互联网大会聚焦网络安全 CHINASSL为网络装上“安全锁”

2015年第二届世界互联网大会在乌镇举行,来自世界各国的政府首脑、互联网精英再次齐聚一堂围绕互联网发展面对的种种问题展开讨论。国家主席习近平出席了开幕式并就互联网问题做了相关演讲。纵观互联网大会,网络安全问题再次成为会议焦点。网络安全问题不仅是此次大会的主题词,也是一直以来各国政府比较关注的话题,它关系到我们每个公民的日常网络生活。尤其是手机时代来临,移动互联网时代来临,公民很有可能会因为信息泄露导致财产损失和生命安全受到威胁。

网络安全问题再次引发社会广泛关注,业内人士预言,大会后SSL安全证书将会持续升温。根据中国数字证书(CHINASSL)近日发布一份报告中提到一个非常明显的现象:和去年的数据相比,数字证书安全在今年正在呈现出爆发式增长。伴随着电子商务、互联网金融、网络游戏的快速发展,SSL安全证书的需求量更是连年上升。不仅这些涉及到财产安全内容的企业对网络安全加以关注,个人网民也开始重视网络安全问题。有不少细心的网民已经发现在很多常用的网站已经不再使用传统的HTTP了,而是更加安全的HTTPS并且以绿色安全标志显示。网站使用HTTPS安全证书实现数据加密传输,保护用户隐私信息不被非法窃取,对安全意识不断提高的网民来说不失为一个好消息。

网络安全持续升温的讨论,让国内最具盛名的SSL服务商CHINASSL再次从幕后走向台前。据悉中国数据证书是国内最早的SSL数字证书服务商,与国际领先的数字证书服务机构(CA)建立中国区合作关系。旗下产品主要有Symantec(原VeriSign,由Symantec收购其SSL证书认证业务)、GeoTrustThawtecomodoRapidSSLGlobalSign、AlphaSSL等国际一线SSL证书品牌,提供证书产品类型涵盖企业增强型EV SSL、企业型OV SSL、通配符证书Wildcard SSL、域名型DV SSL、多域名型SAN/UCC SSL、强加密型SGC SSL等6大类型60余款SSL证书产品。

8年SSL行业实战服务经验,让CHINASSL在网络信息安全领域拥有高效的数字证书签发服务,专业的售后技术支持。专业的服务让它拥有着极高的业内声誉和支持率,此次互联网大会后相信中国数字证书将来再次迎来一个新的发展机遇。企业负责人表示,希冀与互联网同行共筑安全网络环境。

 

媒体报道:

http://www.cctime.com/html/2016-1-6/1125626.htm

http://www.pcpop.com/view/1/1654/1654157.shtml?r=06170612

SSL证书被吊销后,使用主流浏览器访问HTTPS网站的表现形式

服务器证书被吊销后(Certificate Revocation)-Google chrome浏览器表现形式

服务器证书被吊销后(Certificate Revocation)-Google chrome浏览器表现形式

Google chrome浏览器给出的中文错误信息是:您的连接不是私密连接,附带英文信息:NET::ERR_CERT_REVOKED

仅从中文字面意思根本看不出所访问的HTTPS网站服务器证书被是被吊销的需要有点英文知识才可以理解!

服务器证书被吊销后(Certificate Revocation)-firefox火狐浏览器的表现形式

服务器证书被吊销后(Certificate Revocation)-firefox火狐浏览器的表现形式

firefox火狐浏览器给出了非常清楚的错误信息:连接csr.chinassl.net时发生错误。对等端的证书已被废除。 附带英文信息:sec_error_revoked_certificate

服务器证书被吊销后(Certificate Revocation)-微软EDEG浏览器的表现形式

服务器证书被吊销后(Certificate Revocation)-微软EDEG浏览器的表现形式

微软EDEG浏览器只是给出了中文错误信息:此网站的安全证书存在问题,是证书过期、吊销没有给出明确说明

服务器证书被吊销后(Certificate Revocation)-微软IE11浏览器的表现形式

服务器证书被吊销后(Certificate Revocation)-微软IE11浏览器的表现形式

微软IE浏览器给出了非常明确错误信息:此组织的证书已被吊销

看来还是IE浏览器最了解中国用户啊!

结语:其实服务器证书被吊销Certificate Revocation这种情况很少见,当然如果你的网站如果存在违法行为或用于非法服务,服务器证书被吊销这种风险还是很大的!

CHINASSL原创文章,转载请注明出处https://www.chinassl.net/faq/n623.html

Google搜索自动优先识别已启用HTTPS网站

Google搜索自动识别已启用HTTPS网站,由于终所周知的原因,国内使用Google那还是要废些力气的,不过没办法,有些重要的知识,你不用Google根本就找不到啊,找不到!今天在用google搜索的时候发现为已经正式启用HTTPS的网站,优先显示HTTPS网址,有图有真相,如下图所示:

那么问题来了,我也想为自己的网站启用HTTPS需要怎么做呢?什么是HTTPS呢?HTTPS与HTTP区别有那些?HTTPS有那些种类呢?启用HTTPS是否需要复杂的设置呢?HTTPS费用是否很高昂呢?且等下篇文章分解!

本文链接地址:http://www.chinassl.net/ssl_industry_news/n578.html

为什么要使用HTTPS?

我想要非常明确的告诉你 : 如果你要构建任何什么类型的web应用, 要使用 HTTPS 哦!

你要构建什么类型的应用程序或者服务并不重要,而如果它没有用到HTTPS,你就做错了.

现在,让我们来聊聊HTTPS为什么很棒.

 

https
HTTPS 是安全的

HTTPS 是一个业绩优良的很棒的协议. 虽然这些年来有过几次针对其漏洞的利用事件发生, 但它们一直都是相对较为轻微的问题,而且也很快被修复了.

而诚然,NSA确实在某个阴暗的角落收集着SSL流量, 但他们能够解密即使是很少量SSL流量的可能性都是极小的 — 这会需要快速的,功能齐全的量子计算机,并耗费数量惊人的钞票. 这玩意存在的可能性貌似不存在,因此你可以高枕无忧了,因为你知道你的站点上的SSL确实在为你的用户数据传输保驾护航.

 

HTTPS 速度是快的

上面我曾提到HTTPS“遭罪似的慢” , 但事实则几乎完全相反.

HTTPS 确实需要更多的CPU来中断 SSL 连接 — 这需要的处理能力对于现代计算机而言是小菜一碟了.  你会遇到SSL性能瓶颈的可能性完全为0.

目前你更有可能在你的应用程序或者web服务器性能上遇到瓶颈.

 

HTTPS 是一个重要的保障

虽然 HTTPS 并不放之四海而皆准的web安全方案,但是没有它你就不能以策万全.

所有的web安全都倚赖你拥有了 HTTPS.  如果你没有它, 那么不管你对你的密码做了多强的哈希加密,或者做了多少数据加密,攻击者都可以简单的模拟一个客户端的网络连接,读取它们的安全凭证——然后轰的一声——你的安全小把戏结束了.

因此 — 虽然你不能有赖于HTTPS解决所有的安全问题,你绝对100%需要将其应用于你构建的所有服务上 — 否则完全没有任何办法保证你的应用程序的安全.

此外,虽然证书签名很显然不是一个完美的实践,但每一种浏览器厂商针对认证机构都有相当严格和严谨的规则. 要成为一个受到信任的认证机构是非常难的,而且要保持自己良好的信誉也同样是困难的.

Mozilla (以及其其他厂商) 在将不良根认证机构踢出局这项工作方面表现相当出色,而且一般也真正是互联网安全的好管家.

 

HTTPS 流量拦截是可以避免的

先前我提到过,可以很容易的通过创建属于你自己的SSL证书、信任它们,从而在SSL通讯的中途拦截到流量.

虽然这绝对有可能,但也很容易可以通过 SSL 证书来避免 .

本质上讲,依照上面链接的文章中给出的准则, 你可以是的你的客户只去信任真正可用的SSL证书,有效的阻挡所有类型的SSL MITM攻击,甚至在它们开始之前 =)

如果你是要把SSL服务部署到一个不受信任的位置(像是一个移动或者桌面应用), 你最应该考虑使用SSL证书钢钉.

 

HTTP 在私有网络上并不是安全的

早些时候,我谈到HTTP的安全性怎么是不重要的,特别是如果你的网络被锁上(这里的意思是切断了同公共网络的联系) — 我是在骗你。而网络安全是重要的,传输的加密也是!

如果一个攻击者获得了对你的任何内部服务的访问权限,所有的HTTP流量都将会被拦截和解读, 不管你的网络可能会有多“安全”. 这很不妙哦。

这就是为什么 HTTPS 不管是在公共网络还是私有网络都极其重要的原因。

额外的信息: 如果你是吧服务部署在AWS上面,就不要想让你的网络流量是私有的了!  AWS 网络就是公共的,这意味着其它的AWS用户都潜在的能够嗅探到你的网络流量 — 要非常小心了。

 

总结

如果你正在做网页服务,毫无疑问,你应该使用HTTPS

 

恐怖 IE/Chrome/火狐/Sarari齐遭攻破

目前用户常用的几大浏览器基本上是微软Internet Explorer、Mozilla Firefox、Google Chrome以及苹果Safari,你能想象他们集体被攻破吗?

据外媒报道,韩国黑客Jung Hoon Lee日前在Pwn2Own上攻破了上述四款浏览器。

具体来说,他用缓冲区溢出竞态状态攻破了稳定版和beta版的Chrome,然后利用两个Windows内核驱动的信息泄露和竞态状态获取了系统访问权限,随后利用未初始化堆栈指针漏洞攻破了Safari。

据说Jung Hoon Lee在一天内通过这些漏洞获得了22.5万美元的奖金。

在两天比赛中,Windows曝出了5个漏洞,IE11曝出4个,Firefox曝出3个,Adobe Reader和Flash分别有3个,Safari有2个,Chrome则只有1个。

网络安全刻不容缓,选择SSL证书保驾吧!

转自:驱动之家