证书知识库

  1. 云栖社区>
  2. 博客>
  3. 正文

证书知识库

科技探索者 2017-11-14 23:02:00 浏览1044
展开阅读全文
证书知识库... 1
什么是钓鱼网站?... 1
什么是SSL. 2
实际中,SSL如何在现代化的商业里得到应用呢?... 2
数字签名原理... 3
数字证书的特点... 3
数字证书的类型... 4
数字证书的功能... 5
数字证书的四大功能:... 6
哪些用户需要SSL证书... 7
数字签名证书和SSL证书的区别... 7
什么是数字签名证书... 7
数字签名证书的使用?... 8
什么是128位强制型SSL证书... 9
有哪些类别的SSL证书可选择... 10
什么是SSL证书... 11
如何选择可信的数字证书... 11
数字证书的功能与应用... 13
什么是数字证书... 15
SSL证书发展历程... 16
什么是钓鱼网站?
随着网络的普及,人们越来越享受在线交易带来的便捷,足不出户便可完成全球采购,缴纳日常生活费用等等,然而针对网络信息的犯罪也开始层出不穷,如今网络世界的安全性越来越为人们所重视。 
      “钓鱼网站”便是随着网络普及和在线交易增加而变得异常猖獗的网络诈骗行为。“钓鱼网站”是犯罪分子做出的诈骗网站,“钓鱼网站”通常与银行网站或其他知 名网站几乎完全相同,从而引诱网站使用者在“钓鱼网站”上提交出敏感信息(如:用户名、口令、帐号ID、ATM PIN 码或信用卡详细信息等)。 
最典型的网络钓鱼攻击过程如下:首先将用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,然后获取用户在该钓鱼网站上输入的个人敏感信 息,例如银行帐号、银行密码等。通常这个攻击过程不会让受害者警觉。这些个人信息对钓鱼网站持有者具有非常大的吸引力,通过使用窃取到的个人信息,他们可 以假冒受害者进行欺诈性金融交易,获得极大的经济利益,而受害者们却因此而遭受到巨大的经济损失,非但如此,被窃取的个人信息还可能被用于其他非法活动。 
如何识别钓鱼网站,如何保证网站信息传输的保密完整性,愈发的显示出其重要性和必要性。选择安装SSL证书就是防止钓鱼攻击的最有效的手段之一。
什么是SSL
SSL是指安全套接层协议层(以及传输层协议TLS)是目前使用最广泛的安全协议。 它为通过互联网或内部网络连接,进行操作的两台机器之间,提供安全的通道。 当浏览器需要通过不可靠的互联网,与服务器安全地连接时,我们通常可以看到SSL技术被使用于其中。
要更多了解什么是SSL,需要从技术上来说。SSL是一种传输协议,当传输双方建立安全传输时,它很少需要终端用户进行其他操作。 以浏览器为例,用户通过浏览器显示出的小锁图标,可得知目前正使用SSL传输,如果使用了更先进的EV SSL,那么除了显示小锁图标以外,浏览器的地址栏也会变成绿色。 这就是SSL成功的关键——对于终端用户,这是一种超乎想象的简单体验。
实际中,SSL如何在现代化的商业里得到应用呢?
  • 如信用卡交易等网络通信。 仅仅在2006年中,就有210,000,000用户,通过个人电脑、手提电脑、PDA以及移动电话,在线支付超过$130,000,000,000美元。 应该使用SSL来保护每一笔此类交易!!
  • 其他网络通信,如登陆页面、网页表单、网络邮件、控制面板或其他需要保护的网站页面区域。
  • 通过https和FTP服务进行文件转移,如网站站主对其网站进行页面的更新。
  • 电子邮件客户端程序与邮件服务器间的连接,如Microsoft Outlook与Microsoft Exchange之间。
  • 基于通信的内部网络,如企业内部网、外延网以及数据库连接。
所有这些应用,都具有一些共同的特性:
  • 通过互联网或网络传输的数据,具有机密性,换而言之,人们不希望将他们的信用卡详细信息暴露在网络上。
  • 数据必须保持完整,也就是说,一旦发送了信用卡详细信息和扣除费用总和,黑客无法在中间环节更改费用总和及资金流向。
  • 您的组织或企业必须向您的客户或外网使用者担保,您确实是您本人,而不是伪装成您的其他人。
  • 您的组织或企业必须遵守有关数据保密和安全诚信的地区、国家、及全球性规则。
数字签名原理
数字签名是数字证书的基本应用之一。数字签名的基本过程是:信息发送者先对原始数据进行杂凑运算得到消息摘要,再使用自己的签名私钥对消息摘要进行加密运 算。验证签名的基本过程则是信息接收者对收到的原始数据采用相同的杂凑运算得到消息摘要,将两者进行对比,以校验原始数据是否被篡改。通过数字签名技术可 以实现对数据完整性、以及传送数据行为不可否认性的保护。 
使用数字证书实现数字签名应用前,首先需要向相关数字证书运营机构,如GlobalSign,申请具备数字签名功能的数字证书,然后才能在业务过程中实现数字证书的签名应用。 
通常,使用数字证书进行签名以及验证签名的步骤如下: 
1) 签名发送方(甲)对需要发送的明文使用杂凑算法,计算摘要; 
2) 甲使用其签名私钥对摘要进行加密,得到密文; 
3) 甲将密文、明文和签名证书发送给签名验证方(乙); 
4) 乙方验证签名证书的有效性,并一方面将甲发送的密文通过甲的签名证书解密得到摘要,另一方面将明文相同的杂凑算法计算出摘要; 
5) 乙对比两个摘要,如果相同,则可以确认明文在传输过程中没有被更改,并且信息是由证书所申明身份的实体发送的。 
签名私钥配合杂凑算法的使用,可以完成数字签名功能。而对数字证书和签名发送方的身份的确认,就需要通过CA对其身份认证进行验证。
数字证书的特点
Globalsign提供的数字证书加密服务,主要有安全、便捷、方便管理的特点。
数字证书特点一:高度安全 
拥有数字证书的用户,即使您发送的信息在网上被他人截获,甚至您的密码信息被盗取,仍可以保证您的账户、资金安全。因为申请成为数字证书用户后,如果在其他电脑登录财付通账户,在没有安装数字证书的情况下,只能查询账户,不能进行其他数字证书的功能涉及到您的帐户信息修改、资金变动的操作。
数字证书特点二:使用便捷 
当用户需要在一台新的电脑上安装数字证书时,所有数字证书类型都只需登录后根据提示填写身份验证信息,即可在线完成安装,省去用移动存储设备备份的烦恼。
数字证书特点三:方便管理 
对同一用户来说,一台电脑对应唯一一张数字证书,根据用户身份给予相应的资源访问权限。每个用户最多只能同时在5台电脑上安装证书,用户可以方便的远程销毁曾经在其他电脑上使用过的证书,保证账户安全。
数字证书的类型
从数字证书使用对象的角度分,目前的数字证书类型主要包括:个人身份证书、 企业或机构身份证书 、 支付网关证书 、服务器证书、 安全电子邮件证书、个人代码签名证书。这些数字证书特点各有不同。
从数字证书的技术角度分,CA中心发放的证书分为两类:SSL证书和SET证书。一般地说,SSL证书(安全套接层)是服务于银行对企业或企业对企业的电子商务活动的;而SET(安全电子交易)证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书,但它们的信任体系完全不同,而且所符合的标准也不一样。简单地说,SSL数字证书的功能作用是通过公开密钥证明持证人的身份。而SET证书的作用则是,通过公开密钥证明持证人 在指定银行确实拥有该信用卡账号,同时也证明了持证人的身份。?
下面主要从对象角度说明:
个人身份证书 
符合 X.509 标准的数字安全证书,证书中包含个人身份信息和个人的公钥,用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于 E-key 中,用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。
企业或机构身份证书 
符合 X.509 标准的数字安全证书,证书中包含企业信息和企业的公钥,用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于 E-key 或 IC 卡中,可以用于企业在电子商务方面的对外活动,如合同签定、网上证券交易、交易支付信息等方面。
支付网关证书
支付网关证书是证书签发中心针对支付网关签发的数字证书,是支付网关实现数据加解密的主要工具,用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(Internet 上各种安全协议与银行现有网络数据格式的转换)。 
支付网关证书只能在有效状态下使用。 
支付网关证书不可被申请者转让。
服务器证书 
符合 X.509 标准的数字安全证书,证书中包含服务器信息和服务器的公钥,在网络通讯中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于 E-key 中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。
企业或机构代码签名证书 
代码签名证书是 CA 中心签发给软件提供商的数字证书,包含软件提供商的身份信息、公钥及 CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到 Internet 上,当用户在 Internet 上下载该软件时,将会得到提示,从而可以确信:软件的来源;软件自签名后到下载前,没有遭到修改或破坏。 
代码签名证书可以对 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件 进行签名。
安全电子邮件证书 
符合 X.509 标准的数字安全证书,通过 IE 或 Netscape 申请,用 IE 申请的证书存储于 WINDOWS 的注册表中,用 NETSCAPE 申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的 WEB 服务器(https 服务) 表明身份。
个人代码签名证书 
个人代码签名证书是 CA 中心签发给软件提供人的数字证书,包含软件提供个人的身份信息、公钥及 CA 的签名。软件提供人使用代码签名证书对软件进行签名后放到 Internet 上,当用户在 Internet 上下载该软件时,将会得到提示,从而可以确信:软件的来源;软件自签名后到下载前,没有遭到修改或破坏。 
代码签名证书可以对 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件进行签名。
数字证书的功能
近年来电子商务技术使在网络购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。电子商务系统必须保证具有十分可靠的安全保密技术,必须保证网络安全的四个要素: 
1. 即信息传输的保密性 
2. 数据交换的完整性 
3. 发送信息的不可否认性 
4. 交易者身份的确定性
数字证书特点是采用加密算法保证网络的四大要素已经成为主流。在加密算法中,一般采用对称加密和非对称加密结合的方式。常见的方法如SSL证书、代码签名证书、数字签名等。
数字证书的四大功能:
数字证书功能一:信息的保密性 
网络业务处理中的各类信息均有不同程度的保密要求。如政务系统的用户名和密码被人知悉,身份就可能被冒用,网络交易的订货和付款的信息被竞争对手获悉,就可能丧失商机。而CA中心颁发的数字证书保证了电子政务、电子商务的信息传播中信息的保密。
数字证书功能二:网络通讯双方身份的确定性 
网络通讯的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对于服务提供方,要考虑“客户端不能是骗子”;而对于客户一方,也会担心 自己登录的服务是否是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的政府行政服务中心、银行、和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。而CA中心颁发的数字证书可保证网上通讯双方的身份,行政服务中心、银行和电子商务公司可以通过CA认证确认身份,放心的开展网上业务。
数字证书功能三:不可否认性 
由于系统业务的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金, 订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此CA中心颁发的所有 数字证书类型都确保了电子交易通信过程的各个环节的不可否认性,使交易双方的利益不受到损害。
数字证书功能 四:不可修改性 
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受 益,那么订货单位可能就会因此而蒙受损失。因此CA中心颁发的数字证书也确保了电子交易文件的不可修改性,以保障交易的严肃和公正。
哪些用户需要SSL证书
任何希望获得以下功能的组织企业都可使用SSL证书:
  • 保护在线信用卡交易
  • 保护在线登陆系统、网络表单、网络邮件、控制面板及其他需要保护的网站页面区域
  • 保护通过https和FTP服务进行文件转移,如网站站主对其网站进行页面的更新
  • 保护电子邮件客户端程序与邮件服务器间的连接,如Microsoft Outlook与Microsoft Exchange之间
  • 保护基于通信的内部网络,如企业内部网、外延网以及数据库连接
数字签名证书和SSL证书的区别
比如说软件安装,为了安全,一般的要求安装的软件都有开发商签名,但是世界上的软件开发商数不胜数,而且几乎天天都有的新成立的,如果每一个人的计算机都 维护全球的软件提供商的数字签名公钥是不合实际的。应该要有一些公众信任的公证机构来维护这些公钥数据。因此用户的计算机只需保留这些公正机构的公钥就可以放心安装很多软件了。
当你安装软件时,软件可能附带有一个数字签名(或hash数字等)和证书,该证书假设由A机构出具,表示A对于签名或hash数字认证(即不是伪造的)。 当然,该证书本身就是一个数字签名,但是你的计算机保留了该公正机构A的公钥,你当然可以验证证书是否伪造的,如果证书是真的,那么你也可以假设签名是真 的,然后你可以(对软件)验证签名了,如果签名验证通过,你也可以比较放心地安装和使用软件了。 当然,现实世界的证书和实际应用要复杂的多,有最高级的(根的)公证机构开具的证书,通常用于对其他较低级的公正机构进行公正,而那些相对低级的公证机构又对众多的签名进行公正。还有用于延续证书有效期的证书... 至于采用什么加密算法,一般由签名文件或证书文件本身自描述的(自己说明自己采用什么算法、密钥长度等信息,当然这些算法应该是符合标准的)。
什么是数字签名证书
数字签名证书是数字证书的重要应用功能之一。所谓数字签名证书是指证书用户(甲)用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数 据。信息接收者(乙)使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要,并对收到的原始数据采用相同的杂凑算法计算其消息摘要,将二者进行对比,即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护,和传送数据行为不可抵赖性的保护。 使用数字证书完成数字签名功能,需要向相关数字证书运营机构申请具备数字签名功能的数字证书,然后才能在业务过程中使用数字证书的签名功能。
签名发送方(甲)对需要发送的明文使用杂凑算法,计算摘要; 
甲使用其签名私钥对摘要进行加密,得到密文; 甲将密文、明文和签名证书发送给签名验证方乙;
乙一方面将甲发送的密文通过甲的签名证书解密得到摘要,另一方面将明文采用相同的杂凑算法计算出摘要;乙对比两个摘要,如果相同,则可以确认明文在传输过程中没有被更改,并且信息是由证书所申明身份的实体发送的。 如果需要确认甲的身份是否和证书所申明的身份一致,则需要执行身份认证过程,如前一节所述。在上述流程中,签名私钥配合杂凑算法的使用,可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证 书所申明的身份的行为,提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认,需要通过身份认证过程明确。
数字签名证书的使用?
当使用一个程序对信息进行数字签名时,至少要将数字证书的公共部分和其它信息加在一起,才能确认邮件信息的完整性。 
在邮件信息和数字证书发送之前,信息要经过散列算法的加密,就是将所要发送的信息经过算术处理产生一个特征序列,这个序列是唯一的,只能由原文产生。产生的序列叫做信息摘要。 必须知道散列算法只能单向快速的运行,但很难逆向运算恢复原文。这就是说,电子邮件程序可以将邮件信息经过散列算法快速产生唯一的信息摘要。然而,如果只有信息摘要,要数年的时间才能解密得到原文。 程序产生信息摘要之后,就用发送者的私钥对信息摘要加密,这是特别重要的。如果只发送邮件和信息摘要,别人可以很容易的修改信息原文,重新产生一个信息摘要,并以你的身份发送出去。
如果只对邮件进行数字签名而不进行加密,电子邮件应用会将数字证书和签名后的信息摘要作为附件随邮件明文一起发送,因此,别人仍然能阅读信息的内容(有效的解决方法是在签名后加上加密选项)。 当接受方收到邮件时,用发送方的数字证书(公钥)解密信息摘要进行验证。然后程序用相同的散列算法计算邮件的信息摘要,并比较结果。如果产生了的信息摘要和邮件所含的信息摘要是相同的,那么说明邮件在传输过程中没有被篡改,由此保证了信息确实是由验证该信息对应的公钥持有着(证书持有着)发送的。
什么是128位强制型SSL证书
clip_image001
作为网络交易商,您一定希望确保最高强度的SSL安全。您的数据在发送时,若使用低强度的安全级别,可能会面临意想不到的危险。为了帮助您达到最高的安全级别,GlobalSign产品全面支持128位SGC加密及最近发布的256位SSL加密传送。
128位 "增强" SGC SSL
一直以来,大多数的浏览器和操作系统均来自于美国。(如Microsoft、Netscape等) 当因特网出现后,美国出口条例严格限制强128位加密技术的输出。但是,银行和金融机构作为例外,获许使用SSL强128位加密等级。 由于许多旧版本浏览器仅支持40位加密强度,必须通过SGC(Server Gated Cryptography)这样的技术,将弱40位加密强度“强制”提升到强128位加密强度。 像GlobalSign这样的CA,可以向金融机构颁发具有SGC功能的SSL证书。随着美国出口法律逐渐放宽,如今所有的组织都可以使用128位(或更 高位)SSL加密,最新的浏览器也开始支持更高位的加密强度。 尽管如此,仍然存在这样一个问题 —— 一些旧版的浏览器还未被及时被“更新” 这就意味着,有部分用户可能仍然需要使用SGC功能,来确保更高的安全级别。 这也是GlobalSign将SGC功能免费的加入每一张SSL服务器证书中的原因。
当服务器和旧版本浏览器(如Microsoft浏览器4.723612.1713及以上版本)建立连接时,具有SGC功能的SSL服务器证书,会将加密强 度自动“增强”至128位。如果SSL证书不具备SGC功能,低级别浏览器就只能以弱40位加密强度进行连接。SGC功能主要满足特别敏感的电子交易或通 信所需要的额外安全保障,目前适用于银行、金融机构、保险公司、医疗健康组织、在线交易。目前只有GlobalSign和Verisign提供的证书具有 提升加密强度的SGC功能,但是,只有GlobalSign所提供的SGC功能,是完全免费的。
新浏览器为您带来更多安全保证——256位SSL
近些年来,计算机的计算能力得到大幅提高。使用蛮力计算,只需数小时就可破解40位强度的安全加密。因此,40位的加密已经被认为是不安全的。如果您使用 最新的网络服务器软件,您的站点访问者也使用最新的浏览器,GlobalSign SSL证书可以实现256位加密强度。256位加密强度可以提供最高的安全级别,几小时就可破解40位加密的计算能力,如果要破解256位加密,则需要花 费亿万年时间,因此256位加密基本是不可破解的。
有哪些类别的SSL证书可选择
在过去的几年中,使用SSL证书的企业组织数量飞速的增长。SSL的应用也在不断的扩展。比如说:
  • 一些企业组织仅仅需要SSL来保护机密性,比如,加密传输
  • 一些企业组织希望使用SSL来增强其安全认证的可信性,比如,向用户展示,他们已经通过审核,使一个合法的组织。
由于SSL的应用开始变得越来越广泛,逐渐的形成了三类SSL证书:
  • 域名型SSL证书(DV SSL):此证书仅审核证书申请人对域名的所有权
  • 企业型SSL证书(OV SSL):此证书审核证书申请人对域名的所有权,以及部分企业相关信息审核
  • E增强型SSL证书(EV SSL):此证书审核证书申请人对域名的所有权,以及详细的企业相关信息审核
      GlobalSign是第一个提出将SSL证书分类简单化的SSL证书提供商——简单的将SSL证书定义为三个全新的级别:DV、OV和EV。长达10年之久的SSL可信证书颁发解决方案经验,使GlobalSign成为SSL证书简单分类的先驱者。
其他的SSL提供商喜欢使用复杂的产品命名和分类,在同一类产品中,又根据证书基本的特征,分成不同产品。GlobalSign采用了与此相反的简单产品 命名方法,将证书的特色作为基本产品的附加可选项,这种方法可以减少客户在比较各厂商产品时所花费的时间,以及“我究竟需要哪一个证书”等此类困扰。 
GlobalSign SSL证书的简单分类如下:
  • 域名型:GlobalSign域名型SSL – 支持和识别企业型证书的所有浏览器,也同样支持域名型证书,但仅仅只需5分钟的颁发时间及无需递交公司文书是域名型证书的优势所在。这些优势使得域名型SSL证书成为那些需要低成本快速颁发,又不想费力提交公司相关文件的在线商务客户的理想选择。
  • 增强型:GlobalSign增强型SSL – 自从SSL技术出现以来,最新的发展是EV标准的出现,这也许也是SSL技术史上最重要的进步。新的高安全性浏览器,如Windows XP和Windows Vista中使用的IE7.0,将EVSSL证书定义为EV证书,并激活在浏览器界面安全增强功能,如IE7.0中的绿色地址栏。对于那些希望获得最高等 级安全认证的客户来说,EVSSL证书无疑是最理想的选择。
  • 企业型:GlobalSign 企业型SSL – GlobalSign已经颁发企业型SSL证书长达10年。在颁发证书前,申请企业型SSL证书的公司,必须通过企业资料审核。
什么是SSL证书
SSL是一种协议,为了能够使用SSL协议,组织或企业需要一张SSL证书。SSL证书是一种小型的数据文件,内含有关您企业组织详细信息的密钥通常包含:
  • 您的域名或服务器名
  • 您公司的名称及地址
  • 在某些情况下,您的详细联系方式
为了激活浏览器的SSL传输功能,企业组织需要申请并在其服务器上安装SSL证书。根据申请的证书种类,企业组织需要经过不同级别的审核。一旦证书安装完毕,就能够通过https://www.domain...来访问网站,通过这样的地址访问,会告诉服务器与浏览器间建立安全的连接。一旦当安全连接建立完毕,服务器与浏览器之间的所有数据传输都是安全可靠的。
      SSL证书必须由可信任CA的根证书颁发。为了使证书可信任,用户的终端机器上必须装有该CA的根证书。如果该证书不可信,浏览器将会向终端用户显示证书不可信的错误信息。在商务情况下,这样的错误信息会立即造成用户对网站缺乏信任,因此使用不可信任证书的站点,正冒着失去大多数用户信赖及商业机会的风 险。
      GlobalSign公司,是可信任的CA机构。这是因为各大浏览器和操作系统供应商,如Microsoft、Mozilla、Opera、 Blackberry、Java等,均相信GlobalSign是合法的CA,是可信赖的SSL证书颁发机构。CA将它的根证书预埋至越多的应用程序、设备以及浏览器,其颁发的SSL证书就能越好的被识别。
根预埋策略——确保您的每一位客户获得最直观的安全保护
      GlobalSign进行根证书预埋计划已经超过10年之久。此计划确保来自于美国、英国、欧洲大陆和亚洲的内部工程师,能够和应用程序、设备及浏览器供应商保持持续的沟通,以确保GlobalSign的根证书能够安装在每一个可能使用SSL传输的地方。
如何选择可信的数字证书
互联网是全球的网络,面向全世界的用户,因此在购买服务器SSL数字证书(SSL证书)和客户端个人数字证书时,全球可信的数字证书是您最佳的选择。如何辨别数字证书是全球可信的呢?其实非常简单,请打开您的 IE 浏览器中的“工具” — “ Internet 选项” — “内容” — “证书” — “受信任的根证书颁发机构”,在这里列出的机构都是通过微软认证的证书颁发机构 (CA) ,他们所颁发的数字证书通常都是全球可信的。GlobalSign正是这样一家CA。
clip_image003
在选择数字证书时,一定要遵从以下原则:
· 该数字证书颁发机构是否能在 IE 浏览器的“受信任的根证书颁发机构”中找到;
目前全球市场上销售的数字证书真是五花八门,您首先要检查其根证书是否已经在 IE 浏览器中列出,如果没有,当然不用考虑了。因为使用根证书未预埋在IE浏览器中的证书,用户在访问网站是,会弹出令人不愉快的警告窗口,特别在IE7.0 浏览器中,更会出现这样的页面:
clip_image005
出现这样的页面,必定会大大降低客户对您的信赖度,因此,在选择数字证书时,一定要选购IE浏览器中“受信任的根证书颁发机构”所颁发的数字证书产品。
· 尽量选择全球知名的数字证书颁发机构所颁发的数字证书。数字证书是一种特殊商品,它所传达的是信赖、可信和安全。使用全球知名的数字证书颁发机构所颁发的数字证书,可以为您的网站更添一份可信赖感。
· 该数字证书颁发机构是否在中国设有子公司,以便为中国用户提供中文的本地化的优质服务。
· 该数字证书颁发机构是否提供无条件退款承诺。数字证书产品具有其自身的特殊性,某些情况下可能无法安装成功或因其他原因导致无法正常使用,一定要选择有“无条件退款”承诺的服务提供商。
· 该数字证书颁发机构是否提供赔付保障。数字证书颁发机构通常会对其数字证书产品投保,如果客户因为数字证书被破解从而造成损失,数字证书颁发机构将会作出赔偿。具有赔付保障的数字证书产品,用户使用起来才会更放心。
· 该数字证书颁发机构是否提供免费试用证书。免费的试用证书可以使用户更好的了解产品特性以及是否适合自己,选择提供免费试用证书的数字证书颁发机构,才可以在购买前真实的体验证书颁发商所提供的服务,是评判证书颁发商服务的途径之一。
· 该数字证书颁发机构是否提供无偿重新颁发。在证书的使用过程中,因为意外可能导致服务器证书遗失等情况,只有承诺无偿重新颁发的数字证书颁发机构,才可以保证您更安心的使用。
以上几点是对于选择可信的数字证书的一些意见和建议,希望能够帮助大家购买到最满意最合适的数字证书产品。
数字证书的功能与应用
数字证书主要有以下四大功能:
一、信息的保密性
网络业务处理中的各类信息均有不同程度的保密要求。如政务系统的用户名和密码被人知悉,身份就可能被冒用,网络交易的订货和付款的信息被竞争对手获悉,就可能丧失商机。而CA中心颁发的数字证书保证了电子政务、电子商务的信息传播中信息的保密。
二、网络通讯双方身份的确定性
网络通讯的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对于服务提供方,要考虑“客户端不能是骗子”;而对于客户一方,也会担心 自己登录的服务是否是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的政府行政服务中心、银行、和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。而CA中心颁发的数字证书可保证网上通讯双方的身份,行政服务中心、银行和电子商务公司可以通过CA认证确认身份,放心的开展网上业务。
三、不可否认性
由于系统业务的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此CA中心颁发的数字 证书确保了电子交易通信过程的各个环节的不可否认性,使交易双方的利益不受到损害。
四、不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受 益,那么订货单位可能就会因此而蒙受损失。因此CA中心颁发的数字证书也确保了电子交易文件的不可修改性,以保障交易的严肃和公正。
数字证书是由权威、公正的第三方CA机构所签发,CA是PKI的核心机构,而数字证书就是PKI的核心元素,它是一个权威的电子文档,是符合X.509标准的。在满足各种安全应用时,首先是由证书去连接,去实现。
数字证书的重要应用领域
一、网上银行
国内商业银行的网上银行近几年有很大发展,其中工行、招行、建行比较突出。但是网上银行也出现了一些安全问题,例如假造银行通知、网上“钓鱼”、病毒程 序、黑客们利用这些手段,直接窃取客户口令和账号。去年的所谓“网银大盗”事件,就是一帮黑客将托洛依木马程序置于某银行网银,窃取了近800万客户的密 码及账号,其目的就是进行网上欺诈。
二、 电子商务
在电子商务交易中,安全是第一位的,交易各方必须使用数字证书,如交易中心、在线支付平台、银行、商家、客户等都必须使用数字证书,以达到交易各方身份的真实性及交易的不可否认性。电子商务的交易模式分B2B、B2C、B2G等等。以B2B电子商务为例,中国目前B2B电子商务涉及了许多行业,大多数是以卖方主导型,或电子市场交易型为主。
三、手机移动支付
手机移动支付较安全的方式是手机、银行和商户都使用数字证书机制进行身份确认和加密
四、网上证券
以网上炒股为例,网上炒股是股民和证券公司之间发生的两方交易,必须确认身份和交易的不可否认。网上转账是指股民通过Internet将资金在银行股民账户和证券公司账户之间划入或划出,是涉及到股民、证券公司、银行的三方交易。
除了上述领域,在专用网、互联网或无线网上的数字证书的应用也很广泛。目前最有发展前途的还有卫生医疗系统的电子病历管理,应大力推广数字证书的应用。因为电子病历是将病人的病历、病史检查、治疗等信息,通过一个电子病历的平台,存储起来,达到信息共享的目的。还有各医疗单位的化验单、检查单、报告 单要统一标准,达到资源共享,提供医疗服务。其中数字证书的应用必不可少,因为医院、医生对自己的诊断、处方要负法律责任,所以必须在电子病历中进行数字签名。
什么是数字证书
数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。一些软件程序用数字证书来向其他人或企业证明证书持有者的身份。这里是两个普通的例子:
· 使用在线银行系统时,银行必须确认客户的真实身份,通过身份核实后的客户才能进入在线银行的相关页面进行相应的帐户管理操作,如:转帐、查询帐务。这就象驾驶执照或是护照一样,数字证书向在线银行证实了你的真实身份。
· 当要给别人发送重要的电子邮件时,电子邮件程序会用你的数字证书对邮件信息进行签名。数字签名有两个作用:很容易证明邮件是由你发送的,还能证明电子邮件在传送的时候没有受到篡改。
一个数字证书一般包括下列内容:
  • 你的公钥
  • 你的名字和电子邮件地址
  • 公钥的有效期限
  • 发证机构的名称
  • 数字证书的序列号
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风 险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都 必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用 类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、 可信赖的第三方,其作用是至关重要的。
数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加 密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步 骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发 行机构获得您自己的数字证书。
SSL证书发展历程
SSL协议是 NetScape 公司于 1994 年提出的一个关注互联网信息安全的信息加密传输协议,其目的是为客户端(浏览器) 到服务器端之间的信息传输构建一个加密通道,此协议是与操作系统和 Web 服务器无关。同时, NetScape 在 SSL协议中采用了主流的加密算法(如: DES 、AES 等) 和采用了通用的 PKI 加密技术。目前, SSL已经发展到 V3.0 版本,已经成为一个国际标准,并得到了所有浏览器和服务器软件的支持。
部署了SSL证书能说明什么?
起初, SSL证书的主要角色就是为网站的机密数据提供加密传输功能,从而确保机密信息的机密性、完整性和不可否认性。但是,对于电子商务来讲,用户在向网站提交机密信息之前如果不能信任此网站,那再高强度的加密也是没有用的,因为加密只是一种技术保护措施。所以, SSL证书标准也在不断完善,使得 SSL证书不仅起到加密作用,而且成为了网站的电子身份证或称“数字营业执照”,因为 SSL证书中将包含经过证书颁发机构验证的单位名称和所在地区等信息,这样,就大大方便了在线用户能实时查验此网站是否是用一个现实世界的实体所拥有和是否就是网站上所声称的单位,从而让用户放心地从事在线交易。
不严格的身份验证就颁发SSL证书给在线交易带来了信任危机
数字证书颁发机构在维护在线身份的真实性上起到关键的作用,因为其颁发的证书就代表申请单位在网络世界的数字身份,数字证书颁发机构一定要严格验证申请单位的真实身份,并把通过其验证的信息包含在数字证书中。 
但不幸的是,由于后来的数字证书颁发机构为了占领市场或为了降低成本,就推出了只验证域名所有权的 SSL证书(DVSSL) ,而不要求提供营业执照并验证,这种 SSL证书只能起到加密作用,而不能起到最关键的真实身份认证的作用。而更糟糕的是:这种 SSL证书(DVSSL)在浏览器中同OVSSL证书一样显示一样的安全锁标志,只要仔细查看证书主题才能发现:DVSSL 不显示单位名称(只显示域名),而OVSSL 则显示单位名称。但一般用户是不会查验证书详细信息的,只是在浏览器中看到有安全锁就以为安全了。 
如果两个网站: www.ABCcompany.com 和 www.ABC-company.com 都申请了 SSL 证书,如何判断哪个网站确实是 ABC company 的网站呢?这就是需要第三方的验证资料,这体现在 SSL 证书上,需要仔细查看证书的主题信息,因为都会显示一个“安全锁”标志,因为假冒网站是非常容易获得只验证域名所有权的 SSL 证书的,但这就给在线欺诈分子一个可乘之机,因为一般网上消费者根本就不能识别此 SSL 证书是否已经验证真实身份。
      SSL证书在网站信息安全上是至关重要的,它保护了信息的机密性、完整性和身份认证。而电子商务不仅需要加密,更重要的是需要增强在线消费者信心,让消费者相信电子商务网站的真实身份,所以严格身份验证的 SSL 证书对于电子商务来讲是至关重要的。这样,电子商务才能继续快速而健康地发展,为人们提供安全可信的在线购物和其他在线服务。
本文转自成功不仅是个人荣誉,更是对家人责任博客51CTO博客,原文链接http://blog.51cto.com/hukunlin/163455如需转载请自行联系原作者

kunlin_hu

网友评论

登录后评论
0/500
评论
科技探索者
+ 关注