logo

EasySSL 是湖南赛云信息科技有限公司的注册商标。EasySSL 与 Sectigo (原 Comodo CA ) 有战略级别的合作关系,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的 SSL 证书颁发机构。

联系我们

0731-85818443

support@easyssl.com.cn


工作时间:周一到周日: 早10点 – 晚12点


长沙市雨花区万家丽中路一段中庭国际1613

全场5折起,联系客服获取优惠

电话:0731-85818443

Top

SSL文档

EasySSL® / SSL文档

通常情况下我们是用的都是http的路径,对于https的使用也很少,但是随着https的普及越来越多的域名访问需要用到https的,这个我们就演示怎么设置在我们对一个http的网站进行访问时候自动跳转至https下。 用到的工具及软件: 系统:windows2008R2 软件:IIS7.0,IIS的microsoft URL重写模块2.0 操作步骤: 1、我们需要下载并在IIS中安装microsoft URL重写模块2.0 下载地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=7435 下载安装后我们重启IIS,再打开后会发现在功能视图中又多出了个URL重写的功能: 2、对站点进行域名绑定 我们需要将https和http绑定在需要的站点上 3、进程SSL设置 在要求SSL的选择前取消勾选 4、在URL中新建规则 新建一个空白规则,让http的访问跳转到https上 起一个名字例如HTTP to HTTPS redirect 模式:(.*) 添加条件:{HTTPS} 模式:off 或 \^OFF$ 在操作设置中选择重定向:https://{HTTP_HOST}/{R:1} 重定向类型:已找到(302) 或 参阅其它(303) 选择应用就可以了。...

上个月,CAB论坛投票通过了193号提案,该提案将缩短SSL证书有效期,期限变化幅度最大的是从3年缩短到2年。 该举措是为了解决长有效期证书固有的安全和逻辑问题。 假设缩短有效期会影响到证书的部署和管理,那么我们会构思一个简要的概述,来解释那些使用(或计划使用)3年有效期SSL证书的人们会受到怎样的影响。 首先,简单做一下改变: 1、2018年3月1日生效。所有新的SSL证书将受到限制,其最长有效期为825天(2年零3个月的更新缓冲期)。这会影响到DV(域验证)和OV(机构验证)证书。 在此日期之前,允许证书颁发机构颁发3年有效期的证书。注意,有些机构可能会提前终止这种做法。 2、现在开始生效(2017年4月20日起),信息验证需要在你的SSL证书颁发/重新颁发后825天内完成。因为这个要求立即生效,所以对已存在的和新的3年有效期证书持有者会有一些不便,他们的证书需要在最后一年有效期内重新颁发。 更短的像有效期(1年)的证书不受以上变更的影响。 最长825天验证信息期限即时生效意味着,一旦你的验证时间已经过去了825天以上,它会失效,需要进行重新验证,才能获得新证书;如果超过825天期限,这种情况同样适用。这会对新的和已存在的证书产生影响。 在这种情形下,以下状况皆有可能发生:       你的业务/设备要求你尽可能降低更换证书的频率,所以你想尽可能长久使用3年有效期证书? 2018年3月前,你都可以得到新的3年有效期证书。这将允许你在2021年之前一直拥有一个3年有效期证书,但只有当你在2018年3月新的最大有效期规定生效以后不再重新颁发证书的情况下才能实现。 如上所述,有时会有一些安全漏洞或其他行业变化是你无法控制的,这可能会要求你重新颁发证书。在一些情况下,如SHA-1迁移,如果你并不在意被浏览器降低待遇,那么可能不会选择重新颁发你的证书。       注意,在行业强制性规定的截止日期前,一些机构在2018年3月前可能已停止颁发3年有效期证书。也就是说,想要赶在提案生效期前申上3年期证书,今年下半年就应着手准备啦! 你有一张已存在的OV证书,想要重新颁发它? 因为825天的验证信息最长期限规定目前已经生效,当重新颁发证书时,可能需要重新完善验证信息。 这一变化很快生效,并造成大量已有验证信息突然过期,对新的和已有的证书都有影响。 你是否受影响则取决于你的证书最初完成验证的时间。那个日期你可能并不记得,因为它并不一定与你的证书开始时间相同。变化也可能会对1年或2年有效期的OV证书产生影响。 如果你已经有了一个3年有效期证书,且要在有效期内最后一年重新颁发该证书,就需要重新进行验证。 验证是证明合法注册的公司存在的过程。当你的验证信息过期后,你将被要求重新完成这一过程,然后该验证将在未来825天内有效。 你有一张3年有效期证书(2018年3月以前颁发)需要在2018年3月以后重新颁发? 从技术角度来说,重新颁发证书和颁发新的证书是一样的。就如在2018年3月以后,所有新颁发的证书(包括重新颁发的)最大有效期都将是825天。 当你在2018年3月以后重新颁发已有证书时,它的有效期会被缩短到825天,以满足新的要求,以后就没什么区别了。 你有一张DV证书 从2018年3月开始,DV证书有效期将被限制在825天。在此日期之前,你可以继续获得3年有效期证书。但是,请完全了解你可能受到的影响,注意上述第一和第三种情境。 当你重新颁发一个DV证书时,重新验证域的所有权是常见做法。这很简单,几分钟就能完成,你只需要创建一个DNS记录,通过FTP上传一个文件到你的服务器,或确认一封电子邮件即可。 你有一张EV证书 EV证书不受这些变化的影响。因为他们满足认证的最高标准,EV证书的两个有效期都已受到更严格地限制。 EV证书有27个月的最长证书有效期限,其验证信息有效期最多只有13个月。目前没有计划缩短这两个期限,但是由于CAB论坛在安全方面提出了更高要求,EV证书有效期有可能会被限制在1年。...

当你搜索TLS(SSL)证书的时候会找到三种不同的类型,它们在价格和获取难度方面的差异很大。而你选择的种类将会影响浏览器对待你的证书的方式。在这篇文章中,我将探讨EV证书的存在意义,以及它是否真的划算?为了回答这些问题,我们首先需要了解三种类型的区别在哪儿。 很多人选择证书类型时往往优先对比价格,但一分价钱一分货,不同类型证书之间确实存在着实质的不同。而其差别在于,在证书颁发之前,CA会怎样对申请者进行核实。以下是对不同选项的简要概述: DV(域验证) 域验证是今天最常见的类型;对这些证书,CA只会对申请者是否拥有域的控制权进行核实,不管其它事情。有很多方法来做这件事,例如要求申请人在web服务器上某个文件中放置一个随机数。这些证书也是最便宜的,通常比一顿快餐的花费还少,甚至在某些CA(如Let’s Encrypt)那里是免费的。 DV证书由CA颁发,极少或没有人的互动,通常在申请人方面也是自动完成的。ACME之类的协议允许完全自动申请和颁发过程,这使你可以轻易的申请和更新证书——可以预定处理,完全不需要人的介入。 过去,HTTPS被看作是网站可信度的标志;对于一些典型的钓鱼网站来说,获得一个有效的HTTPS证书非常困难。在一项研究中,Dhamija等人对22人进行了识别钓鱼网站的测试,其中17人未检查连接安全标识。这表明,连接安全标识在防止钓鱼攻击方面的效果不好。到如今,HTTPS已不再是一个识别钓鱼网站的有益信号,因为支持HTTPS 的恶意网站已经变得很常见。 DV证书的目的是启用加密联接,它并不会验证是谁在管理着域,或他们是否诚实,或他们的域是否合法——唯一的目的就是在浏览器和服务器之间启用安全联接。 OV(机构验证) 相比之下,机构验证(也叫高可信度)证书要贵得多,大约每年200美元(最多可达到500美元)。由于需要额外的文书工作,其申请过程更复杂。相比DV来说,增加的价格很大程度上是审核过程的额外工作造成的;除了域的验证控制之外,CA还将检查文件以核实申请者是否为合法机构(通过许可证或法人文件)。 EV(扩展验证) EV证书最为昂贵,大约每年300美元(最多可能达到1000美元),EV证书的审核要求在OV证书的审核基础上有所增加,审核过程最为详细。它可能需要一些文件,如银行账户证明、地址证明、更详细的法人证明以及雇员作为证书申请人并得到授权的证明。 获得EV证书是一个复杂的过程,不仅需要时间,还需要技术人员的努力,以及公司行政部门提供所需要的文件。 CA的营销与竞争 由于多变的价格,CA会倾向于引导客户选择更贵的证书,毕竟OV和EV证书比DV证书产生的利润要多得多。由于少数CA提供免费DV证书以及业务规模庞大的Let’s Encrypt(其市场份额在去年已从5%增长到26%)的介入——从而导致了一场价格战,使这类证书没有了利润。这同时增加了CA对DV证书提供者的攻击,他们大力推动OV和EV的颁发。而这些攻击的焦点主要围绕DV证书在钓鱼攻击中的使用。 OV的价值值得商榷,至于它的使用情况到底怎么样,尽管有大肆宣传,但它并不比DV好。令CA感到苦恼的是,OV证书从浏览器那里得到的待遇和DV证书是一样的——两者之间没有明显差别,所以用户完全不知道你在OV证书上花了额外的钱。CA已经促使浏览器改变这一状况,使这些OV证书对得起它的成本,效果尚未显现。 另一方面,EV证书的确受到了浏览器的特殊对待,比如说Github: (在某些浏览器中)带有机构名称和地点的绿色栏是EV证书独有的特点,这使用户可以了解到证书颁发给谁。正是这个特殊的字段把EV与其它类型的证书区分开,给营销带来了动力。 安全性对比:DV vs. OV vs. EV OV和EV两种证书在价格和营销方面都有实实在在的区别,它们是否具有更好的安全性?NO! 不管你怎么看它,不管它卖得怎么样,事实是,全部三种证书的安全性都处在同一级别。它们之间唯一的实质性区别是,OV和EV证书包含一个额外的标识告诉浏览器该证书的类型。它们的加密方法是一样的,浏览器与服务器之间联接的安全性也没有变化。 那为什么不提升OV甚至EV证书的安全性呢?2008年的一篇学术论文对这个问题作了详细的解释。 EV证书和绑定 EV证书可以通过一种机制来增加安全性[1],也没有风险。对于从专门的中间商颁发证书的CA来说(这种情况并不常见),网站可用使用公钥绑定(HPKP)来绑定CA专门的DV中间商,保证只有EV证书可用——阻止DV证书(即使是来自同一个CA)被接受。尽管HPKP已经被预言即将死亡,但在小心使用的情况下,它仍是非常有用的。HPKP允许网站绑定用于特定证书的密钥,因此一旦浏览器见到只信任某些密钥的指示,它将会拒绝任何不匹配的密钥。但就像很多功能强大的工具一样,它也很容易出错。如果一个攻击者试图假冒一个站点(比如通过DNS劫持),这种绑定会阻止浏览器接受任何证书。它可能使网站崩溃较长的时间,且几乎没有恢复的能力。 有关一致性的争议 OV和EV证书的关键卖点——从客户营销和行业政策两方面讲——是这些证书的颁发都涉及一致性验证。争论在于,你可以更加信任那些使用这些证书的站点,就是因为某个CA的人核实过他们的身份。 但首先,这个争论依赖于一个关键点:用户知道DV和OV、EV的区别吗?很多时候,用户并不知道那个绿色的挂锁是什么,有何意义。如果它消失了,他们会注意吗? 基于浏览器的特殊对待,EV证书确实会被用户看到。为了防范钓鱼或类似攻击,EV证书保证了用户必须知道它的存在,且在它消失的时候能够及时发现。而一旦用户发现了异样,他们就会采取措施,离开该页面。 “尽管由于缺乏一些主流移动端浏览器和大型网站的支持,EV的作用被限制住了,但它无疑是一道反钓鱼的防线。”所有主要桌面浏览器都显示EV信息,但一些移动浏览器(包括安卓版Chrome和Opera浏览器)都不显示EV信息。一些较早的文献建议对EV标识进行改进。Jackson等人要求研究参与者识别钓鱼攻击,发现‘扩展验证不能帮助用户防御任何攻击’。当测试新的安全标识时,Sobey等人得出结论,Firefox 3的EV标识并不影响在线购物决策。” 一小部分用户将会理解这一点,并对改变有所了解——对这部分用户来说,它是有益的。因为这提供了另一条信息,使他们可以评估网站的信任度。然而研究表明,很少有人理解这种差别,因而效用也很小。 因此,EV证书的价值不在于技术安全,而在于对用户认知的潜在促进,帮助用户在输入敏感信息前提供更多信息。这是EV相对OV和DV证书的优势所在。 总结 EV证书的价值受到限制,它确实帮助了一些用户,但这个比例很低,可以将它与HPKP结合起来,使攻击者劫持DNS和成功实施中间人或重定向攻击的难度加大,但这样会带来HPKP的固有问题,可能会使网站完全瘫痪。如果你需要保护一个哪怕一次钓鱼攻击也不能承受的高度敏感的系统,它可能是值得的,但对其它系统来说,则需要仔细考量。 [1]. 尽管它有自己的限制,但仍会有第三方的问题,如JavaScript,它会提供另一条攻击渠道,而不能通过这种方法解决。当使用第三方的内容时,你也就接受了他们的弱点和他们给你的系统增加的风险。如果你依赖于EV+HPKP,但用的JavaScript库是来自使用DV证书的CDN,那么这会提供一个攻击向量绕过EV+HPKP。这就是Jackson和Barth建议使用httpev://URL方案来隔绝https:// URLs的原因,以此,只有使用EV证书的资源才会被加载。...

DV SSL(Domain Validation SSL Certificate) 翻译成中文为:域名型证书。该证书在目前主流的三种SSL证书(DV SSL、OV SSL、EV SSL)分类中信任等级一般。主要是因为该证书在签发过程中,CA机构(Certificate Authority)仅进行了CLASS 1 等级的身份验证,即通过邮件、文件或是代码等方式验证网站域名的所有权。验证过程中无需提交纸质材料,也无人工审核环节。因此审核流程相对其他两种证书来说更为快速便捷。具有申请简单、签发快速等特点。 ...

SSL握手 证书主要作用是在SSL握手中,我们来看一下SSL的握手过程 1. 客户端提交https请求 2. 服务器响应客户,并把证书公钥发给客户端 3. 客户端验证证书公钥的有效性 4. 有效后,会生成一个会话密钥 5. 用证书公钥加密这个会话密钥后,发送给服务器 6. 服务器收到公钥加密的会话密钥后,用私钥解密,获取会话密钥 7. 客户端与服务器双方利用这个会话密钥加密要传输的数据进行通信 见下图: SSL证书作用 https 起到了以下几个作用 1. 帮助客户端对服务器身份进行验证 2. 让需要传输的数据加密化 3. 验证传输的数据是否完整...

文档签名证书使电子文档可以合法的识别文档所属身份信息。能够向文件接收方证明文件签署人的身份。同时保证单子文档在网络传输过程中没有被篡改。 文档签名证书可用于企业与企业之前电子文档、合同等签名。 文档签名证书,通过国际认证,支持移动平台和各种操作系统,支持Adobe系列产品和Office 证书名称 文档签名证书 品牌 CFCA 分类 个人版、企业版 国际认证 ✔︎ 移动端支持 ✔︎ 支持 Adobe系列、Office系列 自动防篡改 ✔︎ 客户服务支持 7*24 小时多渠道售后技术支持 立即购买 ...

EasySSL 已与中国金融认证中心(CFCA)正式达成战略合作伙伴关系。自此,EasySSL成为CFCA旗下SSL证书、文档签名证书产品在云计算/主机行业的独家运营商。 目前,EasySSL只有一款文档签名证书产品:CFCA文档签名证书。CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商,一直致力于创建高水准的基础设施条件和管理体系。而此次推出的这款文档签名证书已通过国际Webtrust审计与认证,拥有国内,国际双资质。并且使用 CFCA 文档签名证书进行的数字签名,符合我国《电子签名法》,这就使得CFCA签名过的电子文档与传统的纸质盖章,手写签名具有同等的法律效力。具有自动防篡改功能,高级版签名证书私钥保存在 Ukey 或加密机中,在获取高防护的同时,兼具便捷、省时的特性。 CFCA文档签名证书的特点: CFCA 文档签名证书经过 Trust Service Principles and Criteria for Certification AuthoritiesVersion 2.0 国际认证规范审计,并取得对应 Webtrust 认证。 CFCA 文档签名根证书 CFCA Identity CA 已正式入根Adobe及微软根证书库信任列表,这标志着 CFCA 文档签名证书已在国际上被全面认可和信任, 产品全球通用。 支持所有移动端平台、支持国内外各种操作系统中的 Adobe 系列产品(如 Adobe reader, Adobe Acrobat)和 Office 系列产品(如 Word,Excel,PowerPoint,office365 及微软在线 Office 平台)。 具备自动防篡改功能,一旦证书签名的文档被修改,签名处即会打“X”,提示用户此文档在签名后遭修改,真实性及合法性存疑。 高级版签名证书私钥被保存在 UKey...

HTTPS HTTPS 中文译名叫做:超文本传输安全协议。它是经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的的主要目的是提供对网站服务器的身份验证,保护交换数据的隐私与完整性。 下图为安装了EV SSL证书的EasySSL官网示例 技术支持         与HTTP的区别: 与HTTP的URL由“http://”起始且默认使用端口80不同,HTTPS的URL由“https://”起始且默认使用端口443。 HTTP是不安全的,且攻击者通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等。HTTPS被设计为可防止前述攻击,并在正确配置时被认为是安全的。         安装指南: 前文提到HTTPS主要是针对网站服务器进行身份验证,因此网站的服务器运行环境也导致了SSL证书的安装有所不同,需要根据用户网站的实际服务器进行安装部署SSL证书。具体安装操作可以参考EasySSL的数字证书使用指南。 安装过程中还有一些需要注意的场景也在《SSL证书如何安装》一文中指出。 凡在我司购买SSL证书,我司将全程提供服务支持。 EasySSL--全球数字证书领导者Digicert白金战略合作伙伴,亚洲顶尖的网络安全服务商。 致力于为各大、中、小企业提供网络安全,品牌保护以及个人网站的安全防护...

摘要 说起SSL证书的时候,势必会提到CSR这么一个词汇,本文就围绕CSR是什么,什么样,如何生成等内容做个详细的说明。 关键字:CSR,SSL证书,SSLtool CSR是什么 CSR是Certificate Signing Request的英文缩写,即证书签名请求文件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。 CSR什么样 CSR是以-----BEGIN CERTIFICATE REQUEST-----开头,-----END CERTIFICATE REQUEST-----为结尾的base64格式的编码。将其保存为文本文件,就是所谓的CSR文件。 CSR如何生成 目前,CSR生成工具非常多,比如openssl工具,keystore explore,XCA等,这里介绍一款在线工具:https://www.easyssl.com.cn/tools 这里有几个关键的要注意下: 域名必须正确输入(如果是非SSL证书,则输入相应的通用名)。 密钥算法选择RSA的话,密钥长度需要2048bit以上(这个默认是2048,没有特殊情况,不要特殊设置);ECC则是256bit以上。 摘要签名虽说目前可以任意,但建议是sha2-256以上。 CSR生成注意事项 匹配的KEY必须保存 有CSR必定有KEY,是成对的,CSR最终变成为证书,和私钥key配对使用。Key是以-----BEGIN RSA PRIVATE KEY-----开头的,-----END RSA PRIVATE KEY-----结尾的。Key必须保存好。 CSR生命周期 证书下发后,CSR无需使用,仅提交时候需要。...

针对java容器,如tomcat,jboss(resin,jetty这两个第三步另有文件)等,都可以用keystore(jks)文件来部署证书。 获取JKS格式的证书 通过mpki下的订单 1、登录https://www.easyssl.com.cn。 2、查看订单后,操作:证书下载。 3、输入订单密码(下订单时候设置的),新设置一个证书密码(之后会用到),选择JKS格式。 4、确定提交后,将下载到一个jks文件,此jks文件的密码就是刚才设置的证书密码。 非mpki,单独生成私钥key文件的 1、获取生成jks文件的需要的文件。这里需要2个文件,1个是私钥文件(此文件是和下订单提交的csr文件一并生成的,文件名里一般保存带有key,用记事本或者vi打开后,开头内容是-----BEGIN RSA PRIVATE KEY-----),可以咨询下提交订单的同事,这个文件没有的话,是无法部署的。另一个文件是证书文件,从证书邮件里,复制第一段(邮件里可能有好几段证书代码,这里第一段指的是您的SSL证书),-----BEGIN CERTIFICATE-----到-----END CERTIFICATE----,保存为server.crt. 这样,就获得了2个文件: 1个是证书文件server.crt; 1个是私钥文件key.txt (任何后缀都可以)。 2、用第一步里的2个文件到这里生成一个jks文件 https://www.easyssl.com.cn/tools/cert-converter 所填项如下: 源格式 pem; 目标格式 jks; 证书文件 选择第一步里的server.crt; 私钥文件 选择第一步里的 key.txt; Pem私钥密码——不填。 3、密钥库密码和确认密码,自己设置一个,不加特殊符号,一会配置文件里用到(如server.xml)。 4、提交后就能或者一个你们域名的jks文件。 到java容器中部署证书 把jks上传到java容器在的服务器上,路径只要不是webapps下就可以,然后到conf目录下server.xml里配置: <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="conf\domain.jks" keystorePass="pwd" clientAuth="false" sslProtocol="TLS"/ 这个connector元素默认被注释掉的,打开注释后添加一些属性,如: keystoreFile指向刚才的jks文件; keystorePass值为jks密码,就是刚才第二步里设置的密码; Port是端口; SSLEnable是开启ssl的意思; 保存修改后重启容器即可。 Java容器中的http自动跳转https的安全配置 1、到conf目录下的web.xml。在</welcome-file-list>后面,</web-app>,也就是倒数第二段里,加上这样一段: <security-constraint> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> 这步目的是让非ssl的connector跳转到ssl的connector去。所以还要配置一步。 2、到server.xml去修改 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> redirectPort改成ssl的connector的端口443 重启后便会生效。...

在线客服
在线客服
热线电话
QQ客服