EasySSL 是湖南赛云信息科技有限公司的注册商标。EasySSL 与 Sectigo (原 Comodo CA ) 有战略级别的合作关系,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的 SSL 证书颁发机构。
macOS13 描述文件: 立即安装 iOS16 beta描述文件: 立即安装 iOS iPad OS 16 beta描述文件: 立即安装 tvOS 16 beta描述文件: 立即安装 HomePad 16 beta描述文件: 立即安装...
对于Windows内核驱动签名,微软明确要求使用EV代码签名证书,对于Windows 10经由CA权威机构签发的EV代码签名证书给驱动签名后还必须递交到 Windows Hardware Developer Center Dashboard入口去获得微软的二次数字签名才能正式发布。 对于Windows内核驱动签名,微软明确要求使用EV代码签名证书,对于Windows 10经由CA权威机构签发的EV代码签名证书给驱动签名后还必须递交到 Windows Hardware Developer Center Dashboard入口去获得微软的二次数字签名才能正式发布。 历史背景 2015年10月31日起Windows 10中普通代码签名证书无法用于内核模式驱动签名,必须用EV 代码签名证书签名。 2016年8月1日起所有Windows 10 内核模式驱动经过CA权威机构签发的EV代码签名证书驱动签名后,都必须递交到Windows Hardware Developer Center Dashboard入口去再获得微软的二次数字签名,否则签名会被提示不合法。 在此基础上,给Windows 10的内核驱动进行签名必须要购买EV代码签名证书,签名时还需要添加微软的交叉签名,签名成功后再通过微软开发者中心递交签名文件,这样一个完整的过程才能让你的驱动在Windows10中正常使用。 如何对内核驱动签名 对内核驱动的签名需要使用微软官方的WDK的SignTool进行签名,关于准备工具及证书信息参考:EV代码签名证书签名Windows软件。 准备交叉签名 对于内核驱动签名均需要提供微软给CA权威机构准备的交叉签名,下载对应的交叉签名:交叉签名证书下载,下载后与EV代码签名证书放置在同一目录 SignTool签名 打开WDK的命令行SignTool工具,以Comodo EV Code Signing证书的签名为便(下载AddTrust_External_CA_Root.cer交叉签名),输入以下命令 signtool sign /v /ac "D:AddTrust_External_CA_Root.cer" /s MY /n "Your Company Name" /t http://timestamp.comodoca.com/authenticode "D:driver.sys" signtool sign /v /ac "D:AddTrust_External_CA_Root.cer" /s MY /n "Your Company Name" /as /fd sha256 /tr http://timestamp.comodoca.com/rfc3161 "D:driver.sys" 该命令是对驱动的双签名,双签名在过渡阶段能够兼容低版本操作系统,第一行是sha-1签名,第二行是sha-256签名,详细如下: ac 配置交叉签名路径 /n 证书对应企业名称 /as /fd sha256 是针对驱动的sha-256签名 /t 针对过时的sha-1时间戳 /tr 是sha-256对应的时间戳 签名成功后需满足5级证书链接的基本条件 测试签名 执行下方命令,看到和签名成功一样的结果即表示签名成功 signtool.exe verify /pa /v "D:driver.sys" *注意:对于上述签名成功的驱动文件,在当前Windows电脑上测试该签名文件,是无法正常测试的,请开发人员在开发环境测试成功之后,将此发行文件提交至Windows Hardware Developer Center Dashboard,经过微软二次签名后才能在正式版的Windows上运行 常见错误 1、用国内开发的一些签名工具不能给驱动文件签名吗? 由于EV代码签名证书的载体是加密后的U盘存储,并没有pfx证书文件格式,所以只能使用signtool进行签名 2、调用驱动文件时报577错误或31错误 自2016年8月1日起,签名后的驱动文件必须将此发行文件提交至Windows Hardware Developer Center Dashboard,经过微软二次签名后才能在正式版的Windows上运行,否则均提示证书签名无效。 至此,Windows 内核驱动签名注意事项就介绍到这,关于更多详情参考参考微软官方说明:对内核驱动程序进行证明签名以便公开发布,或通过右下角联系客服进行详细了解。...
通常情况下我们是用的都是http的路径,对于https的使用也很少,但是随着https的普及越来越多的域名访问需要用到https的,这个我们就演示怎么设置在我们对一个http的网站进行访问时候自动跳转至https下。 用到的工具及软件: 系统:windows2008R2 软件:IIS7.0,IIS的microsoft URL重写模块2.0 操作步骤: 1、我们需要下载并在IIS中安装microsoft URL重写模块2.0 下载地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=7435 下载安装后我们重启IIS,再打开后会发现在功能视图中又多出了个URL重写的功能: 2、对站点进行域名绑定 我们需要将https和http绑定在需要的站点上 3、进程SSL设置 在要求SSL的选择前取消勾选 4、在URL中新建规则 新建一个空白规则,让http的访问跳转到https上 起一个名字例如HTTP to HTTPS redirect 模式:(.*) 添加条件:{HTTPS} 模式:off 或 \^OFF$ 在操作设置中选择重定向:https://{HTTP_HOST}/{R:1} 重定向类型:已找到(302) 或 参阅其它(303) 选择应用就可以了。...
凌晨1点苹果举行的WWDC 2020年度全球开发者大会上苹果发布了iOS 14,首先公布了iPhone的新主屏幕设计。iOS对应用网格进行了更改,新屏幕的图标区域将可以扩大,从而实现小部件功能,用户可在主屏的小区域上叠加多个小工具,甚至可以根据不同的时间段,让最需要的那个小工具在前端显示。 小部件位于主屏幕左侧,大小不一,同时也可以被拖动到主屏幕上,还可以被添加到整天都在变化的智能叠放区域中。 下载地址: 点击下载...
代码签名为您的可执行文件提供了完整性,确保它们没有被修改或破坏。许多现代操作系统都需要代码签名,以保护其用户免受未知来源或真实性保证的代码的侵害。 与HTTPS相似,由证书颁发机构创建的受信任证书会颁发给个人或公司,以允许他们签名将被主要操作系统识别的代码。 代码签名最重要的部分之一就是时间戳。这是签名过程的一部分,该过程使软件和用户即使在证书过期后也可以识别有效的代码签名。 如果您的软件由于代码签名证书过期而停止运行,请考虑将对用户造成的影响以及如何对其进行修复。您是否可以推送更新,或者由于过期的签名,该机制也会被破坏?在紧急情况下开发和部署补丁需要多少费用?如果您的软件停止运行,您的用户会遭受自己的业务影响吗? 由于过期签名的影响很大,因此,良好地理解和记录代码签名过程以及始终为软件签名以保留签名非常重要。 带有时间戳记不仅是确保软件持续可用性的最佳做法,而且还提供了安全性好处。如果由于密钥泄露而需要吊销证书,则吊销日期之前签名的所有内容将继续起作用,并且任何新的签名均将无效。 我们将介绍时间戳记和最佳实践的背景,以确保您永远不会在软件签名中遇到任何意外问题。 什么是时间戳记? 带有时间戳记可将您的软件签名保留下来,以便在代码签名证书过期后,操作系统和其他软件可以接受该签名。在评估签名时,时间戳允许对照签名的时间(而不是执行软件的当前时间)来检查签名的有效性。 没有时间戳,签名将根据当前日期进行评估。您可能已经在几年前发布了软件,在这种情况下,您的证书将过期并且签名将不再有效。这将阻止用户运行您的软件,并且视平台而定,可能无法绕开它。 例如,您的代码签名证书在整个2017年(2017年1月1日至2017年12月31日)有效,并且您在2017年11月对可执行文件进行了签名并加了时间戳。用户下载了可执行文件并立即运行—他们的操作系统会检查时间戳并评估它是否在11月有效,而不是检查代码签名证书当前是否有效。它看到证书然后是有效的,并且签名被接受。 请注意,每次用户运行可执行文件时,都会对其进行签名检查。这意味着,如果您的证书过期且没有时间戳记,则该软件将突然对所有用户停止工作。 对于大多数软件,您将其分发给用户并希望其能尽可能长时间地工作—这使时间戳记成为签名过程中必不可少的一部分,以便您的软件可以继续使用多年。 时间戳本身已由您的CA签名并受到保护,使其不受篡改或欺骗的影响,并且具有加密安全性。将时间戳记视为反签名。 在Windows上,如果提供您的代码签名证书的CA不可信,则时间戳还可以使您的签名保持有效。 最佳实践 首先也是最重要的:使用时间戳记!在许多工具(例如Microsoft的SignTool)中,时间戳是可选的。确保您了解时间戳记如何与您的开发工具一起使用。我们提供最流行环境的文档,包括Windows,Mac OS和Java。 检查平台支持:SHA-2是用于标记签名的现代标准算法。但是,某些仍在使用的操作系统默认情况下不支持SHA-2-Windows 7仅支持带有修补程序的SHA-2。如果您认为较旧的操作系统在用户中很受欢迎,请考虑是否应使用SHA-1签名或带有两个证书的双重签名来支持这两种算法。 使之成为构建过程的一部分:更新软件时,将构建并发布新的可执行文件。确保签名和时间戳是该过程的一部分,以避免每个软件版本出现意外问题和错误。 记录过程:您比其他人更了解您的开发工具和过程。时间戳在签名过程中需要其他标志和命令,包括URL以便从CA安全地检索时间戳签名。确保人员或程序上的更改不会导致有人忘记正确签名您的软件。 限制密钥泄露的损害:时间戳记为操作系统提供了一种方法,用于识别是在证书吊销之前还是之后签发了签名的可执行文件。如果由于密钥泄露而需要吊销证书,则可以放心地这样做,而不会给您加盖时间戳的合法签名失效。将根据撤销日期检查时间戳记,并且在该日期之前发出的所有内容将继续有效。 证书过期的重要性 一个普遍的误解是,证书到期仅是证书颁发机构向您收取更多钱的机会。从技术角度来看,证书有效期是使系统正常运行所必需的PKI的基本部分,尤其是对于Web PKI而言,其中有多个独立的参与者正在交互。 PKI的主要目的之一是将身份(例如域名,组织或其他唯一标识符)绑定到公钥。使用任何类型的受信任证书,都会验证该身份以确保准确性。这使您(以及您使用的软件)有信心知道发给DigiCert.com/DigiCert,Inc.的证书确实归我们所有。对于代码签名,SSL和电子邮件证书,这是正确的。 例如,在您可以收到Software Developers LLC的代码签名证书之前。,您的CA供应商必须确保该公司确实存在,已正确注册并在您当地政府中享有良好信誉,并且您确实是该公司的雇员,有权申请证书。 到期是CA重新检查此信息以确保身份和公钥之间的绑定仍然正确的机会。这样,应该将受信任的证书视为类似于护照或驾驶执照的身份证明文件,该文件也将过期。签发您这些文件的政府希望偶尔能够确保信息仍然准确,并且您仍然有权使用和获取该文件。 如果没有过期,证书将无限期起作用,从而使密钥背后的身份随着年龄的增长而变得可疑。公司和域名易手,可以重新注册,并且拥有这些证书的员工会离开。您是否相信颁发该证书的人仍拥有2010年颁发的证书?2000年颁发的证书怎么样? 吊销是一种附加机制,可以指示何时不应再信任证书,但是由于多种原因(包括性能,客户端软件中缺少吊销状态检查以及可用性),无法将吊销作为主要原因。证书无效的方法。 证书到期还有其他多种原因-如果证书被盗用,可以确保在有限的时间范围内恶意使用该证书,并提供了使用新密钥对重新加密证书的机会(最佳做法),并升级到当前的加密方法,例如新的签名算法或更强的密钥。...
上个月,CAB论坛投票通过了193号提案,该提案将缩短SSL证书有效期,期限变化幅度最大的是从3年缩短到2年。 该举措是为了解决长有效期证书固有的安全和逻辑问题。 假设缩短有效期会影响到证书的部署和管理,那么我们会构思一个简要的概述,来解释那些使用(或计划使用)3年有效期SSL证书的人们会受到怎样的影响。 首先,简单做一下改变: 1、2018年3月1日生效。所有新的SSL证书将受到限制,其最长有效期为825天(2年零3个月的更新缓冲期)。这会影响到DV(域验证)和OV(机构验证)证书。 在此日期之前,允许证书颁发机构颁发3年有效期的证书。注意,有些机构可能会提前终止这种做法。 2、现在开始生效(2017年4月20日起),信息验证需要在你的SSL证书颁发/重新颁发后825天内完成。因为这个要求立即生效,所以对已存在的和新的3年有效期证书持有者会有一些不便,他们的证书需要在最后一年有效期内重新颁发。 更短的像有效期(1年)的证书不受以上变更的影响。 最长825天验证信息期限即时生效意味着,一旦你的验证时间已经过去了825天以上,它会失效,需要进行重新验证,才能获得新证书;如果超过825天期限,这种情况同样适用。这会对新的和已存在的证书产生影响。 在这种情形下,以下状况皆有可能发生: 你的业务/设备要求你尽可能降低更换证书的频率,所以你想尽可能长久使用3年有效期证书? 2018年3月前,你都可以得到新的3年有效期证书。这将允许你在2021年之前一直拥有一个3年有效期证书,但只有当你在2018年3月新的最大有效期规定生效以后不再重新颁发证书的情况下才能实现。 如上所述,有时会有一些安全漏洞或其他行业变化是你无法控制的,这可能会要求你重新颁发证书。在一些情况下,如SHA-1迁移,如果你并不在意被浏览器降低待遇,那么可能不会选择重新颁发你的证书。 注意,在行业强制性规定的截止日期前,一些机构在2018年3月前可能已停止颁发3年有效期证书。也就是说,想要赶在提案生效期前申上3年期证书,今年下半年就应着手准备啦! 你有一张已存在的OV证书,想要重新颁发它? 因为825天的验证信息最长期限规定目前已经生效,当重新颁发证书时,可能需要重新完善验证信息。 这一变化很快生效,并造成大量已有验证信息突然过期,对新的和已有的证书都有影响。 你是否受影响则取决于你的证书最初完成验证的时间。那个日期你可能并不记得,因为它并不一定与你的证书开始时间相同。变化也可能会对1年或2年有效期的OV证书产生影响。 如果你已经有了一个3年有效期证书,且要在有效期内最后一年重新颁发该证书,就需要重新进行验证。 验证是证明合法注册的公司存在的过程。当你的验证信息过期后,你将被要求重新完成这一过程,然后该验证将在未来825天内有效。 你有一张3年有效期证书(2018年3月以前颁发)需要在2018年3月以后重新颁发? 从技术角度来说,重新颁发证书和颁发新的证书是一样的。就如在2018年3月以后,所有新颁发的证书(包括重新颁发的)最大有效期都将是825天。 当你在2018年3月以后重新颁发已有证书时,它的有效期会被缩短到825天,以满足新的要求,以后就没什么区别了。 你有一张DV证书 从2018年3月开始,DV证书有效期将被限制在825天。在此日期之前,你可以继续获得3年有效期证书。但是,请完全了解你可能受到的影响,注意上述第一和第三种情境。 当你重新颁发一个DV证书时,重新验证域的所有权是常见做法。这很简单,几分钟就能完成,你只需要创建一个DNS记录,通过FTP上传一个文件到你的服务器,或确认一封电子邮件即可。 你有一张EV证书 EV证书不受这些变化的影响。因为他们满足认证的最高标准,EV证书的两个有效期都已受到更严格地限制。 EV证书有27个月的最长证书有效期限,其验证信息有效期最多只有13个月。目前没有计划缩短这两个期限,但是由于CAB论坛在安全方面提出了更高要求,EV证书有效期有可能会被限制在1年。...
当你搜索TLS(SSL)证书的时候会找到三种不同的类型,它们在价格和获取难度方面的差异很大。而你选择的种类将会影响浏览器对待你的证书的方式。在这篇文章中,我将探讨EV证书的存在意义,以及它是否真的划算?为了回答这些问题,我们首先需要了解三种类型的区别在哪儿。 很多人选择证书类型时往往优先对比价格,但一分价钱一分货,不同类型证书之间确实存在着实质的不同。而其差别在于,在证书颁发之前,CA会怎样对申请者进行核实。以下是对不同选项的简要概述: DV(域验证) 域验证是今天最常见的类型;对这些证书,CA只会对申请者是否拥有域的控制权进行核实,不管其它事情。有很多方法来做这件事,例如要求申请人在web服务器上某个文件中放置一个随机数。这些证书也是最便宜的,通常比一顿快餐的花费还少,甚至在某些CA(如Let’s Encrypt)那里是免费的。 DV证书由CA颁发,极少或没有人的互动,通常在申请人方面也是自动完成的。ACME之类的协议允许完全自动申请和颁发过程,这使你可以轻易的申请和更新证书——可以预定处理,完全不需要人的介入。 过去,HTTPS被看作是网站可信度的标志;对于一些典型的钓鱼网站来说,获得一个有效的HTTPS证书非常困难。在一项研究中,Dhamija等人对22人进行了识别钓鱼网站的测试,其中17人未检查连接安全标识。这表明,连接安全标识在防止钓鱼攻击方面的效果不好。到如今,HTTPS已不再是一个识别钓鱼网站的有益信号,因为支持HTTPS 的恶意网站已经变得很常见。 DV证书的目的是启用加密联接,它并不会验证是谁在管理着域,或他们是否诚实,或他们的域是否合法——唯一的目的就是在浏览器和服务器之间启用安全联接。 OV(机构验证) 相比之下,机构验证(也叫高可信度)证书要贵得多,大约每年200美元(最多可达到500美元)。由于需要额外的文书工作,其申请过程更复杂。相比DV来说,增加的价格很大程度上是审核过程的额外工作造成的;除了域的验证控制之外,CA还将检查文件以核实申请者是否为合法机构(通过许可证或法人文件)。 EV(扩展验证) EV证书最为昂贵,大约每年300美元(最多可能达到1000美元),EV证书的审核要求在OV证书的审核基础上有所增加,审核过程最为详细。它可能需要一些文件,如银行账户证明、地址证明、更详细的法人证明以及雇员作为证书申请人并得到授权的证明。 获得EV证书是一个复杂的过程,不仅需要时间,还需要技术人员的努力,以及公司行政部门提供所需要的文件。 CA的营销与竞争 由于多变的价格,CA会倾向于引导客户选择更贵的证书,毕竟OV和EV证书比DV证书产生的利润要多得多。由于少数CA提供免费DV证书以及业务规模庞大的Let’s Encrypt(其市场份额在去年已从5%增长到26%)的介入——从而导致了一场价格战,使这类证书没有了利润。这同时增加了CA对DV证书提供者的攻击,他们大力推动OV和EV的颁发。而这些攻击的焦点主要围绕DV证书在钓鱼攻击中的使用。 OV的价值值得商榷,至于它的使用情况到底怎么样,尽管有大肆宣传,但它并不比DV好。令CA感到苦恼的是,OV证书从浏览器那里得到的待遇和DV证书是一样的——两者之间没有明显差别,所以用户完全不知道你在OV证书上花了额外的钱。CA已经促使浏览器改变这一状况,使这些OV证书对得起它的成本,效果尚未显现。 另一方面,EV证书的确受到了浏览器的特殊对待,比如说Github: (在某些浏览器中)带有机构名称和地点的绿色栏是EV证书独有的特点,这使用户可以了解到证书颁发给谁。正是这个特殊的字段把EV与其它类型的证书区分开,给营销带来了动力。 安全性对比:DV vs. OV vs. EV OV和EV两种证书在价格和营销方面都有实实在在的区别,它们是否具有更好的安全性?NO! 不管你怎么看它,不管它卖得怎么样,事实是,全部三种证书的安全性都处在同一级别。它们之间唯一的实质性区别是,OV和EV证书包含一个额外的标识告诉浏览器该证书的类型。它们的加密方法是一样的,浏览器与服务器之间联接的安全性也没有变化。 那为什么不提升OV甚至EV证书的安全性呢?2008年的一篇学术论文对这个问题作了详细的解释。 EV证书和绑定 EV证书可以通过一种机制来增加安全性[1],也没有风险。对于从专门的中间商颁发证书的CA来说(这种情况并不常见),网站可用使用公钥绑定(HPKP)来绑定CA专门的DV中间商,保证只有EV证书可用——阻止DV证书(即使是来自同一个CA)被接受。尽管HPKP已经被预言即将死亡,但在小心使用的情况下,它仍是非常有用的。HPKP允许网站绑定用于特定证书的密钥,因此一旦浏览器见到只信任某些密钥的指示,它将会拒绝任何不匹配的密钥。但就像很多功能强大的工具一样,它也很容易出错。如果一个攻击者试图假冒一个站点(比如通过DNS劫持),这种绑定会阻止浏览器接受任何证书。它可能使网站崩溃较长的时间,且几乎没有恢复的能力。 有关一致性的争议 OV和EV证书的关键卖点——从客户营销和行业政策两方面讲——是这些证书的颁发都涉及一致性验证。争论在于,你可以更加信任那些使用这些证书的站点,就是因为某个CA的人核实过他们的身份。 但首先,这个争论依赖于一个关键点:用户知道DV和OV、EV的区别吗?很多时候,用户并不知道那个绿色的挂锁是什么,有何意义。如果它消失了,他们会注意吗? 基于浏览器的特殊对待,EV证书确实会被用户看到。为了防范钓鱼或类似攻击,EV证书保证了用户必须知道它的存在,且在它消失的时候能够及时发现。而一旦用户发现了异样,他们就会采取措施,离开该页面。 “尽管由于缺乏一些主流移动端浏览器和大型网站的支持,EV的作用被限制住了,但它无疑是一道反钓鱼的防线。”所有主要桌面浏览器都显示EV信息,但一些移动浏览器(包括安卓版Chrome和Opera浏览器)都不显示EV信息。一些较早的文献建议对EV标识进行改进。Jackson等人要求研究参与者识别钓鱼攻击,发现‘扩展验证不能帮助用户防御任何攻击’。当测试新的安全标识时,Sobey等人得出结论,Firefox 3的EV标识并不影响在线购物决策。” 一小部分用户将会理解这一点,并对改变有所了解——对这部分用户来说,它是有益的。因为这提供了另一条信息,使他们可以评估网站的信任度。然而研究表明,很少有人理解这种差别,因而效用也很小。 因此,EV证书的价值不在于技术安全,而在于对用户认知的潜在促进,帮助用户在输入敏感信息前提供更多信息。这是EV相对OV和DV证书的优势所在。 总结 EV证书的价值受到限制,它确实帮助了一些用户,但这个比例很低,可以将它与HPKP结合起来,使攻击者劫持DNS和成功实施中间人或重定向攻击的难度加大,但这样会带来HPKP的固有问题,可能会使网站完全瘫痪。如果你需要保护一个哪怕一次钓鱼攻击也不能承受的高度敏感的系统,它可能是值得的,但对其它系统来说,则需要仔细考量。 [1]. 尽管它有自己的限制,但仍会有第三方的问题,如JavaScript,它会提供另一条攻击渠道,而不能通过这种方法解决。当使用第三方的内容时,你也就接受了他们的弱点和他们给你的系统增加的风险。如果你依赖于EV+HPKP,但用的JavaScript库是来自使用DV证书的CDN,那么这会提供一个攻击向量绕过EV+HPKP。这就是Jackson和Barth建议使用httpev://URL方案来隔绝https:// URLs的原因,以此,只有使用EV证书的资源才会被加载。...
EV代码签名证书在原代码签名证书基础上加强对企业身份的验证。亚洲诚信目前主打的EV代码签名证书只有一款:Symantec 微软EV代码签名证书(Symantec EV Code Signing Certificates)。 该证书支持window 10内核驱动签名,微软WHQL徽标认证计划唯一合作伙伴。 微软从Windows Vista开始,在x64为系统上强制推行数字签名。即没有经过WHDL和RDS认证并数字签名的硬件驱动程序将无法在Vista x64版本上成功安装。在后续的Vista版本上,微软会逐步加强对数字签名的要求,最终要求所有的应用程序必须经过签名才能在Windows系统上运行。 针对EV代码签名证书,EasySSL提供全面的售前售后服务。如您有意申请此款证书,只需向客服人员提出申请,售前客服人员会给出详细的申请流程及购买流程指南。证书申请完成后,也不必为安装、部署证书感到苦恼。我们有专业的技术人员全程提供技术支持服务。 EasySSL -- 为您的软件安全保驾护航...