分类
知识中心

数字签名证书如何工作?工作原理是什么?

数字证书颁发机构使用公钥基础结构以及可靠的身份验证实践来对应用程序、软件和驱动程序的代码进行签名。流程如下:

  • 开发人员使用私钥向代码添加具有数字签名证书的强数字签名
  • 用户始终具有公钥来解码数字签名过程中应用的签名。用户的软件或应用程序使用密钥对签名进行解码。
  • 然后,软件搜索具有已验证身份的根证书,以验证应用的签名。
  • 然后,软件系统应用下载应用程序期间使用的哈希值和用于对代码进行签名的另一个哈希值。
  • 如果根和哈希经过验证和匹配,则下载将继续。
  • 如果根和哈希不匹配,下载将中断并显示警告。
分类
知识中心

标准数字签名证书和EV数字签名证书有什么区别?如何选择

数字签名证书– 可以在 标准数字签名证书中对代码进行签名,该证书将展示您的组织作为发布者。

它确实在安装时显示一个智能屏幕弹出窗口,要求您确认是否要进一步继续,但不会发出警告。软件声誉将随着文件/软件下载量的增加而有机地建立。

EV 数字签名证书– 它不显示任何弹出窗口。EV 数字签名证书通过 Microsoft SmartScreen 信誉扫描程序提供即时确认。因此,可以保证用户不会看到未知的发布者警告消息”无法验证发布者。是否确实要运行此软件?”如果使用 EV 数字签名证书对软件进行了签名。它包括由 CA 发送给您的 USB 令牌。因此,您将需要证书和USB令牌来绑定代码。

分类
代码签名

Symantec EV代码签名证书

Symantec EV 代码签名证书

(SYMANTEC EXTENDED VALIDATION CODE SIGNING)

——通常恶意代码会伪装成合法软件,很容易得被分发到未设防的用户电脑,和病毒一起形成对用户信息资源的欺诈和攻击。为了阻止这种趋势,Symantec发布了代码签名证书允许用户认证原文件,并验证代码内容的完整性,可以放心得从Internet上下载使用。

  Symantec EV代码签名证书产品特点
√促进软件的下载使用与分发,防止用户下载有害文件
√签发之日起,30天内免费替换
√EV型只支持SHA2算法
√1-3年有效期
√微软WHQL徽标认证计划唯一合作伙伴
√支持 Windows10 内核驱动签名
√最为严格的鉴证流程,保证申请过程的可靠性
√证书即将过期前通知功能
√减少错误消息和安全警告,构建品牌的信任关系
√保护发行商身份安全
√最丰富的品种和全球最广泛的平台支持
√帮助获得系统API访问授权
√30天无条件退款保证

Symantec EV代码签名和普通代码签名的区别
代码签名证书使用特殊的密码哈希对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而 避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。
用户在下载已经签名的代码时,计算机会自动验证该代码的可信性,并提示用户可以放心下载和使用。减少或完全消除安全提示,减少客户端软件运行报错,有效提升客户端使用体验,增加软件发行、下载量。
通过对代码进行数字签名来标识发行商的身份,可保证发行商身份和代码在签名之后不被非法篡改。篡改代码或捆绑木马、恶意程序,修改发行商身份信息等任何对已发行代码进行编辑的操作都将导致软件签名信息失效,失去相应安全应用授权。

Symantec EV代码签名证书-1

Symantec代码签名证书种类

微软代码签名证书 (Code Signing Certificates for Microsoft Authenticode):
对 32 位 或 64 位用户模式(.exe、.cab、.dll、.ocx、.msi、.xpi .sys  .cat和 .xap 文件)和内核模式软件进行数字签名
Symantec EV代码签名证书-2
Java 代码签名证书 (Code Signing Certificates for Java):
对于桌面 Java 应用程序,可以对 .jar 文件和 Netscape Object Signing 进行数字签名。 为 Java Runtime Environment (JRE) 所识别。
数字签名 Sun J2SE/J2EE 的 Java Applet 文件,支持Java1.4.2及以上版本的所有Java运行环境。数字签名 J2ME MIDlet Suite 文件,支持业界最多型号和最多品牌的手机。
Symantec EV代码签名证书-2

 

选购增强型(EV)代码签名证书具有以下优点:
增强型(EV)代码签名证书在标准代码签名证书已有的优点基础上,可以提供更强有力的保障,保证发布者的身份无误且已通过认证。
♦ 严格的审核过程能够核实更多关于发布者的信息,使假冒合法开发商和获取伪造证书的难度增大。
♦ 证书储存在USB身份锁上可以降低被盗用的风险。
♦ 获得微软SmartScreen过滤器的即时信誉可以去除终端用户收到的提示应用软件可能为恶意软件的警告信息。
♦ 可以签名windows 10的驱动程序,微软从2015年10月31号开始LAS,UEFI签名提交需要EV证书
Symantec EV代码签名证书-3

提升客户信赖度和下载率
使用代码签名证书对应用软件和代码进行数字签名是使终端客户相信你的代码并无恶意、可以安全下载的最好办法。然而,恶意软件的发布者们越来越狡猾,他们发现了很多以盗用代码签名证书来绕过浏览器和操作系统的应用软件安装程序和下载检测的办法。
增强型(EV)代码签名解决了恶意软件发布者们为扩散恶意代码最常利用的两个缺陷-薄弱 的身份验证过程和糟糕的私人密钥保护。
♦ 严格的审核过程 – 增强型(EV)代码签名证书的申请者们需要经过比普通代码签名证书更为严格的申请程序。除了需要核实发布者的机构名称,其他企业信息如实际地址和管辖权等也要被审核。这种全面的审核过程增加了恶意软件开发商打着合法开发公司的幌子伪造和获取代码签名证书给恶意软件签名的难度。
♦ 储存在USB身份锁上的证书 – 不同于存放在开发者本机上的普通代码签名证书,增强型(EV)代码签名证书被储存在加密锁上。这样可以增加恶意软件商复制或盗用私人签名密钥并用实际证书持有者的身份发布恶意软件的难度。

获得微软SmartScreen过滤器的即时信誉
如果应用软件不为大众所知而且可能是恶意软件,微软SmartScreen过滤器会使用应用软件的信誉信息来警告终端用户。从Internet Explorer 9.0和Windows 8开始,应用软件使用EV代码签名证书将可以获得即时信誉,这样用户下载时就不会弹出警告信息,告别重新申请证书还需要重新累计信用度的操作。

Symantec EV代码签名证书-5
Symantec EV代码签名证书-6

建立与微软SmartScreen过滤器之间的即时信誉
使用增强型(EV)代码签名证书对你的应用软件进行数字签名可以在微软建立应用软件的即时信誉。这意味着终端用户点击下载你的应用软件时,微软SmartScreen过滤器不会弹出该应用软件可能为电脑带来风险的警告提示。

分类
知识中心

应对sha1算法变更,天威诚信发布最佳方案

“程序数字签名无法通过验证,不是被告警、就是被拦截。”连日来,很多一线的软件开发人员叫苦不迭。据微软公告显示,出现上述情况的主要原因是,微软自2016年1月1日起更新代码签名证书验签策略(Windows Enforcement of Authenticode Code Signing andTimestamping),取消对SHA1算法证书在软件数字签名验签中的支持,并从2017年1月1日起在Windows 10中取消对sha1算法时间戳摘要的支持。

 

发现这一问题后,赛门铁克证书亚太区战略合作伙伴“天威诚信”及时组织技术人员进行系统研究,第一时间对问题的存在形势进行分析,研究解决方案。经过多方测试后,近日,他们将最佳解决方案进行了公布。

 

“根据微软公告,sha1算法的应用环境和应用方式被设定时限”

天威诚信分析指出,任何在2016年1月1日之前使用SHA1算法证书签名的文件(签名需含时间戳),在Windows 7及以上版本操作系统中的验签可正常支持到2020年1月1日。另外,2016年1月1日之后,使用SHA1算法证书签名的应用模式文件,在Windows 7及以上版本操作系统中不被支持。同时2017年1月1日之后,使用sha1时间戳摘要的签名(/td sha1),在Windows 10操作系统应用模式文件中不被支持。因RFC3161新版sha256时间戳在Windows 7 以下版本系统中不受支持,2017年1月1日前的单签名文件,仍推荐使用旧版时间戳及sha1算法时间戳摘要(/t)。需要注意的是,仅持有sha1算法的代码签名证书用户,需要将证书升级到SHA256算法。升级后原sha1算法证书仍然有效。可根据应用情况,灵活使用sha1证书单签名、sha256证书单签名或双签名方式,确保文件数字签名的的兼容性不受影响。

 

应对sha1算法变更应根据文件格式和应用模式使用签名证书及签名参数

针对相关用户普遍在此次微软变更shal算法时间中遭遇的问题,天威诚信认为不同格式或应用模式的文件,应该使用不同的签名证书及签名参数。

SHA1证书

/fd sha1   /t

SHA256证书

/fd sha1   /t

SHA1证书

/fd sha1   /t

SHA256证书
/fd sha256  /tr /td sha256
.cat文件 不推荐 ×
内核驱动文件 可用 不推荐
Vista内核驱动文件

/ph

× 可用
.msi文件 × ×
ActiveX文件 × ×
其他PE格式文件 × 可用

另外,天威诚信分析指出,Signtool中影响签名兼容性的部分签名参数包括:/fd 即 File Digest(文件摘要算法),可选值:sha1、sha256、sha284、sha512,默认值sha1;/t即旧版时间戳地址;/tr新版RFC3161时间戳地址;/td新版RFC3161时间戳签名摘要算法,可选值:sha1、sha256 ,默认值sha1。如需使用sha256算法时间戳签名摘要,/td 参数必须在 /tr之后指定;/ph指定SignTool 应打印和验证页面哈希值。Vista内核驱动文件签名必须。

针对“内核驱动文件”天威诚信明确:.cat文件不支持双签名,只能选择单签名。微软目前对驱动文件并没有限定必须使用sha256算法的证书,为适配最优的兼容性,推荐使用sha1单签名;.sys、.dll等文件:内核驱动文件中的PE格式文件,微软虽未限定必须使用sha256算法证书做签名,为适配最优的应用场景,建议应尽量使用双签名。同时,他们认为.msi文件不支持双签名,为适配最优的应用场景,建议应尽量使sha256单签名。

针对“ActiveX控件程序”,天威诚信强调:.cab文件不支持双签名,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名;.cab文件中内含的pe格式控件文件,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名;.ocx格式直接发布的控件文件,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名。

针对“其他Pe格式可执行文件”,天威诚信认为:应用模式PE格式可执行文件,应尽量使用双签名以适配不同版本操作系统。

 

天威诚信代码签名证书助手和微软signtool.exe双签名可解sha1算法问题

为能更为有效的解决此次事件带了相关问题,天威诚信推荐使用“天威诚信代码签名证书助手(下载:https://www.ert7.com/download/iTrusSignTool.exe)”。其优势在于:首先,天威诚信代码签名证书助手支持创建证书请求和安装,支持管理多张证书。其次,当选择使用单签名规则时,代码签名证书助手将默认使用兼容性更好的 /fd sha1 及 /t 参数为您做程序签名。另外,如果同时拥有sha1和sha256算法的证书,还可以创建新的签名规则从而方便快捷的支持双签名操作。双签名中将默认使用 sha1算法证书的 /fd sha1 + /t 和 sha256算法证书的 /fd sha256 + /tr + /td sha256,既保障兼容性,同时确保签名的安全性和易用性。另外天威诚信指出,使用微软signtool工具做命令行下的签名,也可以参考signtool相关签名要求。

同时,天威诚信推荐使用微软signtool.exe双签名。据介绍,为解决SHA1算法证书被逐步淘汰禁用,同时SHA256算法证书在部分版本系统和环境中不被支持的问题,软件开发者可使用双签名解决方案一达到更好的兼容不同平台的目标。可为同一程序同时添加 SHA1 及 SHA256签名,允许不同操作系统自动适配程序签名信息。另外,天威诚信明确,要使用双签名,须升级signtool.exe到 6.3.9600或以上版本(Windows SDK V8.1及以上版本中包提取),签名用机操作系统需 Windows8 及以上版本。Windows 7 及Server 2008 系统用户,可按照微软文档中介绍的signtool依赖文件,从sdk中提取可执行的签名工具包。同时也可以选择从天威诚信下载提取好的signtool依赖文件:http://www.ert7.com/download/soft/signtool.zip

另外,天威诚信介绍双签名操作方式为:SHA1签名:signtool.exe sign /f sha1.pfx  /p <sha1cert password> /t http://timestamp.verisign.com/scripts/timstamp.dll <file to be signed>可附加 /ac 用法,添加交叉证书做驱动模式签名;SHA256签名:signtool.exe sign /f sha256.pfx /p <sha256 cert password> /as /fd sha256 /trhttp://timestamp.geotrust.com/tsa /td sha256 <file to be signed>可附加 /ac 用法,添加交叉证书做驱动模式签名。

品牌 时间戳 网址
Symantec SHA1 http://timestamp.verisign.com/scripts/timstamp.dll
SHA256 http://timestamp.geotrust.com/tsa
GlobalSign SHA1 http://timestamp.globalsign.com/scripts/timestamp.dll
SHA256 http://timestamp.globalsign.com/?signature=sha2
Comodo SHA1 http://timestamp.comodoca.com/authenticode
SHA256 http://timestamp.comodoca.com/rfc3161

代码签名可选的时间戳服务器

天威诚信指出,完成两次签名操作之后,即可在 Windows 8 及以上版本系统中(Windows 7 及Server 2008 R2需安装KB3033929),通过右键点击已签名文件, “属性”=>“数字签名”,并看到 sha1 及 sha256两个版本的签名信息了。

sha1算法变sha256算法后存在的兼容问题需要使用专业应对策略

随着SHA1算法安全性逐年降低,各机构均制定了详细的时间表以启用新的SHA256算法。根据微软最新的策略,一些老版本Windows操作系统中,仍然存在SHA256算法的兼容性问题,而部分新版本操作系统已经开始禁用sha1算法。策略详情请参考下表:应对sha1算法变更,天威诚信发布最佳方案-1

策略详情请参考下表

应对sha1算法变更,天威诚信发布最佳方案-2

 

针对文件摘要算法和时间戳的影响天威诚信提醒:在Windows 7 及以上版本操作系统中,仅支持/t 时间戳用法及 /fd sha1文件摘要算法。而在2017年1月1日之后,Windows 10应用模式签名将仅支持 /tr 时间戳,并要求使用 /td sha256。

针对SmartScreen报告“此程序不是常见的下载内容,可能会危害您的计算机”提示,天威诚信指出,非EV代码签名证书,需要累积软件下载安装量并基于代码签名证书来获得声誉。在累积足够的声誉后,该提示将自动消除。微软未发布声誉评价系统的详细策略数据,但微软策略表明,声誉评价与软件签发时间及安装下载量成正相关。即签发时间越久,下载安装量越大,提示消除的可能性越大。

 

为帮助软件开发者摆脱SmartScreen声誉累积系统的影响,天威诚信建议结合应用场景选择下列方法,消除提示。

1、使用EV代码签名证书签名通过网络下载的可执行文件。EV代码签名证书可立即获得信誉,无需通过累积过程即可快速消除不友善的提示信息。
2、使用已获得良好声誉评价的非EV代码签名证书签名通过网络下载的可执行文件。使用新的非EV证书签名安装包中的所有可执行程序文件,然后使用已获得声誉并且不会出现拦截提示的证书签名打包后的setup文件。用户在安装setup文件后,将同时为新证书累积信誉。在获得足够安装量和信誉之后,新证书将不再出现拦截提示,可正常投入使用。
3、将可执行程序文件打包成zip、rar等格式压缩包。用户下载解压后执行安装操作。未标记为网络下载的可执行程序,将不会被SmartScreen拦截。因此,使用压缩软件压缩的可执行程序,将不会被拦截。注意在为可执行程序打压缩包之前,需确保可执行程序未被标记为通过网络下载的文件。
4、尽快发布非EV代码签名证书签名的文件,累积足够信誉。通过自然累积信誉发布应用虽然是一个非常痛苦的过程,但当上述条件均无法应用时,自然累积信誉的方式发布应用就会成为必然选择了。
分类
公司新闻

Symantec EV代码签名证书,亚太地区首秀

近日,国内知名网络安全认证服务机构天威诚信,携手赛门铁克(Symantec)推出一款新的证书产品——EV代码签名证书。据了解,EV代码签名证书此次是在亚太地区的首秀。选择天威诚信平台亮相,不仅是对过去合作成果的肯定,更是对未来二者合作的信心满满。

 

EV证书,看着显瘦脱衣有肉
在互联网时代,迭代是一个并不陌生的词汇。每一个互联网从业者,每天都在为如何迭代撕逼不休。不过产品更新快未必是好事,步子大了容易扯着裆,想安安稳稳赚着小钱钱,得让人们买你账才行。

 

买你账,你就得保证用户的安全。铁路早就提速了,安全认证当然不能慢。这次,天威诚信又让赛门铁克完成了一次亚太地区的首秀。这个对亚太地区来说的EV代码签名证书小鲜肉,虽然显瘦,但脱衣绝对有肉。

 

都有哪些肉?

 

能控制速度的肱二头肌:使用 EV代码签名证书可以使你的程序在浏览器、操作系统、安全软件中快速建立信誉。快就一个字,我只说一次。

 

有型有款的腹肌:赛门铁克已与微软合作,使用 EV代码签名的程序在微软的SmartScreen服务中直接可信。就是这么霸道、任性、长脾气。

 

让人感觉可靠的胸肌:可以避免用户在下载使用程序过程中看到系统的警告消息,可减少应用程序的错误信息并提高您的可信度。软件厂商和个体开发商可对他们通过互联网分销的软件进行数字签名并盖上时间戳,该数字签名确保了最终用户知道该软件是合法的,来自知名的软件厂商并且该程序代码字自发行以来就没有被篡改过。就是这么踏实可靠,让人心里暖暖哒。

 

支持支持支持,重要功能说三遍
作为一个优秀的网络安全认证证书,必然受到相关大佬的认可。祖师爷级的微软,和赛门铁克EV签名证书之间的关系可是杠杠滴,支持不是事儿,合作真给劲儿。

 

赛门铁克EV 代码签名支持 Windows10内核驱动签名、UEFI、LAS 签名、支持32位和64位 .exe, .dll, .cab, .ocx(ActiveX),.msi,.xpi等文件数字签名、支持微软Office和VBA宏签名、支持Windows 64位驱动签名和核心模式数字签名、支持Silverlight 4应用程序数字签名证书。简单来讲,微软系的一家亲。

 

商业社会沧海横流,而像技术驱动型的微软能够如此认可赛门铁克,大开方便之门,这恐怕也是两家技术驱动公司的惺惺相惜。而天威诚信能够与赛门铁克合作之久、合作之深、合作之小鲜肉产品先紧着你,不得不说天威诚信有股业界老炮儿的风采。

 

还是那句话,信息社会反而更强调隐私。这年头儿,稍有不慎自己就感觉裸奔了,用户自然会对防护服靠谱的地方更为青睐。一场鲜肉首秀,要的是漂亮得像实力派的市场反馈。对于此,我们拭目以待。

 

最后说一句,Symantec EV代码签名证书有效期内免费提供证书补发服务。

 

分类
未分类

代码签名数字证书订户协议

在申请、接受或使用VERISIGN代码签名数字证书(以下称”证书”)之前,您必须先详阅本”代码签名数字证书订户协议”(以下称”订户协议”)。若您不同意本订户协议之条款,请勿申请、接受或使用该证书。
1.定义。
“认证机构”指在VTN体系下被授权签发、管理、吊销、更新证书的一个实体。
“损害”指丢失、失窃、泄露、修改、未授权使用、或其他损害私钥安全性的的行为。
“派生性工作”定义见第15条。
“信赖方”指某个信赖一个证书和/或数字签名证书的个人或组织。
“信赖方协议”指的是由认证机构使用的一个协议,规定个人或组织作为信赖方的条件和条款
“服务器”指的是一个传统的的网站、邮件或者应用服务器。
“安全套接层协议”指的是由Netscape通信公司开发的用来保护网络通信的一种工业标准方法。SSL安全协议为一个TCP/IP连接提供数据加密、服务器认证、信息完整、和可选择的客户端认证。
“订户”指一个组织,其拥有的设备或服务器是一个已被签发证书的证书主题。订户能够使用、或被授权使用与证书中列明的公钥相对应的私钥。
VeriSign CPS” 指的是VeriSign认证业务声明,该文件会不时修改。
“VeriSign知识产权”定义见第15条。
“VTN”指的是VeriSign可信网络认证体系,即一个为有线和无线应用提供证书的全球性的公开密钥基础设施。

2.对证书的描述。本条规定了关于您申请证书的条件和条款,以及如VeriSign接受您的申请,您作为由VeriSign签发的证书的 “订户”,使用该证书须遵循的条件和条款。证书是一经数字签名的信息,该信息包含了订户的公钥并将该公钥与VeriSign或VeriSign授权的实体鉴证了信息相关联。根据本协议提供的证书是由VeriSign签发的属于VeriSign可信网络认证体系(VeriSign Trust NetworkSM ,”VTN”)。
您代表您机构申请的证书是VTN体系下的组织机构3类证书。组织机构三类证书签发给服务器,用于设备的身份鉴别,保障消息、软件和内容的完整性并提供相应的数字签名,以及实现保密加密。机构三类证书提供的订户身份的信用担保是建立在确定如下事实的基础上:确信该机构确实存在,该机构已授权该证书申请,并且代表该机构前来提交证书申请的人已获得该机构的授权。该类证书还能提供这样的担保:如果域名被列明在证书申请中,则该证书订户有权使用该域名。欲获得关于VeriSign关于证书服务的更详细信息,请参阅VeriSign的CPS。

3.您的证书申请的处理。在VeriSign收到必要的费用和完成您购买的证书所需要的鉴证流程后,VeriSign将开始处理您的证书申请。VeriSign会通知您,您的证书申请是否被批准或被拒绝。如果您的申请被批准,VeriSign会给您签发一个依本订户协议使用的证书。您使用VeriSign提供的个人身份识别码获取该证书或通过其他方式安装或使用该证书,都将被认为是您接受了该证书。在您得到或通过其他方式安装了该证书后,您必须在使用前审阅证书中的信息,并且立即对存在的任何错误通知VeriSign。在收到这样的通知后,VeriSign会吊销该证书并另外签发一张正确的证书。

4.使用限制。您的证书禁止在下列情况下使用:(1) 为了或代表其他机构而使用;(2)在同一时间在一个以上的物理服务器上使用; (3) 分发任 何种类的恶意的或有害的内容,或分发会对收件者造成不便影响的内容;(4)为其原有目的以外目的的使用;(5)将与证书中列明的公钥相对 应的私钥的控制或接触权限转让给别人,而不是在证书申请时写明的技术联系人;(6)在事故易发环境中的控制设备,或用于事故防范设备中, 比如在原子核设施、航空导航或通信系统,空中交通控制系统、或武器控制系统,在这些系统中出现失败会直接导致死亡、人员伤害或严重的环 境破坏。证书只能在有效期内使用。

5.吊销。如果您发现或有理由相信您的私钥或保护该私钥的启用数据遭到损害,或着证书中的信息不正确或变更,或者如果您的机构名称和/域名 已变更,您必须立即通知VeriSign要求吊销该证书。您也可以在任何时候根据需要通知VeriSign吊销证书。无论在何种情形,您必须通知您认为 有可能会信任该证书,或依靠该证书或该证书相对应的数字签名来提供服务的人。如果您在收到VeriSign的付款通知45日内没有支付款项, VeriSign保留吊销您的证书的权利。为保证VTN的安全和完整,VeriSign还保留在任何时候在不通知您的情况下吊销您证书的权利,如果 VeriSign根据自己的判断断定您违反本订户协中的义务或有其他会损害到VTN活动。

6.吊销或到期的责任。当您的数字证书期满或该证书吊销时,您应立即把该证书从所安装的机器中永久删除,且往后在任何情况下不得使用。

7.鉴证要求。仅在VeriSign或其代理已经通过电话和申请时提供的公司联系人联系上后,VeriSign才签发一张证书。如果VeriSign未能联系上该 公司联系人,该公司联系人有责任按照VeriSign提供的拨回号码与VeriSign联系。您没有尽快地拨回电话,有可能会延迟对您证书申请的鉴证和 批准。

8.二日服务保证。本条只对您已购买了代码签名证书项目适用。在您满足如下条件时,VeriSign将于自您向VeriSign提交证书申请二个工作日内(除 了休息日和VeriSign公认的假日)向您签发证书:(1)您是一个位于美国的组织;(2)选择用信用卡付费并提交了有效的信用卡号码;(3)提 交一个DUNS号码,VeriSign因而能够通过在其CPS中描述的正常鉴证程序进行鉴证(”保证期限”)。因为VeriSign的失误导致没有在保证期限内 向您签发证书,您所得到的唯一的补偿是向您退回您购买该证书时所支付的零售价格的50%。本服务保证不对VeriSign的其他产品或服务适用。

9.第三方服务提供。如果您购买的VeriSign的服务,而该服务又包括由一个或多个由第三方提供的服务(比如网站监测或安全检查服务),或列 于一个目录中,您在此同意我们可以将您证书申请和注册信息透露给该第三方服务提供商,并同意他们可就这些服务直接和您联系。除非有另外 规定,该第三方直接就这些服务产品向您提供服务条件和条款。对第三方提供的任何服务,VeriSign拒绝承担任何保证和责任,并且不会对该第 三方提供的服务提供部分退款。

10.NETSURE 提示。根据本订户协议和其他协议签发的具有NETSURE赔偿保障的证书类型以及它们在NETSURE保障计划。该计划向您提供特定的有限的保证,否认其他的保证,包括可销售性、适合某一特定目的性 的保证,该计划也只提供有限赔偿。证书有效时限的长短(该保障计划有定义)与你在进行证书申请注册时,产品描述中列出的赔偿金额的数量 是相对应的。
11.鉴证码补充条款。本条只对您已购买了微软鉴证码签名证书适用。对于用你的微软鉴证码签名证书中公钥相对应的私钥签名的软件,,您在此 对所有用户和适用的认证机关作如下有关软件方面的软件发行者保证:除了在证书申请或本订户协议中包括或提及到的其他陈述、义务和保证外 ,订户陈述和保证其将采取与当前主流工业标准相一致的合理措施,排除会损害、盗用或干扰第三方的数据、软件系统或操作的程序、外来代码 和病毒。认证机关和VeriSign不对任何情形下订户因违反此种陈述和保证承担任何责任。适用认证机关和VeriSign就下列问题存在与否的决定是 最终的:(1)订户是否实质违反本订户协议;(2)由认证机关和VeriSign采取(或不采取)回应行动是否必要和正确。

12.微软SMARTPHONE补充协议。本条只对您已购买了VeriSign的用于SMARTPHONE服务的鉴证内容签名(ACS)服务适用。ACS发行者数字证书(或 发行商证书)是由VeriSign签发给组织的证书,该组织(发行商)希望为SMARTPHONE应用进行代码数字签名。ACS内容签名数字证书(或内容数字 证书)是由VeriSign签发的证书,目的是为了VeriSign对已被发行商数字签名的代码再签名一次。除了在证书申请或本订户协议中包括或提及到 的其他陈述、义务和保证外,订户陈述和保证:(1)您对签发有您的证书的智能卡的保护负完全责任,如果适用,包括任何损失或未获授权地使 用或接触到它,并且您已采取措施和程序确保这种保护;(2)如果适用,对于签发有您的证书的智能卡在任何情形遭受损失或未获授权地使用或 接触,您应立即通知VeriSign;(3)您应确保只有已被告知并同意遵照本订户协议条款的可信赖的个人,才能被授权使用您的ACS发行者证书用 以代码签名;(4)如果适用,您应保留所有授权使用或接触到您的智能卡的个人的可靠的书面或电子记录,以及所有使用ACS发行商证书使用的 记录,包括接触或使用的日期及次数,以及被授权和/或使用该证书的个人,以及被数字签名的应用;(5)您采取与当前主流的工业标准相一致 的合理措施,排除会损害、盗用或干扰第三方的数据、软件系统或Windows系统驱动的Smartphone服务操作的程序、外来代码和病毒;(6)当请 求一张ACS内容数字证书(或内容证书),您应以可执行代码形式向VeriSign提供完全代码或该代码的特定形式,并用您的ACS发行商证书对该代 码进行了数字签名。在ACS发行商证书到期前30日或这之后,只要原有证书没有被吊销,发行商可能要求从VeriSign处更新该证书。这样一个要求 能通过由您的ACS发行商证书产生的一个数字签名信息来产生,VeriSign将确认该证书中包含信息的正确性。更新证书可以无需重新键入信息而签 发。

13.陈述和保证。 9.1VeriSign的陈述和保证。VeriSign向您陈述和保证:(1)不会由于VeriSign在创建证书时未能足够小心而导致在您证书信息中存在错误;( 2)您的证书在所有实质方面符合VeriSign的CPS;(3)VeriSign的证书吊销服务和证书储存库的使用,在所有实质方面符合VeriSign的CPS。 9.2您的陈述和保证。您向VeriSign和任何信赖您证书的人陈述和保证:(1)您在证书申请中提供给Verisign的和所有您向VeriSign陈述的所有 信息都是准确的;(2)您提供的任何证书信息(包括您的邮件地址)没有侵犯任何第三方的知识产权;(3)您提供的证书申请信息(包括您的 邮件地址)未曾也将不会用做非法用途;(4)自从您的私钥产生以后,您是并将继续是您的私钥唯一拥有人,任何未获授权的人迄今没有也将不 会接触您的私钥;(5)到目前为止您是,并将继续是个人身份识别码、软件或硬件等保护您私钥的机制唯一拥有者;(6)您只会将您的证书用 于与本订户协议相符的、被授权的或合法的用途和目的;(7)您是作为最终用户来使用您的证书,而非作为一个签发证书、签发证书吊销列表等 的认证机构在使用该证书;(8)通过使用您的私钥创建的数字签名是您的数字签名,并且在该数字签名创建时该证书是已被接受并可使用(未到 期或吊销);(9)您明确同意将本订户协议作为获得证书的条件;及(10)除非预先获得VeriSign的的书面许可,您不会监视、干扰、或拆解 VTN的技术实现,并不会采用其他方式危害VTN的安全。您知悉并同意您能够获得足够的信息以作出深思后的决定,确信您在多大程度上信赖一个 VTN体系下数字证书中的信息。您有责任自主决定是否信赖一张数字证书,您对是否信赖该证书里的信息承担完全的责任;以及如果您没有履行信 赖方协议规定的信赖方义务,您将承担该法律后果。

14.费用、支付和服务期限。就您购买的证书和相应的服务,您同意付给VeriSign服务费,该费用或则是在您选择购买证书时我们网页上提示的数 额,或者(如果出现这种情况)是您收到的VeriSign付款发票上提示的数额。除了本订户协议下面明确规定情况外,所有的费用必须立即支付并且 是不可退还的。您的服务更新取决于VeriSign适时的条件和条款,包括但不限于完成任何相用的鉴证程序,和更新时所有适用的服务费。 VeriSign将在更新前至少提前30日发出更新通知。您对提供给VeriSign的信用卡信息负完全负责,如有变化应立即通知VeriSign(如:到期日或 帐户号码)。另外,您对确保服务得以更新负唯一责任。VeriSign不对您或任何第三方就此描述的更新事项承担任何责任,包括但不限于在更新 服务时存在错误或失败。您同意支付和VeriSign服务及您自己付款相关的所有增值税、销售税和其他税(其他非基于VeriSign收入的税)。所有 付费均以美圆为准。如有安装设置费,在VeriSign服务生效日为应支付的。当需要购买具有复制选项的额外服务器证书时,您有责任通知 VeriSign。所有到期应支付而经过一定延滞仍未支付的款项,将按每月1.5%的利率,或法律许可的最大数额,以两者相比数额较小者,累计支付 利息。

15.所有权。除非另有规定,以下所有权利、名称和权益,都属于VeriSign及其服务分销商(1)已注册和未注册的商标、服务标志和图标;(2) 专利、专利申请和专利性想法、发明和/或其改进;(3)贸易秘密、专属信息和专门技能;(4)对所有现有的或以后登记的、发行的或获得的权 利、名称和权益的分割、延续、再发行、更新和扩展;(5)已注册登记和未注册登记的版权,包括但不限于任何表格、图象、音象播放、文本、 软件;和(6)其他所有知识产权、专属权或其他可感触财产相关的权利,而这些可感触财产相关的权利的使用、开发、组成、体现和实行是与本 协议中所指的VeriSign服务相关的;这些都是VeriSign知识产权。您同意您不会对VeriSign的任何这些知识产权企图获取利益或所有权;您同意 VeriSign知识产权的名称没有转让给您;除非本协议明确赋予您的,您没有明确或隐含地得到VeriSign或其服务分销商服务中的任何其他权利。 对于提供给您的一个或多个已有版本的产品/作品,您有可能对该产品/作品进行改进、修改、翻译、删节、缩减、扩大、收集、编辑及其它形式 的改动、改变和改编,这种工作称为您的派生性工作,这种派生工作属于VeriSign及其服务分销商,并且这些派生工作的权利、名称和权益将自 动属于VeriSign或其服务分销商。VeriSign没有义务对您的派生工作赋予您任何权利。您不能反向拆卸、分解、反汇编VeriSign的知识产权,或 企图得到VeriSign知识产权的源代码。您有权在本订户协议的条款和条件下使用证书。

16.协议修改。除非本订户协议另外规定,您同意,在本订户协议有效期内,VeriSign可以:(1)修改本订户协议的条款和条件;(2)在任何时 间改变在本订户协议项下提供的服务的某些部分;任何这种修改和改变都将在将修改后的订户协议或改变的服务发布到VeriSign的网站上、或经 邮件、或经信件通知您后的30日生效和有约束力。您同意定期查阅VeriSign的网站,包括在VeriSign网站上可获得的本订户协议的当时文本,以 了解上述这些修改和变动。 如果您不同意对本订户协议的任何修改,您可在任何时间通知VeriSign终止本订户协议。一但VeriSign收您的终止协 议的通知,协议终止就生效,同时VeriSign将处理您的请求。如果您终止了本订户协议,任何您支付了的费用将不予退还。如在本订户协议有任 何修改或服务有任何改变后,您继续使用VeriSign的服务,意味着你同意遵守并受该修改或改变的约束。VeriSign将不受约束于如下陈述,同时 您也不能依赖于这些陈述(1)任何您申请VeriSign服务时所通过的第三方代理人、代表或雇员;(2)张贴于VeriSign网站上的普通信息。 VeriSign的任何雇员、承包商、代理人或代表都没被授权修改本订户协议的条款或条件。

17.隐私。您同意VeriSign可以将你提供的、打算放在你证书中的信息放在你的证书中。你还要同意VeriSign可以将您的证书和其状态信息存放于 VeriSign的证书信息储存库中,并可使其他证书信息储存库获得这种信息。

18.退还政策。如果您对已支付了价款的证书,而您又对签发给您的证书不完全满意,不论出自什么原因,您可以请求VeriSign在签发日起30日内 吊销该证书并退款给您。过了最初的30天,只有在证明了VeriSign违背了本订户协议下的与您证书相关的保证或其他实质义务的,订户可以要求 VeriSign吊销证书并退款。在VeriSign吊销了订户的证书后,VeriSign将立即把订户为该证书所支付的全额费用退还到订户的信用卡帐户(如果 证书是用信用卡付费的话)上,或者以支票等其他方式退还给订户。订户需要填写退款申请表,并发送给VeriSign,以要求退款。

19.保证的否认。您同意您使用VeriSign的服务有可能使自己遭受风险。您同意除非本订户协议另有规定,所有这些服务皆以”依现状”的方式和在 可获得基础上提供。VeriSign明确否认所有下列担保,无论明确还是暗示,包括但不限于可销售性、适合某一特定目的性和非侵权性的担保。除 了第13条规定的担保,VeriSign不对服务满足您的需要作任何保证,或者该服务不会被中断、及时、安全或无错误;VeriSign也不会对使用服务 获得的结果或通过VeriSign服务获得的信息的准确性与可信性进行保证。您理解并同意使用VeriSign的服务下载的或通过其他方式服务获得的任 何资料和/或数据,是您自己个人的选择和可能使您自己遭受风险。您从VeriSign获得的任何口头的或书面的、或通过VeriSign的服务获得的任何 建议或信息,不会成为任何明确的保证,并且您不能信赖这样的信息或建议。司法权限允许程度下,不能准许特定的保证排除,上述这些保证或 许不能适用您。VeriSign不对您从第三方处购买的产品和/或服务承担责任。

20.赔偿。当第三方出现与下列情况相关的,或由这些情况引起的,赔偿要求、诉讼、损失、费用和花费,包括合理的律师费用,您同意对于 VeriSign及其承包商、代理人、职员、主管、董事、投资方、关联企业或委托人,您将免除它们的责任,给它们予补偿,并将为它们辩护及使它 们不受到伤害:(1)本订户协议,或者本订户协议下您的保证、表述和义务受到实质违反;(2)在您申请证书时提供了错误的事实或对事实的 错误陈述;(3)任何个人或实体的知识产权或专属权;(4)证书申请时对实质问题的未公开,如果该错误陈述或遗漏是疏忽导致或为欺骗任何 一方而故意造成的;(5)未保护好私钥,或未使用可信系统,或未在本订户协议条款下,采取必要的保护措施以防止对私钥的损坏、丢失、泄露 、修改或未获授权使用。当VeriSign遭到第三方的诉讼威胁时,VeriSign可能会向您寻求获得你赔偿VeriSign的书面承诺,如你未提供这些承诺 ,VeriSign认为您实质违反了本订户协议。对第三方因您使用VeriSign的服务引发的诉讼,VeriSign有权参入您的抗辩,咨询我们的意见的费用 由您自己支付。您对VeriSign对第三方的抗辩承担唯一责任,但您需要就与VeriSign相关任何解决方案预先获得VeriSign的同意。本条在本订户 协议终止或撤消后仍有效。作为信赖方,您进一步同意当第三方出现与下列情况相关的、或由这些情况引起的赔偿要求、诉讼、损失、费用和花 费,包括合理的律师费用,您同意对于VeriSign及其承包商、代理人、职员、主管、董事、投资方、关联企业或委托人,您将免除他们的责任, 给他们予补偿,并将为它们辩护及使他们不受到伤害:(1)您未依照信赖协议履行作为信赖方的义务;(2)您是在不合理情形下信任证书的; (3)您检查证书状态时失败,没有查出证书是否到期或吊销。

21.赔偿责任限额。 21.1 NETSURE保障计划下的限制。 VeriSign必须向您赔偿的在NETSURE保障计划下的最高额在该保障计划里规定。本款下的的赔偿限额不适用退 款政策。21.2其他限制。本款适用于对合约责任(包括对保证的违反)、侵权责任(包括疏忽和/或严格责任)下的赔偿责任的限制,和对其他合法的或公 平的请求的适用。在适用法律允许的范围内,如果您就本订户协议项下提供的服务提出或启动的任何请求、行动、诉求、仲裁、或其他程序, VeriSign对您和任何第三方因使用和信赖某一张证书所造成的损失所作的赔偿,其总额限制在100,000美元。无论与该张证书相关的数字签名、 交易或与赔偿要求的数量是多少, 本款提供的责任限额是相同的。根据NETSURE保障计划,VeriSign将不为任一张证书承担超过总体限额的赔偿责 任。本款不限制NETSURE保障计划下的退款和支付。

22.不可抗力。除了在此规定的付款和赔偿责任外,对因为地震、洪水、火灾、风暴、自然灾害、战争、军事冲突、恐怖活动、罢工、停工、联合 抵制原因导致的任何责任履行的停止、中断、延误等,任何一方不应被视为、也不应视对方负有责任,只要依赖于本条的一方(1)在发现问题的 5日内立即书面通知另一方,并且(2)在当时情形下采取所有合理必要措施以减轻该通知所指的不可抗力事件的影响;进一步地,如果在本第条 描述的不可抗力事件延续超过30日,另一方可立即终止本协议效力。

23.出口。你确认并同意您不会直接或间接地进口、出口或再出口任何商品包括您的证书给任何有关国法律法规所禁止的国家。这种限制明确包括 、但不限于美国的出口规范,尤其是您将不会下载、或以其他方式出口或再出口证书给(1)古巴、伊朗、伊拉克、黎巴嫩、苏丹、北朝鲜、叙利 亚或其他任何美国出口规范禁止使用的国家;(2)美国财政部特别指定名单中的国家或美国商务部否定定单上的个人。您同意前述要求并陈述和 保证您不是位于、受控制于这样一个国家或名单上的国家居民。关于VeriSign安全站点证书,如果您购买了该证书而您不是美国或加拿大的组织 或个人,法律要求VeriSign要向美国政府报告您公司名称和地址。在您出口证书到一个非美国或加拿大的组织或个人时,您同意将VeriSign需要 的有关信息提供给VeriSign,以便于VeriSign将这些再出口信息报告给美国政府。

24.效力分割性。您同意本订户协议的条款是可分割的。如某条款的整部分或部分被宣布无效或不可执行,将不影响本订户协议的其他条款效力; 由此,本订户协议将视为作了必要的修改,以使它可实施、有效,并在最大可能范围内与可适用的法律一致,并与各方的最初意图一致;并且其 它未修改条款将完全有效力。

25.适用法律。您和VeriSign同意:与本协议项下提供的服务有关的任何争议,在任何方面均适用美国加尼福利亚法律,不包括其冲突条款。

26.争议解决。在法律最大允许范围内,在您使用任何争议解决机制解决与本协议有关的任何争议前,您应为寻求争议解决一事通知VeriSign和任 何第三方。如果该争议在初次通知后60天内仍未获解决,则任一方可根据下列情况继续采取:(1)当争议任一方是一个加拿大或美国的居民,或者是位于加拿大或美国,或者是在其二地从事经营的组织。 所有因执行本订户协议条款或因 本订户协议引起的诉讼将被提交到加尼福尼亚北部美国联邦地区法院、或加尼福尼亚Santa Clara县的高级或市法院。各方同意这些法院对有关诉 讼有唯一的管辖权,并且各方服从于这些法院的管辖权。各方进一步服从陪审做出的、与本订户协议相关的判决。(2)当争议任一方或多方不是一个加拿大或美国的居民,也不是位于加拿大或美国或在其二地从事经营的组织。所有因本订户协议引起的争议, 将在国际商会的调解和仲裁规则下加以解决,有关仲裁人会对有关规则进行必要修改以反映本条款内容。仲裁地点将在美国纽约或旧金山,程序 以英语进行。如果只有一个仲裁人,该仲裁人要由各方共以多方协议的形式指定。如果各方在15天内没有就仲裁人的选择达成一致意见,国际商 会将选择一个了解计算机软件法律、信息安全和加密技术的仲裁人,或其他有别资格的仲裁人,如律师、学者或熟悉普通法的法官。本订户协议 任何条款不应视为任一方阻止另一方,为了保护本方的名字、私有信息、贸易秘密、行业技巧或任何其他知识产权,从其管辖法院或对争议题有 管辖权的法院寻求禁止令(或其他补偿)。 NETSURE保障计划和限制期限。您可以被最新的NETSURE保障计划所保障。在NETSURE保障计划下,VeriSign将根据NETSURE保障计划中规定的一项或多项有限保证, 对您因某些意外造成的损失进行赔偿,赔偿额不超过NETSURE保障计划中的限定。只有当你在本订户协议终止后的一年内,根据本订户协议的要求 提出支付要求,VeriSign才有责任根据本订户协议,对本订户协议中某保证的破坏(造成的损失)提供赔偿。(本条在本订户协议终止或到期后 仍保持有效)。

27.非转让。除非另有约定,本协议下您的权利是不能被转让的。您的债权人的任何希望从您在本协议下享有的权利中获得利益的企图,不论是以 附加、征用、扣押债权通知还是其他方式,从VeriSign角度,将使本订户协议是否无效。

28.通知。您对提交给VeriSign的、与本订户协议有关的所有通知、要求和请求,应以书面形式发至: Attn: General Counsel, VeriSign, Inc., 487 E. Middlefield Road, Mountain View, CA 94043.。

29.整体性。本协议,和VeriSign的CPS一起,构成您和VeriSign之间就预期的交易的完整协议,且取代当事人所有先前的或现在的、关于本事项 所述内容的、口头及书面的陈述、理解、约定。任何一方不得信赖任何未在此明确表述的担保、陈述、保证、诱导性承诺。条款标题仅为方便参 阅,并非作实质部分或影响本协议。任何购买定单中的条件和条款如未包括在本协议中、或与本协议有冲突,则该条件和条款是无效的。

分类
知识中心

如何验证SSL证书公钥的正确性

公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。比如,正准备和某台服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输途中,真正的公开密钥已经被攻击者替换掉了。

为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。

数字证书认证机构处于客户端与服务器双方都可信赖的第三方机构的立场上。威瑞信VeriSign)就是其中一家非常有名的数字证书认证机构。我们来介绍一下数字证书认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。

服务器会将这份由数字证书认证机构颁发的公钥证书发送给客户端,以进行公开密钥加密方式通信。公钥证书也可叫做数字证书或直接称为证书。

接到证书的客户端可使用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,客户端便可明确两件事:一,认证服务器的公开密钥的是真实有效的数字证书认证机构。二,服务器的公开密钥是值得信赖的。

此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。

 

可证明组织真实性的EV SSL证书

证书的一个作用是用来证明作为通信一方的服务器是否规范,另外一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书(Extended Validation SSL Certificate)。

EV SSL证书是基于国际标准的认证指导方针颁发的证书。其严格规定了对运营组织是否真实的确认方针,因此,通过认证的Web网站能够获得更高的认可度。

持有EV SSL证书的Web网站的浏览器地址栏处的背景色是绿色的,从视觉上就能一眼辨别出。而且在地址栏的左侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。

 

为了防止用户被钓鱼攻击(Phishing),但就效果上来讲,还得打一个问号。很多用户可能不了解EV SSL证书相关的知识,因此也不太会留意它。

用以确认客户端的客户端证书

HTTPS中还可以使用客户端证书。以客户端证书进行客户端认证,证明服务器正在通信的对方始终是预料之内的客户端,其作用跟服务器证书如出一辙。

但客户端证书仍存在几处问题点。其中的一个问题点是证书的获取及发布。

想获取证书时,用户得自行安装客户端证书。但由于客户端证书是要付费购买的,且每张证书对应到每位用户也就意味着需支付和用户数对等的费用。另外,要让知识层次不同的用户们自行安装证书,这件事本身也充满了各种挑战。

现状是,安全性极高的认证机构可颁发客户端证书但仅用于特殊用途的业务。比如那些可支撑客户端证书支出费用的业务。

例如,银行的网上银行就采用了客户端证书。在登录网银时不仅要求用户确认输入ID和密码,还会要求用户的客户端证书,以确认用户是否从特定的终端访问网银。

客户端证书存在的另一个问题点是,客户端证书毕竟只能用来证明客户端实际存在,而不能用来证明用户本人的真实有效性。也就是说,只要获得了安装有客户端证书的计算机的使用权限,也就意味着同时拥有了客户端证书的使用权限。

认证机构信誉第一

SSL机制中介入认证机构之所以可行,是因为建立在其信用绝对可靠这一大前提下的。然而,2011年7月,荷兰的一家名叫DigiNotar的认证机构曾遭黑客不法入侵,颁布了google.com和twitter.com等网站的伪造证书事件。这一事件从根本上撼动了SSL的可信度。

因为伪造证书上有正规认证机构的数字签名,所以浏览器会判定该证书是正当的。当伪造的证书被用做服务器伪装之时,用户根本无法察觉到。

虽然存在可将证书无效化的证书吊销列表(Certificate Revocation List,CRL)机制,以及从客户端删除根证书颁发机构(Root Certificate Authority,RCA)的对策,但是距离生效还需要一段时间,而在这段时间内,到底会有多少用户的利益蒙受损失就不得而知了。

由自认证机构颁发的证书称为自签名证书

如果使用OpenSSL这套开源程序,每个人都可以构建一套属于自己的认证机构,从而自己给自己颁发服务器证书。但该服务器证书在互联网上不可作为证书使用,似乎没什么帮助。

独立构建的认证机构叫做自认证机构,由自认证机构颁发的”无用”证书也被戏称为自签名证书

浏览器访问该服务器时,会显示”无法确认连接安全性”或”该网站的安全证书存在问题”等警告消息。

 

由自认证机构颁发的服务器证书之所以不起作用,是因为它无法消除伪装的可能性。自认证机构能够产生的作用顶多也就是自己对外宣称”我是○○”的这种程度。即使采用自签名证书,通过SSL加密之后,可能偶尔还会看见通信处在安全状态的提示,可那也是有问题的。因为就算加密通信,也不能排除正在和已经过伪装的假服务器保持通信。

值得信赖的第三方机构介入认证,才能让已植入在浏览器内的认证机构颁布的公开密钥发挥作用,并借此证明服务器的真实性。

中级认证机构的证书可能会变成自认证证书

多数浏览器内预先已植入备受信赖的认证机构的证书,但也有一小部分浏览器会植入中级认证机构的证书。

对于中级认证机构颁发的服务器证书,某些浏览器会以正规的证书来对待,可有的浏览器会当作自签名证书。

分类
代码签名

Symantec赛门铁克代码(数字)签名证书

代码签名证书又被称为数字签名证书。赛门铁克Symantec数字签名证书就是您软件代码的有效身份证!全球数十家安全防护软件开发商均支持赛门铁克Symantec代码签名证书。使用赛门铁克Symantec数字签名证书,并提交签名到各安全防护软件开发商,即可免费获得软件安全认证,获得代码免杀特权(国内的金山、360、瑞星、江民均支持赛门铁克Symantec数字签名免杀特权申请。)!无需经过繁琐的源代码安全认证,有效保护源码安全,缩短软件发行周期,提升客户体验,轻松获取第三方机构认证。
IE、Firefox、NetScape、Safari、Opera、Chrome浏览器扩展程序均支持赛门铁克Symantec数字签名。Java 运行环境(JDK1.4.2 +)支持,兼容jdk1.4.2以上所有版本j2se安全应用,J2me签名兼容全球最多移动终端。申请赛门铁克Symantec数字签名证书,您还可以使用VeriSign CodeSigning ID快速创建微软徽标认证账户。

Symantec赛门铁克代码(数字)签名证书-1

 

赛门铁克Symantec代码(数字)签名证书

赛门铁克Symantec代码签名证书(Symantec Code Signing Certificates)可让软件开发者数字签名其软件代码、宏代码、设备驱动程序、硬件固化程序、病毒更新码、配置文件等内容,防止程序代码被恶意篡改。

Symantec代码签名证书(Symantec Code Signing Certificates)

Symantec赛门铁克代码(数字)签名证书-2 产品特性:
促进具有数字签名的可下载软件的使用与分发微软数字签名证书J2ME数字签名证书Java数字签名证书微软Office宏签名证书

微软移动代码签名证书

BREW 文件签名证书

 

Symantec赛门铁克代码(数字)签名证书-1     Symantec赛门铁克代码(数字)签名证书-1

 


Symantec微软移动代码签名证书

Symantec微软移动代码签名证书用于基于微软Windows Mobile操作系统的 Smartphone、PDA、PocketPC系统的 .cab 安装文件,让基于微软 Windows Mobile 操作系统的移动设备可以安全地下载和运行。

 

Symantec微软移动代码签名证书(Code Signing Certificate for Microsoft Authenticode)

Symantec赛门铁克代码(数字)签名证书-5 产品特性:
数字签名移动应用安装包文件.cab提供安全API接口,让签名过程更加快捷高效每个签名事件均将获得唯一的数字ID基于网站平台更好的管理数字签名

 

Symantec赛门铁克代码(数字)签名证书-1     Symantec赛门铁克代码(数字)签名证书-1

 


Symantec微软徽标认证

Symantec微软徽标认证用于数字签名微软 Windows Logo 认证的各种软件、硬件驱动程序等,软件程序的发布者必须拥有一张微软代码签名证书对其对其程序代码、ActiveX控件等进行数字签名

 

Symantec微软徽标认证(Code Signing Certificate for Microsoft Authenticode)

Symantec赛门铁克代码(数字)签名证书-3 产品特性:
数字签名移动应用安装包文件.cab提供安全API接口,让签名过程更加快捷高效每个签名事件均将获得唯一的数字ID基于网站平台更好的管理数字签名

 

Symantec赛门铁克代码(数字)签名证书-1     Symantec赛门铁克代码(数字)签名证书-1

 


 

天威诚信Symantec产品服务

1.7×24小时电话及技术支持:采用专业的客服与技术人员进行分配调试,并且由专业客服一对一进行服务。

2.在线指导用户证书的安装、调试、备份

3.证书有效期内提供每年三次回访服务

 

证书购买流程

Symantec赛门铁克代码(数字)签名证书-7