概念簡介
伺服器證書(server certificates) 組成Web伺服器的SSL安全功能的唯一的數字標識。通過相互信任的第三方組織獲得,並為用戶 提供驗證您Web站點身份的手段。伺服器證書包含詳細的身份驗證信息,如伺服器內容附屬的組織、頒發證書的組織以及稱為公開密鑰的唯一的身份驗證檔案。這意味著伺服器證書確保用戶關於web伺服器內容的驗證,同時意味著建立安全的HTTP連線是安全的。同時在客戶端,用戶也可以通過點擊瀏覽器地址欄的鎖頭標誌來查看網站的可信信息。
全球伺服器證書廠商
VeriSign 是領先的安全套接字層 (SSL) 證書認證機構,為網站、內聯網和外聯網的電子商務及通訊提供安全保護。VeriSign 通過強大的加密功能和嚴格的鑒權措施,保護著全世界超過 500000 台 Web 伺服器的安全。我們選擇代表著網際網路高度安全性的可信任標誌,並為每一位網站訪問者啟用最強大的 SSL 加密功能。
網際網路上的最受信任標誌
財富 500 強企業中超過 93% 的公司和世界 40 家最大的銀行都選擇VeriSign作為其 SSL 證書供應商,因為他們都深知網際網路安全重要性。他們之所以信任 VeriSign,正是由於 VeriSign 先進的加密技術和嚴格的業務鑒權實踐。如果您的網站使用 VeriSign SSL 證書 (VeriSign SSL Certificates) 並顯示了 VeriSign Secured 簽章 (VeriSign Secured Seal),您的客戶就知道他們的交易安全可靠,並且充分信賴您的網站。
SSL 安全認證:工作原理
安全套接字層 (SSL) 技術通過加密信息和提供鑒權,保護您的網站安全。一份 SSL 證書包括一個公共密鑰和一個私用密鑰。公共密鑰用於加密信息,私用密鑰用於解譯加密的信息。瀏覽器指向一個安全域時,SSL 同步確認伺服器和客戶端,並創建一種加密方式和一個唯一的會話密鑰。它們可以啟動一個保證訊息的隱私性和完整性的安全會話。
SSL的工作原理中包含如下三個協定 。
握手協定(Handshakeprotocol)
記錄協定(Recordprotocol)
警報協定(Alertprotocol)
1、握手協定
握手協定是客戶機和伺服器用SSL連線通信時使用的第一個子協定,握手協定包括客戶機與伺服器之間的一系列訊息。SSL中最複雜的協定就是握手協定。該協定允許伺服器和客戶機相互驗證,協商加密和MAC算法以及保密密鑰,用來保護在SSL記錄中傳送的數據。握手協定是在應用程式的數據傳輸之前使用的。
2、記錄協定
記錄協定在客戶機和伺服器握手成功後使用,即客戶機和伺服器鑑別對方和確定安全信息交換使用的算法後,進入SSL記錄協定,記錄協定向SSL連線提供兩個服務:
(1)保密性:使用握手協定定義的秘密密鑰實現
(2)完整性:握手協定定義了MAC,用於保證訊息完整性
3、警報協定
客戶機和伺服器發現錯誤時,向對方傳送一個警報訊息。如果是致命錯誤,則算法立即關閉SSL連線,雙方還會先刪除相關的會話號,秘密和密鑰。每個警報訊息共2個位元組,第1個位元組表示錯誤類型,如果是警報,則值為1,如果是致命錯誤,則值為2;第2個位元組制定實際錯誤類型。
SSL證書描述
使用擴展確認的安全網站專業版 (Secure Site Pro with EV):真正的 128 位擴展確認
當您進行線上商務活動時,利用擴展確認和128位SSL加密技術增強客戶對您的信心,同時,還為每一位網站訪問者提供最強大的加密服務。另外還包括VeriSign Secured簽章。顯目的綠色地址欄,為用戶帶來直觀的安全感。
安全網站專業版 (Secure Site Pro):真正的 128 位強制型 SSL 證書
為您的金融交易和機密數據傳輸提供最強大的 SSL 安全保護。為大多數網站訪問者提供128位SSL加密服務。通過使用由業界最嚴格的鑑證方式和信息基礎架構提供支持的證書,向網站訪問者表明您格外重視安全性。另外還包括 VeriSign Secured 簽章,最值得信任的網際網路安全標誌。
安全網站(Secure Site):SSL 證書(128位支持型)
通過使用由業界最嚴格的鑒權方式和信息基礎架構提供支持的證書,向網站訪問者表明您格外重視安全性。其中值得關注的便是 VeriSign Secured 簽章,擁有SSL伺服器證書的網站均可以在頁面上展示該標誌,該簽章通過技術手段保障非法假冒網站無法複製,最值得信任的網際網路安全標誌。 目前VeriSign(威瑞信)在國內通過其合作夥伴天威誠信(iTrusChina)提供該項服務。
擴展閱讀:
1.http://tech.sina.com.cn/other/2004-07-17/1849389179.shtml
2.http://www.itrus.com.cn 天威誠信,verisign在中國的唯一官方合作夥伴
製作伺服器證書
SSL伺服器證書介紹
SSL安全協定最初是由美國網景NetscapeCommunication公司設計開發的,全稱為:安全套接層協定(SecureSocketsLayer),它指定了在應用程式協定(如HTTP、Telnet、FTP)和TCP/IP之間提供數據安全性分層的機制,它是在傳輸通信協定(TCP/IP)上實現的一種安全協定,採用公開密鑰技術,它為TCP/IP連線提供數據加密、伺服器認證、訊息完整性以及可選的客戶機認證。
最簡單地講:伺服器部署SSL證書後,能確保伺服器與瀏覽器之間的數據傳輸是加密傳輸的,是不能在數據傳輸過程中被篡改和被解密的。所以,所有要求用戶線上填寫機密信息的網站都應該使用SSL證書來確保用戶輸入的信息不會被非法竊取,這不僅是對用戶負責的做法,特別是要求填寫有關信用卡、儲蓄卡、身份證、以及各種密碼等重要信息時,而且也是保護網站自己的以後機密信息的有效手段。而用戶也應該有這種意識,線上填寫用戶自己認為需要保密的信息時看看瀏覽器右下面是否出現一個鎖樣標誌,如果沒有鎖樣標誌,則表明用戶您正在輸入的信息有可能在提交到伺服器的網路傳輸過程中被非法竊取而泄露,建議您拒絕在不顯示安全鎖的網站上提交任何您認為需要保密的信息,這樣才能確保您的機密信息不會被泄露。
SGC技術
SGC技術(ServerGatedCryptography)是在現有的SSL證書標準基礎上增加的一種增強密鑰用法(EKU),主要是考慮到2000年以前美國政府對高強度加密算法(128位)出口限制的因素而推出的。
由於出口管制的原因,2001年以前推出的瀏覽器版本(如:IE5)和伺服器版本(Windows 2000 server)都只支持56位或40位加密算法,但由於電腦硬體技術和CPU處理速度的快速提高,使得破解40位加密算法只需幾秒鐘,而破解56位加密算法也只需幾天時間。
為了加強美國以外的國家的電子商務和網上銀行的安全,SSL證書業界就在SSL證書標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU),也就是說:即使受出口限制的40位或56位瀏覽器或伺服器,只要使用支持SGC技術的SSL證書,就能不受限制的實現128位加密。
這種強制實現128位高強度加密技術簡稱為SGC技術。
伺服器證書的安全性
可信伺服器證書
可信伺服器證書是由CNNIC自主研發的一款伺服器證書產品,是國內第一款具有自主智慧財產權且已得到全球各個瀏覽器信任的產品。使用該產品可以保障用戶與網站間信息加密傳輸的同時,更採取了國際強身份認證的技術及理念,即在頁面出現防偽“鎖”的基礎上,免費提供一款能夠方便網民識別的簽章,以進一步提升該可信伺服器證書的身份易識別這一功能。按網站域名的數量和特點分為單域名可信伺服器證書、通配域名可信伺服器證書和多域名可信伺服器證書。可信伺服器證書的申請可以找cnnic的代理服務機構中科三方,因為cnnic不直接面對終端客戶的申請。
認清伺服器證書讓釣魚無法以假亂真
最近,家住北京朝陽區的朱先生很是鬱悶,他原本想在網上購買一台電暖器,結果卻在購物的時候,被一家山寨版的線上購物網站,騙去了500多元。朱先生告訴記者,10月25日,他在網上搜尋到一款中意的油汀電暖氣,點擊進入後,發現這是一家他曾經有過交易的電子商務網站,因此他很放心地通過網銀將520元錢支付給對方,但是一個多星期過去了,王先生都沒有收到對方發來的貨品。通過仔細的檢查交易記錄,朱先生髮現這並不是自己曾經去過的網站,而是一個山寨版的,這才知道上當受騙了。
從以前出現的假冒工商銀行網站,到假冒的線上支付平台,再到朱先生的遭遇,儘管各種網路釣魚事件不斷被媒體曝光,消費者的意識也在不斷提高,可這些假冒網站為何還頻頻出現?記者通過調查發現,一方面製作假冒網站的低成本,給不法分子創造了有利條件,但另一方面,很多電子商務網站管理不嚴格、防備措施不完善,也給了假冒網站巨大的生存空間。針對假冒網站猖獗的現況,不僅需要網監部門對這些惡意網站進行查處,那些可能被仿冒的電子商務網站、遊戲網站也需要主動去打假,建立健全針對假冒的事前防範機制,最終保障網路消費者的利益。
對於假冒網站這種網路威脅,我們可以藉助一個有利的武器來進行防範,那就是被稱為“網站身份證”的伺服器證書(SSL證書)。業內資深人士、天威誠信高級副總裁李延昭告訴記者,伺服器證書是數字證書的一種形式,類似於駕駛證、護照和營業執照的電子副本,其主要作用是在網路通訊中標識和驗證伺服器的身份,伺服器證書通常包含詳細的身份驗證信息,如伺服器內容附屬的組織、頒發證書的組織以及稱為公開密鑰的唯一的身份驗證檔案。
網站在套用伺服器證書後,用戶在訪問網站時,就可以方便地查閱網站身份等信息,確保訪問過程的真實性。對於那些沒有套用證書,或者證書信息無法打開的網站,用戶就需要引起重視,儘可能終止訪問。在網路誠信整體環境不理想的大形勢下,網站通過配備伺服器證書,可以快速建立信任品牌,有助於企業在競爭中獲得優勢,提升用戶的信任感,將用戶流量轉化為更多的訂單。
作為驗證網站真實身份的憑證,伺服器證書必須由一個權威、公正、可信的第三方機構頒發才值得用戶信任。李延昭表示,在實際套用中,網站最好通過正規渠道獲得伺服器證書產品,例如VeriSign全球通用伺服器證書(SSL證書),其全球信任保障體系可以確保網站可以在全球範圍內獲得信任支持,同時正規渠道夥伴也會以自身的實力向用戶提供良好的服務和技術支持。
以天威誠信認證中心為例,作為VeriSign在國內伺服器證書(SSL證書)領域的首要合作夥伴,天威誠信通過整合資源,可為網站提供包括SSL證書、網站漏洞檢測在內的全面安全信任服務,其“可信網站服務”在解決網站信息安全傳輸和網站可信身份的實際套用中,發揮了明顯的作用。天威誠信目前已成功為工商銀行、招商銀行、中信銀行、華夏基金、淘寶等網站完成了反釣魚網站技術升級,很大程度上緩解了國內釣魚網站欺詐事件的發生。
為了方便網民更為直觀的辨識欺詐釣魚網站,天威誠信還提供目前業內最為先進的EVSSL伺服器證書,其獨有的綠色地址欄技術,可幫助網民在登錄網站過程,僅靠地址欄的“顏色”變化就可識別欺詐釣魚網站,綠色的即是安全網站,而紅色就是欺詐釣魚網站,這可以讓已採用SSL證書技術的企業最大限度發揮數字證書在安全、信任領域的作用。