Michael Cobb是认证信息系统安全架构专家(CISSP-ISSAP),知名的安全作家,具有十多年丰富的IT行业经验,并且还从事过十六年的金融行业。他是Cobweb Applications公司的创始人兼常务董事,该公司主要提供IT培训,以及数据安全和分析的支持。Michael还合著过IIS Security一书,并为领先的IT出版物撰写过无数科技文章。此外,Michael还是微软认证数据库系统管理员和微软认证专家。
最近未经授权的https证书成为热门新闻话题,其中有些证书还是来自已熟知/理应可信的供应商的根存储。那么,企业应该如何防范这些伪造证书?
Michael Cobb: 互联网的安全性在很大程度上依赖于对证书颁发机构(CA)的信任,CA颁发数字证书以供Web 服务器 用于识别自己和加密服务器及用户之间的流量。这些证书可以防止攻击者伪造网站或者窃听发送到和发送自网站的通信。
不幸的是,这种信任正在被破坏,因为一系列针对CA(例如DigiNotar和Comodo)的攻击以及ANSSI情况中的糟糕做法—这导致颁发欺诈性或未经授权数字证书。 伪造证书允许攻击者窥视Web服务器和浏览器之间发送的信息,即使这种连接似乎很安全。他们还可以用来欺骗内容以及执行网络钓鱼或中间人攻击。 在最近的事件中,在CA印度国家信息中心(NIC)的证书发布过程受到攻击后,对很多谷歌的域名发出了未经授权数字证书。
NIC持有几个中间CA证书受印度政府的核准控制局(India CCA)信任。这些India CCA证书包含在微软Root Store中,因此Windows中运行的很多应用程序都信任该证书,包括IE浏览器和谷歌的Chrome浏览器。Mac OS X、iOS和Android操作系统中的根存储并不包含印度CCA的证书,所以并没有受到影响。Firefox也没有受到影响,因为它使用的是自己的根存储,其中不包含这些证书。
谷歌通过发布CRLSet迅速阻止了Chrome中的未经授权的证书。印度CCA随后撤销了所有NIC中间证书,并且进行了又一次CRLSet更新来包含这个撤销。同时,由于谷歌网站利用公共密钥pinning机制,Windows中的Chrome不会让谷歌网站接受这些伪造证书。pinning是一种HTTP协议,允许Web管理员指示浏览器在给定的时间内记住或者“pin”到Web服务器的数字证书,从而减少了在这个pin时间内可以验证该域名的机构数量。
目前有几个举措正试图改进对CA及其颁发证书的信任。这些包括谷歌的Certificate Transparency计划和DNS-based Authentication of Named Entities(DANE)。然而,到目前为止这些项目并没有广泛的部署。
浏览器的信任决策是基于根存储中信任根,因此企业保护其用户免受恶意证书的危害的最好办法是,确保浏览器保持更新了最新的证书信任列表。打开浏览器中的证书吊销检查并不能够很有效地确定证书是否仍然有效,并会显著减慢页面加载时间。更好的选择是使用防火墙来深层扫描SSL加密流量,以嗅出假证书或恶意代码。安全团队还应该监控安全新闻feeds,并且在还没有可用更新而对网络的风险被认为不可接受时,应该从根存储手动删除不受信任证书。在整个企业网络撤销根和清除本地缓存CTL的指令可以通过组策略来发布。
以下哪个技术标准是采用公钥密码体系的证书机制来进行身份验证的
ca的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。 (三)ca中心ca中心为每一个使用公钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。 ca认证中心的数字签名技术使得攻击者不能伪造和篡改证书。 在set交易中,ca不仅对持卡的消费人、商家发放证书,还对交易过程中所涉及到的银行、网关也发放证书。 它负责产生、分配并管理所有参与网上交易的个体所需的数字证书。 (四)ca证书的种类ca中心发放的证书分为两类:ssl证书和set证书。 一般地说,ssl(安全套接层)证书是服务于银行对企业或企业对企业的电子商务活动的;而set(安全电子交易)证书则服务于持卡消费、网上购物。 虽然它们都是用于识别身份和数字签名的证书,但它们的信任体系完全不同,而且所符合的标准也不一样。 简单地说,ssl证书的作用是通过公开密钥证明持证人的身份。 而set证书的作用则是,通过公开密钥证明持证人在指定银行确实拥有该信用卡账号,同时也证明了持证人的身份。 用户想获得证书时,首先要向ca中心提出申请,说明自己的身份。 ca中心在证实用户的身份后,向用户发出相应的数字安全证书。 认证机构发放证书时要遵循一定的原则,如要保证自己发出的证书的序列号各不相同,两个不同的实体所获得的证书的主题内容应该相异,不同主题内容的证书所包含的公开密钥相异等。 (五)ca证书的基本原理及功能?ssl协议的握手和通讯为了便于更好的认识和理解ssl协议,这里着重介绍ssl协议的握手协议。 ssl协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。 ssl的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:①客户端的浏览器向服务器传送客户端ssl协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。 ②服务器向客户端传送ssl协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。 ③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的ca是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。 如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。 ④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。 ⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。 ⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的ca是否可靠,发行ca的公钥能否正确解开客户证书的发行ca的数字签名,检查客户的证书是否在证书废止列表(crl)中。 检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。 ⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于ssl协议的安全数据通讯的加解密通讯。 同时在ssl通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。 ⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。 ⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。 ⑩ssl的握手部分结束,ssl安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。 ca中心主要职责是颁发和管理数字证书。 其中心任务是颁发数字证书,并履行用户身份认证的责任。 ca中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面,需要十分严格的政策和规程,要有完善的安全机制。 另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施,对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。 ca中心的证书审批业务部门则负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此,它应是能够承担这些责任的机构担任;证书操作部门(certificatep-rocessor,简称cp)负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有授权者发放证书等,它可以由审核业务部门自己担任,也可委托给第三方担任。 (六)ca证书管理包括哪些方面工作ca策略管理管理员可以指定ca管理策略,包括:根证书、个人证书、企业证书、服务器证书的密钥长度、有效期、是否备份等策略。 (七)画图说明ca证书申请流程。 (八)申请ca证书的用户导出证书的目的是什么?简要介绍导出的操作步骤1当普通的恢复失效时,数据恢复代理需要使用数据恢复密钥,以允许代理恢复加密数据。 因此,保护恢复密钥是非常重要的。 有一种好方法可以防止丢失恢复密钥,那就是仅在需要时才将这些恢复密钥导入本地计算机。 而在其他时候,您应将数据恢复代理的数据恢复证书和私钥导出,并以格式文件存储到安全的可移动介质。 2步骤第一步,从ie中导出证书。 点击ie菜单工具,打开interNET选项对话框,选中内容页,点击证书,弹出证书对话框,请您选择您要导出的证书,然后选择导出操作,您就可以根据证书导出向导操作完成证书导出了,请注意,证书导出向导第二步提示您是否导出私钥?,请选择是,导出私钥,成功导出证书后,您会得到一个以结尾的文件。 第二步,导入证书到webmail。 在webmail左帧选择个人资料,然后在右帧点击设置个人证书。 请点击导入证书,在上传证书对话框中请浏览找到您在第一步操作中所导出的文件,按下一步,输入您在第一步的证书导出向导里要求您输入的秘匙保护密码,您可以选择保存密码,以后查看加密邮件就不需要输入密码了。 成功的话,webmail将会显示证书的简略信息。 有了个人证书,你就可以发送有你数字签名的信件了。
企业网站有必要安装SSL证书吗?
企业网站还是很有必要要安装SSL证书的。 现在给网站部署SSL证书是目前最有效的安全措施,SSL证书是数字证书的一种,通常是由CA机构颁发的,然后安装部署在Web服务器上。
现在企业类型很多,为了发展更好大多都会选择搭建网站,安信证书作为合法的CA认证机构,提供DV\OV\EV以及单域名、多域名以及通配符SSL证书等等,售后还会支持一站式服务,对于企业来说最好是选择OV SSL证书。
OV SSL证书需要验证企业真实信息,核实申请单位是一个真实合法的组织,用户可以在证书信息里面查看申请SSL证书的公司名称,保护网站信息安全的同时,还能有效防止钓鱼网站的发生。
成功老板防骗反骗10大技巧有哪些
1、不要盲目从众这种有人卖贷,有人假装买货、以招揽顾客骗人的方法,亦称“做笼子”,其实都是说给顾客听了,演给他人看的,我们称这种手法“假卖假买”,骗子们以假买卖成交消除他人疑虑,骗取他人钱财。 了解了此种骗术的过程和特点,就知道了防骗的措施--保持冷静,勿从大众,尽量避免被动性的交易。
2、严格监控所购商品
调包计,商界常见骗术之一。 骗子出售某种商品,让你看到的是优质样品;或让你验看的是真货,待货物运到时,才发现交来的是假货;或在你考察时看到的是新机器,待你收货时,方知是被淘汰的旧机器。
3、不要让对方找到借口
借口在商场交易是屡风不鲜,从谈生意到货物交易、租凭承包、工人工资变动等直接的经营活动无所不在。 它有时可看作商场交易是一种技巧,有时又是用来进行诈骗的手段。 合理、适当地利用借口可使你生意成功,但不善于对付他人借口,也会使你受骗上当或给生意带来麻烦。
4、防止“钓鱼”骗术
这类骗术的一般方法是:先与企业签定小额合同,认真履行,取得信任后再签大宗巨额合同行骗;或与企业签定大宗巨额合同,先付小额贷款、定金,或采取行贿、回扣等圈套骗取贷物。
5、要做好事前事后工作
商场上常有这样的情形:作为供方的你,不远千里,辛辛苦苦地把货物运到对方指定的地点,对方却以“货物质量差”等理由,把你的货物拒之门外,或者拒付货款。 这多为需货方的欺诈手段。 对付需方欺诈,除预先订好具体、明确、公平的贸易合同及封存自己货物样品外,还应请法律顾问或诉诸法院。
6、铺面出租方防止租凭欺诈
签订出租合同,订好全面、完善的细则或条款,尤其必须在合同上标明铺面固有的设备、工具、贷物等固定资产的细目,说明其数量及质量,承包方使用范围,损坏赔偿方法等,说明铺面租金的义付方式,确定租金数额;请有关部门给予公证;收取定金或押金,以适当的人际交往方式了解所有租方成员情况。
7、铺面租赁方防止租方欺诈
签订合同前弄清对方出租铺面事由;了解该铺面最近经营状况,尽量找出对自己所经营项目不利之处;签订完备的租赁合同;请工商或公证部门对合同予以公证;租赁期满前几个月,请出租方以定金作为租金,不再另交租金,以防止租方在租赁期满后不返还定金或故意拖延定金返还日期。
8、运用理性的查证方式可以防止空卖骗术一些骗子自己无货,却谎称有货,把需方领到码头、货场或仓库,把别人的货说成是自己的货行骗。 受骗人的错误在于,有时过于相信感觉,认为亲眼所见,不会有假,而假象往往说混杂于这种感觉中。 对付这种骗术,主要是打消感性错觉,通过理性的查证方式,弄清物品的真正主人,如请对方出示身份证和有关有效证明等。
9、谨慎行事有助于防止集资骗术
在投资上,很多人都是相当精明的,但也有不少人在投资上有种种失误。
要避免遭受某些企业、个人利用“集资”旗号行骗,宜考虑以下建议:三思而后行,切忌盲目轻信,对谎称有后台的公司、高利润的项目要谨慎从事;了解经营状况,不论对方是企业还是个人,都有必要先了解其身份、生产或经营能力,是否有银行账户等等;了解经营项目的具体状况;签定详细合同。
10、防止空头合同诈骗
伪造证件,以法人身份行骗,是当前社会上经济诈骗犯罪的主要形式。 些类诈骗,其欺骗性大,而且被骗取的数额也巨大。 这类骗子的主要骗术有:伪造营业执照、许可证、海关和商检证明、提货单、身份证、工作证等有关证件,骗取信任,进行诈骗活动。 防止此类诈骗的措施有:看对方是否具有签定合同的资格;看对方的经营范围和方式;看对方注册资金数额;要注明合同履行地点、时间、产品质量标准、付款方式、双方权利、义务及违约处罚等
发表评论