSL 保护的网站。

浏览器要求网络服务器确认身份。

服务器向浏览器发送其 SSL Certificate 副本。

浏览器检查它是否要信任该 SSL Certificate。如果信任,则向服务器发送消息。

服务器发回以数字形式签名的确认,启动 SSL 加密的会话。

加密的数据在浏览器和服务器之间共享。

 

加密保护传输中的数据

网络服务器和网络浏览器依托安全套接字层 (SSL) 协议创建以独特方式加密的通道,以此保护通过公共互联网传输的私人通信,进而帮助用户保护传输中的数据。每个 SSL Certificate 都由密钥对以及经过验证的身份信息组成。当网络浏览器(或客户端)指向安全的网站时,服务器会与客户端共享公钥,以确立加密方法和唯一会话密钥。客户端确认它认可并信任该 SSL Certificate 的颁发机构。该过程就是大家所熟知的“SSL 握手”,然后,开启一个保护信息隐私性和消息完整性的安全会话。

128 位强大加密形成的组合,是 40 位加密组合的 288 倍。强度超过了万亿倍。按照目前的计算速度,有时间、工具和动机的黑客使用暴力攻击需要万亿年才能侵入由 SGC 证书保护的会话。要对大多数站点访问者实现强大的加密,请选择 SSL Certificate,请选择可以对 99.9% 的网站访问者实施最低128位加密的SSL证书

 

凭据确定在线身份

用于确定身份的凭据随处可见:驾照、护照、公司徽章等。而 SSL Certificates 是网上世界的凭据,颁发给特定的域和网络服务器,独一无二,并由 SSL Certificate 提供商进行验证。浏览器连接到服务器时,服务器就会向浏览器发送身份信息。

查看网站的凭据:

单击浏览器窗口中的锁定挂锁图标

单击信任标记(例如 Norton™ Secured Seal (诺顿安全认证签章))

查看扩展验证 (EV) SSL 触发的绿色地址栏

 

身份验证让凭据值得信赖

凭据的可信赖程度取决于凭据颁发机构的可信度,因为颁发机构为凭据的真实性担保。证书颁发机构使用各种身份验证方法来验证企业提供的信息。赛门铁克是浏览器供应商所熟知和信任的领先证书颁发机构,因为我们采用了严格的身份验证方法和高度可靠的基础架构。浏览器扩展了这种信任,将赛门铁克颁发的 SSL Certificates 包括在内。

 

分类
安全播报

遇到支付网址“http”开头时要当心 谨防上当

央视《新闻直播间》节目针对网络诈骗进行报道,曝光了一个网络诈骗团伙假冒购物网站进行诈骗,将受害者网银内的钱全部转走。天威诚信提醒网民,当网购支付页面的网址前缀不是“https”而是“http”时一定要注意,很可能已经被骗子盯上。

 

据央视报道,一个网络诈骗团伙,他们就是假冒购物网站,将受害者网银内的钱全部转走!提醒大家完成网购订单进入支付页面,网址前缀会变成”https”,表示已加密;若支付页面仍是”http”,一定提高警惕。

 

网站只有部署了ssl证书后,网址前缀才会变成”https”,同时还会在网站上呈现小金色锁、绿色地址栏等标识。

遇到支付网址“http”开头时要当心 谨防上当-1

 

SSL证书是一种加密传输协议,通过SSL认证之后,数据信息在网民和服务器之间的加密传输就得以保证,数据信息得以保护,同时用户也可以通过服务器证书验证自己访问的网站是否真实可靠。

 

现在网上出现了仿真度极高的假冒银行官网。假银行官网会诱骗消费者输入用户名和密码,骗子可以直接看到,随后将受骗者的银行存款席卷一空。提醒大家,网上支付一定要核对网址。认准网址前缀的”https”标识

分类
知识中心

HTTPS与SNI扩展,一个IP绑定多个SSL证书

在搭建支持HTTPS的前端代理服务器时候,通常会遇到让人头痛的证书问题。根据HTTPS的工作原理,浏览器在访问一个HTTPS站点时,先与服务器建立SSL连接,建立连接的第一步就是请求服务器的证书。而服务器在发送证书的时候,是不知道浏览器访问的是哪个域名的,所以不能根据不同域名发送不同的证书。用过GoAgent的人都知道需要给浏览器导入证书才能使用HTTPS正常登录Twitter等网站。

SNI(Server Name Indication)是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。一句话简述它的工作原理就是,在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),这样服务器根据这个域名返回一个合适的证书。目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 0.9.8已经内置这一功能,据说新版的nginx也支持SNI。

HTTPS与SNI扩展,一个IP绑定多个SSL证书-1

Github上有一个小巧的支持SNI的代理服务器,https://github.com/dlundquist/HTTPS-SNI-Proxy

我down下来,在一个VPS上编译(需要安装pcre的开发库),写了一个简单的配置文件,把所有访问443端口的HTTPS请求都进行代理。启动sni_proxy之后,修改本地的hosts文件,把twitter.com映射为服务器的IP地址,比如我的是

184.82.206.107 twitter.com

然后,在浏览器里访问 https://twitter.com/。

HTTPS与SNI扩展,一个IP绑定多个SSL证书-2

看到木有,这是活生生的twitter的证书。

HTTPS与SNI扩展,一个IP绑定多个SSL证书-3