《ssl服务器证书让网站和不安全因素say goodbye》由会员分享,可在线阅读,更多相关《ssl服务器证书让网站和不安全因素say goodbye(9页珍藏版)》请在金锄头文库上搜索。
1、SSL服务器证书让网站和不安全因素Say Goodbye 专业互联网基础服务提供商 在互联网时代,我们每天访问大量的各类网站,无形中我们就把信息泄露了,那么,有人就要问,什么样的网站存在不安全因素呢,如何才能安全的访问各类网站呢,如今,SSL证书完全可以解决这个问题。 钓鱼网站之所以能蒙蔽很多人,主要原因是其网址域名和网站页面高度相似,很难区分。但只要您在访问网站时关注网站安全认证标识,即可避免钓鱼陷阱。网站安全认证是指网站服务器部署了由CA(第三方认证授权机构)签发的SSL证书(服务器证书)后,即可实现网站身份认证和HTTPS加密传输。CA在签发SSL证书时,会要求网站提交身份资质文件(如企
2、业营业执照、组织机构代码证等),经过认证审核后才会给网站颁发证书。因此此张证书具有唯一性,钓鱼网站根本无法伪造,用户只要点击网址栏中的安全锁标识,即可查看证书身份信息。同时在安装SSL证书后,网址开头的HTTP变成HTTPS,代表信息传输已经过加密,不会遭到泄露。如果是EV增强型SSL证书,地址栏还会变绿并显示证书申请者的身份信息。 专业互联网基础服务提供商 EV增强型SSL证书加密传输,审核严格、安全等级高。保证信息的完整性。SSL证书是专门用于网站安全认证、防止网站被假冒的一种安全技术,安全数据加密,在网站和用户之间建立安全的、加密的数据传输通道,保护用户的敏感和私密信息在传输过程中不被泄
3、露,为网站的安全进行起到了至关重要的作用。 中万网络建议为了保障用户及企业自身信息的安全,请尽快部署SSL证书,对数据进行加密处理,保障数据的安全,从部署SSL证书开始。SSL技术能自动激活浏览器显示“锁”型安全标志,在客户端浏览器和Web服务器之间已建立起一条SSL安全加密通道,此时用户在线输入的信用卡号、交易密码等机密信息在网络传输过程中将不会被查看、窃取和修改。SSL加密强度取决于客户浏览器使用情况,支持最低40位、最高256位加密,保障信息安全。 中万网络目前作为国内明星级ssl证书颁发机构,为企业及其网站和个人提供可信网站、诚信网站、安全联盟、SSL证书等涵盖互联网电子商务流程的可信
4、应用服务,构建可信的电子商务应用环境,让“钓鱼”网站无处可藏。 专业互联网基础服务提供商 虚拟世界诚信网站认证教你识别“馅饼”和“陷阱” 权威监测数据显示,2011年开始,钓鱼网站超过病毒木马成为互联网第一大安全威胁,其中大型电子商务、金融机构、第三方在线支付网站更是成为网络钓鱼的主要对象。同时,由于大多数网站对用户注册、访问登录等没有严格的安全防范手段,黑客通过窃取用户账号密码登录网站进行交易支付,造成用户重大经济损失的案例屡见不鲜。行行色色的网络欺诈造成了用户的担忧、抵制和排斥,影响了网络的健康发展。馅饼有限,陷阱重重的虚拟世界,如何维护网络安全成为摆在各类网络应用服务提供商面前最急迫需要
5、解决的问题。 在国内,作为权威的诚信网站认证也正在逐步推广之中。它是由中国电子商务协会数字服务中心推出的第三方网站真实身份认证服务,由盘石网盟提供技术支持。它通过对域名、网站、工商登记或组织机构信息进行严格交互审核来验证网站真实身份,认证评价为商务部、 专业互联网基础服务提供商 国资委、全国整规办权威认定,中国电子商务协会具体监督和指导。 通过认证用户会得到“诚信网站”认证的标识,该标识一般放在网站的醒目位置上,以一个图标的形式出现,用户点击这个图标可以链接到认证页面,查看该网站的认证信息及安全信息。对网站而言“诚信网站”认证能帮助网站健全网络钓鱼防范措施,拓宽网站诚信品牌的展示和推广力度;对
6、网民而言“诚信网站”认证能有效提高亿万网民辨别网站真伪和识破网络诈骗的能力。 为了从根源上打击网络诈骗和钓鱼网站的入侵,保障网民权益,国内数千家主流电商网站已相继完成“诚信网站”认证,提高网站识别度,与钓鱼网站划清界限。而依靠“诚信网站”验证,也为网络安全撑起了保护伞。 专业互联网基础服务提供商 SSL证书-防范假冒网站的利器 在现实世界中,每个人都有自己的身份证,每个企业都有工商部门颁发的营业执照,它们分别用于标识一个人或企业的身份;人们可以通过面对面地出示和检验居民身份证,确认一个人就是他声称的人,或者实地访问一家公司,实地查看检验它的营业执照,从而确定同你打交道的公司是真实存在的,不是虚
7、假的。而在虚拟的电子世界,人们无法面对地面验证、确认一个人或机构的身份(比如网站的身份),而且由于电子身份数据可以轻易复制的,因此,使用简单的电子身份证是无法实现安全可靠的在线身份认证的(包括身份鉴别标识和鉴别)。那么,数字证书是如何能在不面对面地情况下安全可靠地鉴别一个网站或用户的身份的呢?我们可用通过现实世界中的一个如下假想例子来加以说明。 假设A、B两个人可以相互传递信息但又相互看不到对方容貌,比如,A在房间内,B在房间外,没有窗,只有门,门也没有窗,但有门缝;在这种情况下,A需要能够通过居民身份证对房间外B的身份进行鉴别(即确认他就是B,然后打开门让B进来)。为此,B可以把他的身份证通
8、过门缝递给A,但是,这时即便A拿到了B的身份证并确认了这个身份证是真实的,但A仍然不能确认门外的B就是身份证上的人,因为这个身份可能是B捡来或偷来的。但是,如果我们假设公安部门在给每个人颁发身份证时,同时在身份证上印有每个人的手写签名,那么这个问题通过如下过程就比较容易解决了: (1) A要求B将身份证传递给他; (2) B通过门缝将自己的身份证传递给A; (3) A通过一定的方式验证确认这个身份证是真实和有效性(具体什么方式我们就不 专业互联网基础服务提供商 管了); (4) 对B的身份证进行的验证通过后,A将一张白纸通过门缝传递给B,要求其在上面签上自己的名字; (5) B接收到白纸后,在
9、纸上签上自己的名,然后将签名后的纸通过门缝递给A; (6) A将纸上的签名与身份证上的手写签名比对,如果二者一致,则说明门外的确实是身份证上所标识的人。 基于数字证书的身份认证的工作原理和过程与上面带有手写签名的居民身份证的工作原理和过程非常类似。一个网站用一张完整证书来在线标识其身份,其运行机构必须向一个电子身份认证机构申请签发有关的证书。网站的运行机构在向电子身份认证机构申请一张数字证书时,需首先在网站计算机本地生成一对密钥数据,其中一个可用于对电子数据进行签名,另一个用于对被签名的数据进行签名验证;由于前一个密钥数据是用于签名的,因此,它必须安全保管在本地计算机或专门的密码设备中,不能公
10、开,称为私钥(Private Key);后一个密钥数据是用于(其他人或实体)对被私钥签名的数据的有效性进行验证的,可以公开,称为公钥(Public Key)。网站的运行机构将用于签名验证的公钥数据连同运行机构自身及网站的信息(如机构名称、网站域名及其相关证明材料)一起提交给电子身份认证机构。电子身份认证机构接收到相关申请后,先要验证申请者身份的真实性(验证过程)并确认申请者就是其声称的机构、域名确实由其拥有(确认过程),验证、确认通过后再为网站运行机构签发数字证书(电子身份数据),证书中包含有网站的身份信息(如域名)及用于签名验证的公钥。网站运行机构在得到证书后,将证书安装在网站的Web服务器
11、上。 当用户使用浏览器访问安装了数字证书的网站时,浏览器与网站之间进行如下交互过程: (1) 浏览器要求基于数字证书对网站进行在线身份鉴别(身份认证); (2) 网站(的Web服务器)将数字证书传递给用户浏览器; (3) 浏览器验证网站数字证书的有效性和可信性,包括验证网站证书是否由可信的电 专业互联网基础服务提供商 子认证机构签发,证书上的域名是否与用户要访问的网站域名一致,证书是否在有效期内等; (4)证书有效性和可信性验证通过后,浏览器将一串随机生成的数据(相当予白纸)传递到网站,要求网站对此进行数字签名; (5)网站用私钥对接收到随机数据进行数字签名(相当于在白纸上签上自己的名字),然
12、后将签名后的数据传送到到用户浏览器; (6)用户浏览器使用网站证书上的公钥对数字签名后的数据进行验证(相当于用身份证上的手写签名对白纸上的签名进行验证),验证通过则说明用户要访问的网站确实是证书上所标识的网站。 以上过程都是在浏览器和Web服务器之间自动完成的(目前的浏览器都支持SSL协议,以及通过数字证书对网站进行在线身份认证),以上验证过程只要一个环节不通过,比如数字证书不是由一个受信任的认证机构签发,或者证书上的域名与用户要访问的网站的域名不一致,或者证书过了有效期,那么浏览器或者弹出一个单独的警告窗口,或者显示一个警告页面,提示关于网站所用数字证书的错误警告信息。 基于数字证书的在线身
13、份认证是通过密码学原理(公开密钥加密算法)实现的,具有很高的安全性,很难破解或假冒,是当前最经济高效、最安全的在线身份认证技术。 那么,通过网站证书(SSL证书)如何能有效实现防止假冒、钓鱼网站呢?这是由于,网站运行机构在申请网站证书时,需向电子认证机构提交如下信息: (1) 证明运行机构身份的基本信息及相关证明材料(如营业执照或组织机构代码证的复印件等); (2) 拥有网站域名的证明文件; (3) 用于签名验证的密钥数据,即公钥。 电子身份认证机构在收到以上信息后要进行如下鉴别、验证和确认: (1) 证书申请机构提交的身份信息及相关证明材料是真实的,不是伪造的,这可以通 专业互联网基础服务提
14、供商 过鉴别营业执照或组织机构代码证复印件初步判断,然后再进一步通过工商部门或组织机构代码证部门的数据库进一步验证有关证件和信息的真伪; (2) 通过一定的方式,包括现场访问或通过电话黄页中得到的电话联系运行机构的有关负责人,确定确实是该运行机构在申请网站证书(而不是窃取了该机构证件复印件的假冒者); (3) 通过申请者提交的网站域名证明文件,鉴别该文件的真伪,并确认申请者确实是相关域名的真正拥有者。 在完成了以上鉴别、验证和确认工作后,再为证书申请者签发网站数字证书。 以上过程实际上就是我们通常所说的电子身份认证中的“认证”(签发证书前的证书持有者的身份认证)。有了数字证书和以上严格的网站服
15、务器证书签发流程,通过为网站安装一个由可信电子身份认证机构签发的网站证书,将能有效地防止假冒、欺诈网站,试想,一个假冒网站、钓鱼网站敢去申请一个数字证书吗?这相当于自投罗网,执法者可以很容易地通过证书申请时提供的真实信息抓到欺诈者。一个假冒网站、钓鱼网站可以劫持另一个网站域名,或注册假冒近似域名,甚至可以复制另一个网站的数字证书,但却无法得到被劫持网站的数字证书私钥。这样在进行在线身份认证的过程中,假冒网站、钓鱼网站也就无法伪造相应的数字签名,用户浏览器对网站的在线身份鉴别也就无法通过。因此,当你访问一个安装了可信电子认证机构签发的数字证书的网站时,你可以放心的相信这个网站是真实,可信的。那么,一个用户如何知道他要访问的网站是安装有可信电子认证机构颁发的可信数字证书呢?可以通过如下两点判断: (1)通过访问网站时所使用的传输协议 我们访问一个网站时所使用的网站地址通常是由三部分组成:传输协议、网站地址(域名)和页面路径,如http:/en.wikipedia.org/wiki/Uniform_resource_locator中http:表明使用的是HyperText Transfer Protocol(HTTP)传输协议,网站的域名是 专业互联网基础服务提供商
