沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

爆英美入侵手机卡 全球用户遭监控

美国监控丑闻揭秘者斯诺登再爆猛料,英美入侵手机卡系统,全球用户信息遭到监控。据其提供的文件显示,美国和英国情报部门曾用黑客手段侵入手机SIM卡制造巨头金雅拓公司的内部系统,旨在通过产品交付环节获取SIM卡密钥从而监控全球手机用户。该入侵SIM卡入侵事件再度引起国家相关部门的高度关注。随着入侵和监控消息的持续发酵,信息安全问题再次被推向了一个全新的高度。 自斯诺登事件爆发以来,国家政府部门不断加大对信息安全领域的政策扶持力度。财政部日前制定的《2015年政府采购工作要点》就明确提出,进一步发挥政府采购政策功能,完善政府采购云计算服务、大数据及保障国家信息安全等方面的配套政策,支持相关产业发展。早前还有外媒报道,中国政府采购名单已剔除苹果、思科等部分全球知名品牌,同时增加了更多的本土品牌。 随着互联网和移动互联网的发展渗透,云计算、大数据、智慧城市、移动支付等细分领域不断创新,信息安全技术需求将会持续增长。从国家政府层面来看,网络信息安全已经关系到国家安全和公共利益安全。企业和网民个人层面,也对信息化时代商业机密信息和个人隐私信息的保护问题高度关注。 根据《CNNIC第35次中国互联网络发展状况统计报告》,2014年,我国总体网民中有46.3%的网民遭遇过网络安全问题。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%。调查显示,有48.6%的网民表示我国网络环境比较安全或非常安全,49%的网民表示互联网不太安全或非常不安全。互联网安全感丧失和网络信任危机爆发对人民生活以及互联网健康快速发展带来了消极影响。 沃通CA作为国产品牌数字证书签发机构,始终致力于保障在线安全和建立在线信任!为了让互联网更加安全可信,专注提供基于PKI技术的产品应用和解决方案,解决互联网在线安全与信任问题,为构建开放、安全、负责任的互联网环境提供技术支撑。通过SSL证书、代码签名证书、客户端证书的产品组合,解决互联网服务器端、客户端、传输数据(软件/文件等)这三大构成要素的安全和可信问题。沃通CA还推出了2年期的多域名免费SSL证书,广大站长0成本即可对网站进行传输数据加密,为推动中国https站点普及、构建更安全的互联网环境贡献力量。 此次手机入侵监控事件的爆光,将进一步加强大众对信息安全的关注。国家相关信息安全支持政策有望加速落地,推动国产信息安全产业的发展。 沃通CA倡议网民养成安全的网络使用习惯,保护个人隐私;倡议网络服务提供者建立安全保护机制,保障用户的安全权益。    

http认证原理和https工作流程

一、http认证原理 http定义了两个官方认证:基本认证和摘要认证,两者遵循相同的流程: 1 客户端发起GET请求 2 服务器响应401 Unauthorized,WWW-Authenticate指定认证算法,realm指定安全域 3 客户端重新发起请求,Authorization指定用户名和密码信息 4 服务器认证成功,响应200,可选Authentication-Info 【基本认证】 将“用户名:密码”打包并采用Base-64编码 缺点:密码很容易被窥探,可以挟持编码后的用户名、密码信息,然后发给服务器进行认证;可以与SSL证书配合,隐藏用户名密码; 【摘要认证】 不以明文发送密码,在上述第2步时服务器响应返回随机字符串nonce,而客户端发送响应摘要 =MD5(HA1:nonce:HA2),其中HA1=MD5(username:realm:password),HA2=MD5(method:digestURI)。在HTTP 摘要认证中使用 MD5 加密是为了达成”不可逆的”,也就是说,当输出已知的时候,确定原始的输入应该是相当困难的。 如果密码本身太过简单,也许可以通过尝试所有可能的输入来找到对应的输出(穷举攻击),甚至可以通过字典或者适当的查找表加快查找速度。 【http摘要认证安全性增强】 1 密码并非直接在摘要中使用,而是 HA1 = MD5(username:realm:password)。这就允许一些实现(如,JBoss DIGESTAuth)仅存储 HA1 而不是明文密码。 2 在 RFC 2617 中引入了客户端随机数 nonce,这将使客户端能够防止选择明文攻击(否则,像Rainbow table这类东西就会成为摘要认证构架的威胁)。 3 服务器随机数 nonce 允许包含时间戳。因此服务器可以检查客户端提交的随机数 nonce,以防止重放攻击。 4 服务器也可以维护一个最近发出或使用过的服务器随机数nonce的列表以防止重用。 【http摘要访问认证缺点】 1 RFC 2617 中的许多安全选项都是可选的。如果服务器没有指定保护质量(qop),客户端将以降低安全性的早期的 RFC 2069 的模式操作。 2 摘要访问认证容易受到中间人攻击。举例而言,一个中间人攻击者可以告知客户端使用基本访问认证或早期的RFC 2069摘要访问认证模式。 进一步而言,摘要访问认证没有提供任何机制帮助客户端验证服务器的身份。一些服务器要求密码以可逆加密算法存储。但是,仅存储用户名、realm、和密码的摘要是可能的。它阻止了使用强密码哈希函数(如bcrypt)保存密码(因为无论是密码、或者用户名、realm、密码的摘要都要求是可恢复的)。 二、https工作流程 【https】 将http同一组基于证书的加密技术组合一起,SSL介于http和tcp之间,负责http报文的加密和解密; 若URL为https,客户端打开一条到服务器443端口的连接,以二进制格式与服务器握手交换SSL安全参数,并附上加密的http命令; SSL协议可分为两层: (1)SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 (2)SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 【服务器认证阶段】 1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接; 2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息; 3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器; 4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。 【用户认证阶段】 经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。 【握手过程】 SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。 ①客户端的浏览器向服务器传送客户端SSL 协议的版本号,加密算法的种类,产生的随机数。 ②服务器向客户端传送SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。 ③客户利用服务器传过来的信息验证服务器的合法性,证书是否过期,发行服务器证书的CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名” ④客户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥对其加密,传给服务器。 ⑦服务器和客户端用相同的主密码,即对称密钥用于SSL 协议的安全数据通讯的加解密通讯 【https隧道】 建立连接时客户端采用服务器的公开密钥对发送数据加密,代理就无法读取http首部,也就不知道将请求转向何处; https ssl隧道协议允许客户端先告知代理欲连接的服务器和端口,即通过connect方法明文发送端点信息,代理建立同服务器的tcp连接,客户端直接采用此隧道同服务器通信; 隧道:通过http连接发送非http流量     【上述相关名词解释】 (1)密钥:改变密码行为的数字化参数; 对称密钥加密:编码、解码采用同一个密钥,通信双方对话前一定要有一个共享的保密密钥;破解者需要遍历每一个可能密钥; 公开密钥加密:使用两个非对称密钥,分别用于编码和解码,前者是公共的,后者只有本地主机保存;RSA为MIT发明的公开密钥加密系统; (2)数字签名 即加密的校验和,可防止报文被篡改; 1 A将变长报文提取为定长摘要,对其应用签名函数(使用用户的私钥作参数),将签名附加在报文末尾; 2 B接收报文时对签名进行检查,使用公开密钥进行反函数,若拆包后摘要与明文摘要不匹配,说明报文被篡改或没有使用A的私钥; (3)数字证书 包含:对象名;过期时间;证书发布者;公开密钥;数字签名;大部分证书都使用X.509 V3格式; 通过https建立一个安全web事务后,浏览器会主动获取服务器的数字证书,若没有证书则安全连接失败; 更多相关信息请前往沃通CA数字证书网了解更多www.wosign.com

春节钓鱼网站数量激增 上网购物谨防钓鱼陷阱

春节假期,大家都处于放松愉悦的节日氛围当中,花钱最任性,警惕性最低,钓鱼网站、中奖诈骗在你放松警惕的时候也悄然来袭,用户在此刻很容易在网上受骗。国内品牌数字证书颁发机构沃通CA提醒大家,节假日上网、购物谨防钓鱼网站和中奖诈骗。 据了解,每一年节假日期间都是钓鱼网站、挂马网站疯狂肆虐的时候,无数的假淘宝,假京东,假机票车票的钓鱼网站开始浮出水面。假冒投资理财网站以及利用微信等新媒介进行网络诈骗现象更加显著。每到节假日都有很多网民身陷钓鱼陷阱。根据监测数据显示,去年“双十一”开始后的9个小时内就有超过4000万次钓鱼网站发动攻击。 今年春节期间全国各省份钓鱼网站、网络诈骗激增。虽然现在大家都在过节,可是“钓鱼界”并不休息,沃通CA提醒网民:当面对陌生网站跳出的需要输入个人信息尤其是银行帐号信息的时候一定要谨慎,收任何红包都不需要输入密码,凡是需要输密码的“红包”都是骗局。 为了让公众“安”度春节, 安全数字证书颁发机构沃通CA告诉大家节假日上网购物如何预防钓鱼网站,如何安全上网购物! 1、网上购物,网银支付认准https链接,https链接是经过SSL证书加密的安全链接,取得SSL证书需要向合法CA机构(如沃通CA)进行申请,CA机构会对申请者合法性和真实身份进行严格的审查,审查通过后才能给其颁发SSL证书实现网站https加密;一般正规合法的网购站点和网银站点都会部署SSL证书,部署SSL证书后实现https加密访问,网址开头会出现绿色的安全锁表示数据已加密;部署了EV SSL证书的站点在访问网址时还会显示绿色的地址栏告诉用户访问的是安全可信的正规站点。如果您正在访问的购物网站或者网上银行没有出现https链接,建议谨慎访问,并进行多方渠道进行网站真实合法性核实。 2、记住常用的网银等网上交易网站的网址,当你看到陌生的网址时就需要注意了,钓鱼网站做的再像,但网站的域名是没办法模仿的,我们可以通过网站的域名进行判别该站是否是钓鱼网站。 3、钓鱼网站不能验证你账号的准确性,当你怀疑某个站是钓鱼网站时,可以输入错误的账号和密码,如果这时候还依然提示登录成功,那么这个网站就一定有问题了。 4、不要轻信网上的各种中奖信息,现在的钓鱼网站会通过手机短信,电子邮件甚至QQ消息进行推广,大意都是说你中了奖,点击某链接领取,这个时候千万还留意,不要随便点击。 5、养成定期杀毒给电脑和手机杀毒的好习惯。 6、春运买票、退票、改签无需转账到“个人账户”,凡涉及转账到个人账户,及打开网站就提示因系统升级需要电话办理业务的100%是骗子。 国内品牌CA机构沃通wosign始终致力于建立在线安全和在线信任,让互联网更加安全可信,提供SSL证书,代码签名证书,客户端证书,移动互联网专用安全证书,EV国际认证等多种安全产品为互联网站点的数据安全保驾护航。为了营造更安全的互联网环境,大力推动https站点在中国的普及,沃通CA全球率先推出了2年期的多域名免费SSL证书,受所有浏览器信任,支持中文和英文,零成本即可实现网站数据SSL证书加密。

网上银行假冒网站井喷 网民谨防资金和信息被窃

近日,据安全厂商监测发现,金融类的钓鱼网站数量在近两个月出现了加速增长的趋势,其中峰值数据一度达到523个,针对工商银行的钓鱼网站更是在短短3天内增加了40个。这些钓鱼网站在界面和域名上高度模仿银行官方网站,以骗取用户的银行账号、密码甚至个人财产。 根据监测显示,在最近两个月,针对银行的网络钓鱼网站数量快速增长,这很可能导致大量用户误入钓鱼网站。为了让用户误以为访问的是银行官方网站,不法分子对银行官网进行了全面山寨。这些网站多数会使用和官方网站类似的域名(如icbc***.com),或者包含有和银行客服电话一样的数字(如***95588.com)。而且,其界面与官方网站也极为相似,识别难度很高。当用户点击这些钓鱼网站并试图访问网上银行时,网站会弹出和官方网站相似的登陆框。一旦用户输入账号、密码、身份证号并点击登录,这些机密信息就会被不法分子偷偷上传到指定的服务器。而且,不法分子还会谎称用户需要升级密码器,以诱导用户输入密码器中的密码来进行“验证”。实际上,这个“密码器”内嵌恶意代码,用户输入的密码会被不法分子直接获取。 安全专家指出,银行类钓鱼网站不仅在数量上出现了大幅增加,复杂性与识别难度上也有所提升。这些钓鱼网站涉及到不同的黑客和诈骗团伙,有着不同的犯罪手段。沃通CA建议用户在使用网上银行,网上支付,网上购物时要注意识别网站是否使用https加密链接,是否经过SSL证书认证。凡是正规的银行网站以及大型电商网站都部署了合法CA机构颁发的SSL证书,实现了https加密访问和真实身份认证,能有效的防止用户名密码被窃取和篡改。部署了SSL证书的网站,会在浏览器地址栏的开头显示一把绿色的安全锁,提示该网站经过SSL证书加密;部署了EVSSL证书的网站,地址栏会变成绿色,还会在地址栏显示公司名称,可放心进行访问;如果您访问的网上银行和电商网站不是https链接访问,要特别注意其身份的真实性,建议通过官方电话进行网址真实性核实。 随着移动金融的进一步普及和流行,移动端的钓鱼网站猖獗,仿造手机银行的钓鱼网站也开始增多,手机用户切不可掉以轻心。为了让移动互联网更加安全可信,国内品牌CA机构沃通CA率先推出了适合于移动互联网的SSL证书和客户端证书,保障移动互联网数据传输安全。点击移动互联网ECC SSL证书了解更多。 要防范钓鱼网站的威胁,建议大家务必认准通过SSL证书加密的银行网站更为保险。 拓展阅读:什么是SSL证书? SSL全称安全套接层协议(Secure Sockets Layer),是NetScape (网景)公司于1994年提出的互联网信息加密传输协议,其目的是为客户端(浏览器) 到服务器端之间搭建一条加密通道,建立SSL连接保证数据在传输过程中不被窃取或篡改,确保机密信息的保密性、完整性和可信性,SSL协议目前已成为国际标准。SSL 证书就是遵守SSL协议的服务器数字证书,由受信任的证书颁发机构(沃通CA)验证服务器身份后颁发,具有网站身份验证和加密传输双重功能。 网站安装SSL证书后,使用https加密协议访问网站,为客户端(浏览器) 到服务器端之间搭建一条加密通道,实现高强度双向加密传输,保证用户机密信息安全。 安装SSL证书的网站在访问时浏览器地址栏显示可安全锁标识,点击可查询网站的真实身份,安全可信一目了然,能有效的识别网站是钓鱼网站还是安全网站。 沃通CA为推动国内https站点的普及,推出了永久免费的,支持多域名的SSL证书供大家免费使用,0成本加密网站,让互联网更加安全!申请地址:http://freessl.wosign.com

安全上网八大注意事项

互联网四通八达,给我们的生活带来了极大的便利,同时也存在诸多的安全隐患。各种病毒木马,钓鱼欺诈网站横行,让众多网民上当受骗,遭受巨大财产损失。本文从网银信息、身份信息、网站账户和密码等涉及网民资金安全和个人隐私方面出发,总结安全上网的八大注意事项供大家借鉴,让大家安全愉快的上网。 一、给自己的电脑和手机安装杀毒软件,定期杀毒应该成为一种习惯。 二、进行网银、支付宝操作时,要认准https链接,确保登录的网址经过SSL证书加密和真实身份认证。如图1所示: 三、在网上购物,要选择正规、大型电商,一般正规、大型的电商网站都会部署EV SSL证书保障数据安全。同时设置复杂支付密码,并定期更换,最好选择“密码+校验码”双重验证。 四、在网站注册账号时,只填带*号的必填项,尽量提供最少的信息。 五、不随意打开陌生邮件,尤其是带附件的邮件或者声称中大奖的邮件。 六、尽量别“蹭网”。 七、如今在微信上测性格、运势等链接泛滥。这些链接通常会要求你提供姓名、年龄等基本信息,后台还会直接获取你的手机号码等信息。 八、不要把个人敏感照片、数据上传到不安全的云端。 沃通wosign数字证书,让互联网更加安全可信!提供多种ssl证书、代码签名证书、客户端证书、移动互联网安全专用证书、EV国际认证等多种安全产品和服务,2015年推出永久免费、支持多域名的DV免费SSL证书申请!0成本加密您的网站数据!免费SSL证书申请地址:http://freessl.wosign.com

Superfish事件:自签名SSL证书惹的祸

春节期间爆发的“Superfish”事件持续发酵,引发整个社会舆论的大哗。Superfish是一款广告应用软件,内置的算法可以帮助用户找到和发现产品,在搜索引擎中对购物进行图片分析、搜索以找到更低的价格,其实算是广告软件中比较优秀的。联想与“Superfish”合作可提升用户体验,开拓软硬件结合的获利模式,本来是一件好事,为何却酿成如此大的品牌危机?这款电脑预装软件究竟具有怎样的安全风险呢?   据国外研究人员表示,导致Superfish引发安全风险的始作俑者是由Komodia公司提供的SDK(Software Development Kit,软件开发工具包),该SDK生成不受浏览器信任的自签名SSL证书,使用了较弱的加密算法,使用该SDK的产品在每台计算机上内置的根证书是相同的,而且证书密码都是“komodia”,极易导致SSL的中间人攻击。这意味着安装了Superfish的用户电脑和网站服务器之间的加密信息可被解密、篡改,而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击,用户可能面临隐私泄漏、被钓鱼等严重威胁。如此看来,消费者的愤怒就不难理解了。 ​ 国内知名数字证书颁发机构沃通WoSign的安全专家认为,因为自签名SSL证书导致如此大的安全漏洞,最终毁掉了一个好产品和一个极具前景的项目,是非常可惜的。该专家解释道,自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多软件开发商为了节约成本,采用自签名SSL证书,其实是给自己的产品埋下了一颗定时炸弹,随时可能被黑客利用。   这一事件给合作三方都带来了巨大负面影响,也给所有厂商敲响警钟,无论是硬件提供商或是软件开发商,都有责任为用户提供更好、更安全的产品,本着对用户负责的态度,加强产品的安全性能,尊重用户的隐私,保护用户的数据安全。   沃通安全专家介绍称,为了让更多用户享受更安全的产品和互联网环境,沃通WoSign全球率先提供2年期的多域名免费SSL证书,受所有浏览器信任,让所有开发商零成本实现SSL加密安全,无需再使用安全风险极高的自签名SSL证书。   沃通WoSign是全球信任的CA机构,连续多年通过Webtrust国际审计,严格按照国际标准验证审核,可签发正规SSL证书,即使是免费SSL证书,也必须通过审核才能签发,不能随意获取。沃通CA签发的证书受所有浏览器信任,一旦遭遇中间人攻击,浏览器会自动报警提醒用户,有效防止中间人劫持和钓鱼攻击。沃通WoSign也将持续提供更优质的安全产品和服务,守护用户的数据安全。    

联想的 Superfish 事件到底是怎么回事?

春节期间,国人都在享受愉快的假期,而中国 IT 的巨头级企业联想却遇到了麻烦。国外媒体称联想的消费级笔记本电脑中预装了一款「Superfish」的广告软件,存在严重安全漏洞,引发整个社会舆论的大哗。 这几天事件持续发酵,虽然联想的 CTO 出面解释了与 Superfish 的合作,表示联想也是受害者。但消费者不依不饶,昨天,联想官方网站又遭到黑客攻击。 这个「Superfish」事件到底是怎么回事呢? 联想为什么要装Superfish 联想CTO的解释说的冠冕堂皇,联想要在用户做互联网搜索的时候,提供给用户相关的内容,提升用户使用联想的体验,增强产品的的竞争力。当用户搜索床垫的信息时,就通过广告软件给用户提供可选择的低价床垫,如果恰好有用户喜欢的样式,用户可以通过广告直接购买到最低价的产品。 当然,这个解释是官方的说法。其实联想的这个举动和现在手机 ROM 很类似,联想不是个例,前一段时间三星甚至在澳大利亚销售的智能电视中内置了广告软件。 联想无非是要做一个软硬件服务的结合,你买了联想的硬件,联想只能赚一次钱。而联想与「Superfish」合作,除了所谓的用户体验提升以外,还有广告分成的好处,后续收入源源不断。 这个和你买了小米手机,继续买小米的主题,买了 OPPO 手机,就玩 OPPO 手机里面的游戏是一个道理。通过软件和服务,小米可以卖主题,OPPO 可以游戏分成赚钱。 硬件是一个入口,联想以前没有把这个入口利用好赚钱,现在开始利用了。只是联想现在先从广告开始,选了一个不太靠谱的 Superfish,造成了今天的麻烦。 Superfish 做错了什么? Superfish 成立于 2006 年,在经过了四年的研发后才发布了自己的首款产品。去年,该公司刚刚开始进军全新的应用开发领域。 Superfish 在广告应用中所使用的技术是非常先进的,它内置的算法可以帮助用户找到和发现产品,并且可以在搜索引擎中对购物进行图片分析、搜索以找到更低的价格。其实算是广告软件中比较优秀的。 Superfish 依赖于搜索引擎,而谷歌去年默认开启了 SSL 连接协议,Superfish 无法继续在谷歌搜索结果中显示自己的广告内容。于是它开始耍流氓,以中间人的方式劫持 SSL 链接。 Superfish 采用了 komodia 公司的 SDK,将一个自签名数字证书植入到用户计算机。这不仅仅可以显示广告内容,还可以在用户不知情的情况下截获所有基于 TLS 的加密通讯内容,或许是 IMAPS 协议收取邮箱时的密码,或许是一次 HTTPS 银行登录表单。这是非常非常危险的,用户的隐私和密码都可能泄露。 而更糟的是证书私钥选择了统一的密码(公司名:komodia),这个极其简单的密码现在被破解并且到处流传。 这意味着,不仅仅是 Superfish 公司可以窥探用户的隐私,而是任何人都可以在同一网络获得用户隐私信息。这个简直就是要逆天。 本来是为了显示广告,采用的手段却是耍流氓,而结果是恐怖的隐私和密码泄露。而联想偏偏在自己的笔记本电脑里面预装了它……消费者的愤怒就不难理解了。 联想做错什么? 软硬件一体体系化,赚去综合利润是业界的共识,无论是硬件还是软件,都拼命给用户增加各种各样的服务,试图获取后续的利润。但是硬件厂商有责任帮助用户把关,尊重用户的选择权,尊重用户的隐私,保护用户是数据安全。选择靠谱的软件和服务。 联想在与 Superfish 合作前,没把对方的底摸清,没把对方的技术彻底弄明白,把风险评估清楚,造成消费者隐私的巨大危险,这是联想的错误。 希望中国企业以后都要以此为戒,切不可为了一时的小利毁了未来。   本文仅代表作者本人观点。本文版权为 煮机网 所有,转载请保留文章来源信息(含来源URL链接)。禁止对文章修改后发布及一切商业用途。

德国网友倾心推荐 WoSign: Free 2y multi-domain SSL certificate (SAN/UCC)

WoSign: Free 2y multi-domain SSL certificate (SAN/UCC) 2015-02-01 Update 2015-02-12: New SHA2 intermediate cert and application form in EnglishChinese CA WoSign issues free multi-domain SSL certificates valid for 2 years. Free SSL certificates? – That’s old news… Since many years we have the great free StartSSL certificates. They are valid for one year and include both the domain and the www subdomain. Since October 2014 another free option for enabling HTTPS on your website is CloudFlare, where you don’t get the key yourself but use their free CDN to terminate SSL connections. Starting in mid 2015 we will have Let’s Encrypt, a free certificate authority issuing certificates automatically via a script on the webserver. There is CaCert as well, but since they never passed an

Read More…

保护你的隐私:10项你必须知道的iOS 8安全设置

也许你并不知道,苹果iOS 8里包含了多项追踪你的地理位置和个人信息的功能,其中不少是默认开启的,很多APP和广告都在通过这些功能获取你的个人信息。如果你忽视了他们的存在,也许有一天,这些不起眼的设置就可能引发你的个人隐私泄露。 1. 限制APP在后台追踪你的位置 一些APP会在后台使用你的地理位置,即便你不在使用它。 2、阻止APP上传你的数据 你的通讯录、email、日程表和照片都属于隐私数据,尽量不要允许APP自动上传。 设置方法:设置 > 隐私 > 通讯录 3、设置iMessages、声音和视频的过期时间 在iOS 8中,声音和视频信息都是通过iMessage网络发送的。这意味着一旦你丢失了手机(且没有设置安全保护),任何人可以查看你的历史聊天记录。所以最好的办法就是对iMessage做一些限制。 设置方法:设置 > 信息 > 保留信息 & 过期 4、停止向他人分享你的地理位置 这个功能可以帮助别人找到你,防止和小伙伴走失。但如果你没这方面需求,完全可以关掉的它。 设置方法:设置 > 隐私 > 定位服务 > 关闭共享我的位置 5、关闭iPhone基于地理位置的追踪,开启Find My iPhone 在iOS 8中,基于地理位置的广告、位置提醒等功能不仅耗电,而且涉及个人隐私。 并且一般来说,开启Find My iPhone功能就足够了。 设置方法:设置 > 隐私 > 定位服务 > 系统服务 6、限制广告追踪你的位置和数据 设置方法:设置 > 隐私 > 广告 7、关闭cookie,开启Do Not Track设置 Cookies一般被用来存储一些网站配置,但也会被广告用来追踪你的位置、搜索内容和其他的一些个人信息。 另外Do Not Track是在Safari的设置中,建议开启。 设置方法:设置 > Safari 8、禁用iPhone、iPad上的追踪常用位置功能 设置方法:设置 > 隐私 > 定位服务 > 系统服务 > 常去地点 9、尽可能短的自动锁屏时间 设置方法:设置 > 通用 > 自动锁定 10、限制锁屏后的显示内容和操作 设置方法:设置 > Touch ID 与密码 [消息来源:zdnet,FreeBuf整理和翻译,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)]

西方新制裁禁美企入俄 迫俄商界寻求中方认证服务

【环球网报道 记者 葛鹏】据俄罗斯卫星新闻网2月13日报道,俄罗斯大型域名注册商和互联网托管服务商RU-CENTER的分析小组主任亚历山大∙韦涅久欣表示,西方的新一轮制裁生效后,俄罗斯商界或将寻求颁发SSL证书的中国认证中心提供的认证服务。   去年12月美国总统奥巴马签署法令,从2015年2月1日起禁止美国企业在克里米亚提供服务或销售商品。针对克里米亚用户,苹果(Apple)和谷歌(google)已关闭AppStore、Google Play等付费服务。克里米亚半岛上无法使用维萨卡和万事达卡进行支付业务,支付系统PayPal与拍卖及交易网站eBay也均停止对克里米亚服务。上周大型美国域名注册商Go Daddy开始关闭克里米亚域名。 制裁也触及俄罗斯在克里米亚注册、使用金融工具的网络公司。专家解释说,通过互联网为此类公司网站上的商品和服务付款时,需要认证中心提供的SSL证书(安全套接层协议层证书),而现有的外国认证中心的注册地基本都是美国和英国。 韦涅久欣说:“中国有类似的、相当好的认证中心。我们目前正在考虑和中国在这方面合作。” 制裁可能也会促进俄罗斯IT领域的发展。虽然没有限制向俄罗斯出口IT设备,IT设备的价格却因卢布贬值而大幅上涨。专家认为,这将首先导致外国设备开始俄罗斯境内本土化生产,其后俄罗斯本国的生产基地也会随之出现。 韦涅久欣说,西方产品价格上涨,让中国设备显得更有竞争力,包括建设俄罗斯数据中心所需的设备。2015年9月1日起,经互联网传输的俄用户个人数据将只能存储在俄境内服务器上,为此将需要建立数据中心。