标签: SSL

分类
公司新闻

DigiCert根证书和中间CA 证书更新计划

2023月3月8日,DigiCert将开始向我们的公共第二代(G2)根和中间CA(ICA)证书层次结构更新TLS/SSL证书的默认公开发行。

为什么DigiCert将开始从G2根和中间CA证书层次结构颁发公共TLS/SSL证书?

2025年,Mozilla将开始不信任旧的DigiCert根证书。在下面的Mozilla证书不信任和日期表中指定的日期,Mozilla也将停止信任您的活动最终实体证书:首先是TLS/SSL证书,然后是S/MIME证书。

DigiCert已对移动到G2根证书层次结构进行了计时,以确保您的现有证书不会受到Mozilla不信任策略的影响。从G1层次结构颁发的活动TLS/SSL证书将保持受信任,直到过期。

Mozilla不信任证书和日期
Generation Root certificate *Mozilla TLS distrust date *Mozilla S/MIME distrust date
 G1  Baltimore CyberTrust Root  2025年4月15日  N/A
 G1  DigiCert Assured ID Root CA 2026年4月15日  2029年4月15日
 G1  DigiCert Global Root CA 2026年4月15日 2029年4月15日
 G1  DigiCert High Assurance EV Root CA  April 15, 2026 2029年4月15日
 G2  DigiCert Global Root G2 2029年4月15日 2032年4月15日
 G5  DigiCert TLS RSA4096 Root G5 2036年1月15日  N/A
 *在不信任日期,Mozilla 也将停止信任您的活动最终实体证书:首先是 TLS/SSL 证书,然后是 S/MIME 证书
受影响的数字证书品牌
品牌  类型  产品
  DigiCert  OV
  • Basic OV
  • Secure Site OV
  • Secure Site Pro SSL
  • Cloud
  • Standard SSL
  • Multi-Domain SSL
  • Wildcard
  • Secure Site SSL
  • Secure Site Multi-Domain SSL
  • Secure Site Wildcard SSL
  DigiCert  EV
  • Basic EV
  • Secure Site EV
  • Secure Site Pro EV SSL
  • Extended Validation SSL
  • EV Multi-Domain SSL
  • Secure Site EV SSL
  • Secure Site EV Multi-Domain SSL
  GeoTrust  DV
  • GeoTrust DV SSL
  • GeoTrust Cloud DV
  • GeoTrust Standard DV
  • GeoTrust Wildcard DV
 GeoTrust  OV
  • GeoTrust TrueBusiness ID OV
  GeoTrust  EV
  • GeoTrust TrueBusiness ID EV
  RapidSSL  DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  Thawte  DV
  Thawte  OV
  • Thawte SSL Webserver OV
  Thawte  EV
  • Thawte SSL Webserver EV
 Encryption Everywhere  DV
  • Encryption Everywhere DV
2023年3月8日,ICA根替换
Certificate brand G1 ICA证书-当前 G1根证书-当前 G2 ICA证书-新 G2 根A证书-新
 DigiCert DigiCert TLS RSA SHA256 2020 CA1 DigiCert Global Root CA DigiCert Global G2 TLS RSA SHA256 2020 CA1 DigiCert Global Root G2
  DigiCert DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA DigiCert EV RSA CA G2 DigiCert Global Root G2
  Thawte Thawte RSA CA 2018 DigiCert Global Root CA Thawte TLS RSA CA G1 DigiCert Global Root G2
  Thawte Thawte EV RSA CA 2018 DigiCert High Assurance EV Root CA Thawte EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust RSA CA 2018 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  GeoTrust GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA GeoTrust EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  RapidSSL RapidSSL Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA RapidSSL TLS RSA CA G1 DigiCert Global Root G2
 Encryption Everywhere Encryption Everywhere DV TLS CA – G1 DigiCert Global Root CA Encryption Everywhere DV TLS CA – G2 DigiCert Global Root G2
根证书和 ICA 证书的用途是什么?
根证书

根证书是公共证书信任的锚点。证书颁发机构 (CA) 与操作系统、浏览器和其他应用程序合作,将其根证书包含在信任存储区中,以确保您的公共证书受信任。

CA 使用公共根证书颁发中间 CA 证书。它们不使用根证书来颁发公共 TLS 证书。

ICA证书

CA 使用 ICA 证书颁发 TLS 和其他数字证书。ICA 证书还会将您的 TLS 证书链接到信任存储中的根证书,使浏览器和其他应用程序能够信任它。

切换根证书和 ICA 证书对我有何影响?

1、Digicert 及旗下所有品牌SSL证书自升级日期起将现有SHA1根证书签发体系升级到SHA2根证书签发体系,届时Digicert将使用新的根和中级CA签发证书;

2、升级日期之前已经生效的证书不受影响,可正常进行替换或加域名操作,在升级日期起进行替换或加域名操作,新证书的证书链会升级到新的根证书签发体系。

天威诚信提示您:

1、升级日期起签发的证书,请使用全新的中级证书进行安装部署,否则会因为中级证书链配置不完整而影响证书的兼容性;

2、如果您的客户端预埋了旧的证书链,使用升级日期起签发的证书后会导致业务中断的风险,请提前做好相关准备工作,若有问题欢迎随时联系我们。

分类
知识中心

数字时代,SSL证书如何保证信息和数据的安全?

数字技术不仅是一种生产力工具,而且极大地改变着人们的工作和生活方式。然而,在各领域数字化进程不断深入的同时,网络诈骗、信息泄露、钓鱼攻击等违法犯罪活动仍然严重影响着互联网经济的正常发展。企业网站,尤其是涉及用户敏感信息和金融交易的网站,时常面临数据泄露和网络威胁。潜在的攻击风险。

用户信息和数据安全关系到企业未来的发展。同时,维护网站信息安全也是企业获得客户信任进而达成交易合作的必要条件之一。 《中华人民共和国网络安全法》第二十一条规定,企业需要制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。

保护网站信息和数据的方法有很多,其中为网站安装SSL证书仍然是目前世界上最有效的网络数据安全保护措施之一。

SSL 代表安全套接字协议层。它位于HTTP协议层和TCP协议层之间。它用于在用户和服务器之间建立加密通信。除向指定服务器发送信息外,任何其他第三方均无法读取该信息,从而保证了传输信息的安全性。

部署SSL证书后,网站地址栏会显示HTTPS开头和一个绿色的锁符号。用户可以通过查看证书信息来确认网站的真实性,避免个人信息被钓鱼网站窃取甚至诈骗。在安全和用户体验方面,HTTPS站点更安全优质,更有利于用户识别。

值得一提的是,网站采用安全高速的HTTPS协议,可以提高网页的加载速度,使文本、图片、多媒体等加载速度更快,实现低延迟和高吞吐量,优化用户体验,并且能够提高网站的SEO排名,也有利于提高企业的获客率和销售业绩,这对于处于数字化转型过程中的企业尤为重要。

在数字时代,社交沟通、工作办公、休闲购物、娱乐游戏、投资理财、医疗保健等领域都需要深度连接互联网,通过互联网进行交易和数据分析。这已经成为一种习惯。 SSL证书通过加密算法和严格的认证机制帮助企业网站保护用户隐私和敏感数据,构筑网络安全防线,为企业数字化转型和安全合规发展保驾护航。

天威诚信是国内具有公信力的网络安全认证服务商。凭借服务全行业95%以上大客户的经验,长期为国内企业提供DigiCertEntrustGlobalSignvTrus、Geotrust等全球可信的SSL证书及证书全生命周期管理服务,以完善的安全解决方案和可靠的CA运行机制保护网站信息安全,维护数字世界秩序。

分类
公司新闻

天威诚信提供双算法SSL证书最佳解决方案

天威诚信提供双算法SSL证书最佳解决方案

SSL证书是提升网站服务器防护能力的重要措施,也是在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

伴随着国际算法SSL证书的市场增长,国家层面也在持续推进国密算法应用建设,相继颁布了一系列法律法规。尤其是2020年《中华人民共和国密码法》的施行,标志着我国在密码的应用和管理等方面有了统一针对性的法律保障,也意味着SSL证书国产化成为必然趋势。

但在实际应用中,金融、政务、电商等领域企业在部署SSL证书时面临多重考量因素。既要能达到数据审核不出境、数据安全受保障、密码算法合规定,还能做到与主流应用/浏览器兼容,以保障业务的连续性。

参考遵循国家密码管理及信创产品等多项规范标准,依据客户实际需求,天威诚信基于坚实的密码技术和数字证书服务经验,在推进国产密码算法应用的同时,适时推出国产/国际双算法证书自适应解决方案,以满足企业数据传输加密与国密算法合规等要求。

-1

双算法证书由一张国际算法证书和一张国密算法证书组成,可兼顾国密合规性和全球通用性。在客户端环境支持国产密码算法时,自动选择国产密码算法SSL证书;在客户端环境仅支持国际算法时,自动选择国际算法SSL证书。通过国产密码算法与国际密码算法无缝切换应用,满足企业在不同场景、条件下的应用。

天威诚信是国内可信网络安全认证服务商,同时也是制定国密SM算法服务器证书体系标准课题研究的牵头单位之一。在探索国密算法应用过程中,天威诚信自主建设的vTrus系列SSL证书已广泛应用于政府、电信、金融、能源等重点行业和关键领域,帮助企业实现轻量化国密改造

截至目前,天威诚信vTrus国密算法自主根和国家根下的二级根已通过奇安信、麒麟操作系统、统信操作系统联合认证,并实现了在360、红莲花、赢达信、零信等主流国产浏览器的预埋,有力推动了国密算法生态建设。

在国家的大力支持下,市场上将会出现越来越多可用、好用的国产化产品和应用,天威诚信也将在夯实现有业务的基础上,携手更多业内机构,积极推进国密算法应用落地,提供满足不同用户需求的SSL证书及证书全生命周期管理服务。

分类
知识中心

证书颁发机构的作用

证书可以通过受信任的证书颁发机构或通过对证书本身进行签名来生成。证书颁发机构(CA)为用户生成用于TLS/SSL身份验证的证书。为了确保证书颁发机构可以信任,可以将CA的信任链跟踪回源CA。信任链是由受信任的CA发布的证书链,一直通向根CA。若要开始获取数字证书的过程,请求者必须向CA发送证书签名请求(CSR)。CSR必须具有请求者创建的密钥对的公钥,以及用于确认请求者身份的信息,例如社会保险号或驾驶执照。确认请求者身份后,CA将签名并返回证书,并可用于识别请求者。

获取证书的另一个选项是使用相同的信息自行创建一个证书,然后对其进行自签名。这使用频率较低,因为无法通过其他可信CA验证签名者的身份,从而使自签名证书变得可疑。因此,许多人不会接受自签名证书,因此建议使用CA创建证书。

分类
知识中心

什么是证书管理?

数字证书在互联网上用于对彼此交换数据的用户进行身份验证。由于每个合法网站都使用证书,因此证书管理非常重要。如果证书被盗和滥用,攻击者可能会冒充另一个更合法的来源,并通过他们的网站用恶意软件感染用户。证书的证书过期可能会导致中断,导致组织失去潜在客户。

证书管理是监视、处理和执行证书生命周期中每个进程的过程。证书管理负责颁发、续订证书并将其部署到端点(服务器、设备、设备等),以便网络服务不间断。证书管理还应自动执行任务(颁发、续订等),并提供网络基础设施的实时状态。

证书管理有助于管理网络并防止中断和停机,同时提供对整个基础架构的详细监控。良好的证书管理计划应该能够处理任何网络,甚至是具有数千台设备的网络。如果证书过期或配置错误,则可能会发生整个网络的灾难性中断。

证书(也称为 SSL/TLS 证书)是网络中用户、设备和其他端点的数字标识符。证书与公钥/私钥对链接,并验证与有效证书匹配的公钥是否可以信任。证书的主要工作是确保通过用户和服务器之间的连接发送的数据保持私密。证书通过在连接发送数据时对数据进行加密和解密来实现此目的。这是通过称为SSL / TLS握手来实现的。

分类
公司新闻

vTrus通过零信浏览器国密根证书可信认证

vTrus通过零信浏览器国密根证书可信认证

随着国密算法在各重要领域的深入应用,支持国密算法的SSL证书和浏览器之间的合作也愈加紧密。在2022年6月,由天威诚信自主研发的支持国密SM2算法的vTrus自主根证书和国家根下的二级根证书正式通过零信浏览器国密根证书可信认证,获得《国密SM2可信根》证明书。

vTrus通过零信浏览器国密根证书可信认证-1

目前,天威诚信研发的国密根证书已被预置于全球唯一一个支持国密证书透明的零信浏览器信任,并全球多语言版本发布。

天威诚信签发的vTrus国密SSL证书在得到零信浏览器信任后,可实现有效的网络身份鉴别、信息传输国密算法加密,将有效保障我国网络空间安全、身份可信、加密传输,在防范网络入侵、网络钓鱼,保障网民的信息和财产安全等方面发挥着重要作用。

随着《密码法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施,国内重要领域越来越需要实现网站安全的国密合规,并逐渐开始部署国密SSL证书,同时在对内对外的业务场景中应用国密浏览器,以实现国密算法HTTPS加密,保障系统信息的安全。

天威诚信是为金融行业客户签发占比较多国密证书的CA机构之一,可为客户提供完善的国密HTTPS升级改造方案。目前,天威诚信vTrus国密SSL证书业已完成在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器、赢达信国密安全浏览器的根证书预埋,广泛应用于政府、电信、金融、能源等重点领域,保障关键基础设施的信息安全。

天威诚信vTrus国密证书正式入根零信浏览器,意味着天威诚信将同其他零信浏览器信任的CA机构一道,携手发展壮大国密数字证书体系,共同承担维护国家重要领域和关键信息基础设施的安全责任,在为用户提供更安全使用体验的同时,共同助力国密生态安全的建设发展。

在国密SM算法升级改造HTTPS应用不断加速的大趋势下,天威诚信将以vTrus国密SSL证书为纽带,协手国内众多安全生态伙伴,共同为国密数字证书体系的发展壮大和国密生态安全的建设发展贡献力量。

  零信浏览器

零信浏览器是目前全球唯一一个支持国密证书透明的、完全免费的国密浏览器,并且独家特别增显国密加密标识、云WAF防护标识、网站可信认证标识、EV认证绿色地址栏等。

分类
知识中心

如何修复 POODLE SSLv3 安全漏洞

如何修复 POODLE SSLv3 安全漏洞

POODLE=Padding Oracle On Downgraded Legacy Encryption.

这是一个最新的安全漏洞(CVE-2014-3566)代号,俗称“贵宾犬”漏洞。

此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全会出现严重隐患。

“贵宾犬”漏洞和之前的B.E.A.S.T(Browser Exploit Against SSL TLS)非常相似,处理方法也很接近。建议您手动关闭客户端SSLv3支持,或者关闭服务器SSLv3支持,或者两者全部关闭,即可有效防范该漏洞对您造成的影响。

以下是常见的几种web server修复方法

Apache

在Apache的SSL配置中禁用SSLv2和SSLv3:

SSLProtocol all-SSLv2-SSLv3

Nginx

在Nginx只允许使用TLS协议:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

IIS

IIS服务器需要执行注册表文件,通过修改注册表的方式来达到禁用SSLV3,也可以使用我们制作的一键式优化加密套件工具ItrusIIS.exe,可以通过一键式操作为IIS服务加密套件设置推荐配置。

下载地址:

https://www.ert7.com/download/ITrusIIS.exe

下载完成后,双击执行“ItrusIIS.exe”,选择“最佳配置”后点击“应用”。

服务器重启之后即可生效。

以及——

Tomcat

tomcat从7版本后是可以支持修改SSL协议的,在tomcat中的SSL配置中禁用SSLV3,配置如下:

如何修复 POODLE SSLv3 安全漏洞-1
如何修复 POODLE SSLv3 安全漏洞-2如何修复 POODLE SSLv3 安全漏洞-3

需要说明的是:该漏洞来自于SSLv3本身使用的算法RC4的缺陷,只能将SSLv3当作不安全协议禁用,强制使用TLS,但依然可以保障用户的信息安全,如发现该漏洞,请按照上述方法操作。

分类
知识中心

Apache单IP配置多个HTTPS虚拟主机方案

在Apache文档中提到,不能在单个IP上同时有多个按名字识别的虚拟主机(“named virtual host”),其实不完全是这样,接下来我们就来演示下如何打破这一魔咒。

  使用SNI

SNI全称Server Name Indication(服务器名称指示),这个问题可以解决apache中的单IP多HTTPS虚拟主机,只有默认第一个站点的SSL生效的问题。但是这些技术需要浏览器的版本支持

  支持SNI的浏览器

*Mozilla Firefox 2.0 or later

*Opera 8.0 or later(the TLS 1.1 protocol must be enabled)

*Internet Explorer 7(Vista,not XP)or later

*Google Chrome(Vista,not XP)(NOT Chromium)

*Safari 3.2.1 Mac OS X 10.5.6

  支持SNI的web容器

*apache版本在2.2.12以上

*需要mod_gnutls或者mod_ssl模块的支持

*Openssl在0.9.8j后的版本也都支持了SNI的功能

  配置Apache

打开Apache/conf/extra/httpd-vhost.conf文件并找到以下参数进行配置。

Listen 443

NameVirtualHost*:443

<VirtualHost*:443>

ServerName www.test1.com

SSLOptions StrictRequire

DocumentRoot/path/to/ssl/enabled/site

SSLProtocol all-SSLv2-SSLv3

注意,这里我们同时禁用了SSLv2、SSLv3不安全的协议。

SSLHonorCipherOrder on

SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

SSLCertificateFile conf/server.crt

SSLCertificateKeyFile conf/server.key

SSLCertificateChainFile conf/ca.crt

完成上述操作后,将CA证书ca.crt配置到该路径下。

<Directory/path/to/ssl/enabled/site/>

SSLRequireSSL

Order Deny,Allow

Allow from All

</Directory>

</VirtualHost>

“`

最后,保存httpd-vhost.conf文件并退出,使用https方式访问网站,测试证书配置是否成功。

分类
公司新闻

天威诚信vTrus正式加入Adobe全球信任证书列表

天威诚信vTrus正式加入Adobe全球信任证书列表

日前,接Adobe通知,天威诚信vTrus文档签名证书已通过审核,顺利成为Adobe Approved Trust List(Adobe批准的信任列表)成员,这意味vTrus可为Adobe用户提供更高兼容性、稳定性的服务,同时也意味着vTrus在证书全球可信体系中取得进一步市场优势。

天威诚信vTrus正式加入Adobe全球信任证书列表-1

随着线上业务的发展,企业采用Adobe公司的PDF文件实现无纸化办公的情况越来越普遍。为保证PDF文件内容及其在传输过程中的真实可信,Adobe公司于2005年推出了认证文档服务计划,并制定了严格的审核政策及技术标准。

通过Adobe审核后,可直接预置各受信任的CA根证书,使PDF等电子文档具有合法身份识别和不可篡改的特性。

vTrus是天威诚信建设的国产自主根证书品牌,并通过了WebTrust国际审计认证,以国际标准化的运营管理和服务水平,致力于为客户提供权威可信的认证产品与服务。

成为Adobe Approved Trust List成员后,vTrus可为个人或企业颁发PDF文档签名证书,证书持有人可向用户证实签名人的真实身份以及在工作流程中电子文档或电子合同的确认签名,默认被Adobe acrobat Reader各版本所信任,不需要安装任何插件或第三方软件。

vTrus文档签名证书可以实现公司PDF文件流转过程中的唯一性、真实性和防抵赖,有效帮助企业保护其知识产权和机密信息,而且由于vTrus业已通过WebTrust国际审计认证,从技术标准和运营规范等方面都已达到国际标准,更可以使签名具有法律约束力。

除验证文件签名和内容的真实性外,vTrus证书还可为客户提供自主且高可用性的SSL证书产品及服务,包含DV、OV、EV三种类型,支持RSA/国密SM2算法,证书覆盖单域名多域名通配符、多域名通配符等多种类型,满足不同客户的需求,保障网站信息安全。

分类
知识中心

什么是证书签名请求文件(CSR)?

证书签名请求 (CSR) 是用户申请证书(如 SSL/TLS 证书)时转发给证书颁发机构 (CA) 的编码文本块。CSR 是在将安装证书的服务器上创建的。CSR 包括域名、组织名称、位置和国家/地区等信息。该请求还包含公钥,该公钥将与生成的证书相关联,并且同一服务器还生成私钥。在开发证书时,CA只会使用公钥,私钥应该保存并保密,因为私钥是公钥的密钥对,如果我们丢失私钥,证书将不起作用。

什么是证书签名请求文件(CSR)?

CSR文件包括下面信息:

  • 域名:服务器的完全限定域名 (FQDN),如 www.ert7.com。
  • 组织名称:组织的法定名称,例如“北京天威诚信电子商务服务有限公司”。
  • 组织单位:组织的部门,如 IT 部门。
  • 城市/地点:组织所在的城市,例如北京/青岛。
  • 州/县/地区:如北京/山东
  • 国家:如中国
  • 电子邮件地址:用于与组织联系的电子邮件地址,例如 ssl@ert7.com
  • 公钥:将与证书关联的公钥。