- 博客(328)
- 收藏
- 关注
RSS订阅原创 什么是通配符SSL证书?
1、灵活性出众:通配符SSL证书具备强大的适应性,可同时保障一个主域名及其所有同级子域名的安全,极大地简化了多子域名的集中安全管理,提升了效率。2、成本效益显著:相较于为每个子域名单独购买SSL证书,通配符证书能以单一证书覆盖整个域名树,显著降低了证书购置成本与管理复杂度,实现了资源的优化配置。3、简化证书管理:只需配置一张通配符SSL证书,即可确保主域名与其所有子域名的安全性,避免了为每一个子域名单独申请、更新证书的繁琐过程,极大简化了证书生命周期管理。
2024-04-03 11:22:27
478
原创 SSL证书是什么?SSL证书的作用
沃通CA是权威可信的SSL证书提供商,具备合规资质和专业服务能力,提供兼容性强、性价比高的SSL证书产品,以及一对一人工服务和技术指导服务。部署了全球信任SSL证书的网站,浏览器通过内置安全机制,实时查验证书状态,并在浏览器地址栏通过安全锁、证书信息等方式,向用户展示网站认证信息。:激活SSL/TLS协议,使用https加密协议访问网站,为客户端(浏览器) 到服务器端之间搭建一条SSL加密通道,实现高强度双向加密传输,保证用户机密信息安全,防止用户信息、财务信息等重要数据的窃取或篡改。
2024-04-03 10:41:54
709
原创 代码签名证书是什么?代码签名证书的作用
沃通EV代码签名证书(EV代码签名证书Pro、EV代码签名证书)都由微软指定推荐的全球信任证书颁发机构签发,符合微软要求。沃通OV代码签名证书(标准代码签名证书Pro、标准代码签名证书)都是多用途代码签名证书,一张证书支持上述各类软件代码签名。)为代码生成哈希值,使用私钥加密哈希值生成签名摘要,将公钥(证书)、签名摘要和软件代码一起打包生成已签名的软件代码,将已签名代码发布到网络中。代码签名证书根据验证级别分为OV代码签名证书和EV代码签名证书,因级别不同,其功能也又所不同。代码签名证书的工作原理。
2024-04-03 10:26:26
589
转载 泛域名SSL证书有效期多久?价格多少钱?
泛域名SSL证书,也称为通配符SSL证书,是一种扩展性、灵活性极强的SSL证书类型,它允许网站管理员通过一张SSL证书保护一个主域名及其次级的所有子域名。这种SSL证书的有效期和价格是许多企业在考虑实施HTTPS加密时关心的问题。访问获取更多SSL证书相关技术内容。
2024-03-21 16:29:24
48
原创 SM4加密是什么?SM4算法在国密HTTPS协议中的作用
SM4加密算法是一种分组密码标准,由国家密码管理局于2012年3月21日发布,相关标准为“GM/T 0002-2012《SM4分组密码算法》,与国际上广泛使用的AES等算法类似,SM4同算法样用于保护数据的机密性,确保信息在传输过程中不被未授权的第三方窃取或篡改。
2024-03-21 16:24:31
903
原创 阿里云2024最新优惠:WoSign SSL证书首购4折
阿里云SSL证书 2024 最新优惠来啦!阿里云SSL证书新用户,wosign SSL证书低至4折,WoSign SSL提供全球信任RSA SSL证书和国密算法SM2 SSL证书!阿里云官网官方优惠,需要开年采购SSL证书的用户抓紧申请这波优惠!
2024-03-21 16:17:42
1167
原创 阿里云SSL证书优惠,WoSign SSL证书首购4折
阿里云新客专享:即日起至2024年03月31日,阿里云SSL证书新用户享受WoSign品牌 SSL证书首购4折优惠,限时福利、惊喜折扣,欢迎阿里云用户选购WoSign SSL证书!
2023-12-29 10:20:04
1307
原创 阿里云双11大促,WoSign SSL国密RSA双证书首购4折优惠
阿里云2023双11“金秋云创季”活动盛大开启!2023年11月01日至11月31日,阿里云平台WoSign SSL证书“国密/RSA 双证书解决方案”首购4折优惠!
2023-11-09 16:17:50
359
原创 阿里云限时福利:WoSign品牌SSL证书首购4折优惠
阿里云限时福利:WoSign品牌SSL证书首购4折优惠阿里云SSL证书限时首购福利:2023年07月04日至08月31日,阿里云平台WoSign品牌系列SSL证书首购4折优惠,惊喜折扣、限时促销、限量抢购,机会不容错过!
2023-07-12 10:25:22
302
1
原创 网络犯罪分子在新的代理劫持活动中劫持脆弱的SSH服务器
2023年6月8日发现最新活动的Akamai表示,该活动旨在攻破易受影响的SSH服务器,并部署一个混淆的Bash脚本,而该脚本又具备从被破坏的网络服务器中获取必要的依赖性,包括通过伪装成CSS文件("csdark.css")来获取curl命令行工具。与加密劫持不同的是,在加密劫持中,被破坏的系统资源被用来非法挖掘加密货币,而代理劫持则为威胁者提供了利用受害者未使用的带宽,作为P2P节点隐蔽地运行不同服务的能力。一个活跃的金融活动针对的是脆弱的SSH服务器,以隐蔽地将它们纳入一个代理网络。
2023-06-30 17:05:26
453
原创 黑客使用从未见过的战术攻击关键基础设施
这包括一个JSP文件,该文件很可能是从外部服务器获取的,其目的是通过利用一个名为 "tomcat-ant.jar "的辅助JAR文件来对 "tomcat-websocket.jar "进行后门,该文件也是通过Web shell远程获取的,之后进行清理操作以掩盖痕迹。"在这种情况下,[......]Vanguard Panda对受害者的环境有先进的了解,表明他们是持久性的,在我们的技术部署之前,在他们进行侦察工作时没有被发现,"Etheridge解释说。
2023-06-28 16:27:49
139
原创 代码签名的最佳实践
特别是代码签名,它被用来验证一个程序的开发者的身份和它的来源。像许多X.509证书一样,代码签名证书有标准和扩展验证(EV)两种形式。通过对程序进行代码签名,开发者只是附加了他们的数字证书。代码签名证书使用公钥加密技术,这与其他类型的数字证书使用的技术相同。这种方法可以在许多类型的平台的操作系统中使用,从移动到桌面。你可以发现它们用于微软的Windows,苹果的Mac OS X,Linux,甚至是iOS和Android。它们甚至可以在物联网设备中找到。
2023-06-27 16:43:33
269
原创 SSL工作原理
是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的 超文本传输协议(HTTP)使用 SSL 来实现安全的通信。在客户端与服务器间传输的数据是通过使用对称算法(如 DES 或 RC4)进行加密的。公用密钥算法(通常为 RSA)是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书,客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。
2023-06-26 17:31:41
1017
原创 SM2算法对比RSA算法,有哪些优势?
此外,斯诺登事件爆发后,其泄露出的机密文档显示,RSA算法中可能存在NSA的预置后门,对RSA算法的安全性产生巨大影响。SM2算法和RSA算法都是公钥密码算法,SM2算法是一种更先进安全的算法,在安全性能、速度性能等方面都优于RSA算法,在我国商用密码体系中被用来替换RSA算法。SM2算法由国家密码管理局于2010年12月17日发布,是我国自主设计的公钥密码算法,基于更加安全先进的椭圆曲线密码机制,在国际标准的ECC椭圆曲线密码理论基础上进行自主研发设计,具备ECC算法的性能特点并实现优化改进。
2023-06-25 16:15:30
1016
原创 国密算法SM2,SM3,SM4之间的区别及应用
国产密码算法(国密算法)是指国家密码局认定的国产商用密码算法,在金融领域目前主要使用公开的SM2、SM3、SM4三类算法,分别是非对称算法、哈希算法和对称算法,密钥长度和分组长度均为128位。随着金融安全上升到国家安全高度,近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。国密算法是国家密码局制定标准的一系列算法。
2023-06-20 16:17:23
4442
原创 SM2椭圆曲线公钥密码算法
随着密码技术和计算技术的发展,目前常用的1024位RSA算法面临严重的安全威胁,我们国家密码管理部门经过研究,决定采用SM2椭圆曲线算法替换RSA算法。和RSA算法都是公钥密码算法,SM2算法是一种更先进安全的算法,在我们国家商用密码体系中被用来替换RSA算法。在椭圆曲线算法中,将倍数d做为私钥,将Q做为公钥。3、进一步,P点和2P点之间做直线,交与3P’点,在3P’点做竖线,交与3P点,3P点即为P点的3倍点;2、通过P点做切线,交与点 2P点,在2P’点做竖线,交与2P点,2P点即为P点的2倍点;
2023-06-15 16:13:02
574
原创 研究显示,超过一半的安全领导者对保护应用程序机密缺乏信心
这可能会让人感到意外,但秘密管理已经成为AppSec房间里的大象。虽然像常见漏洞和暴露(cve)这样的安全漏洞经常成为网络安全领域的头条新闻,但秘密管理仍然是一个被忽视的问题,可能会对企业安全产生直接而有影响的后果。《卫报》最近的一项研究发现,美国和英国75%的IT决策者报告说,至少有一个秘密从应用程序中泄露,其中60%的人给公司或员工带来了问题。令人震惊的是,不到一半的受访者(48%)对他们“在很大程度上”保护应用程序秘密的能力有信心。
2023-06-14 16:44:11
256
原创 介绍几种最常见的加密和解密方法
因为MD5加密是有种有损的加密方式,比如一段数据为'123',我在加密的时候,遇到1和3都直接当做是a,加密后变成了'a2a',所以解密的时候就出现了4种组合'323''121''123''321',数据一多,自然找不到原始的数据了,当然这种方式加密的密文也不需要解密,需要的时候直接发送原始密文就好了~只是看不到密文原本的内容)保存和传递密钥,就成了最头疼的问题。加密与解密的双方根据事先的基本约定(包括加密算法)与所给密钥进行加密或解密,而第三方不知约定,即使知晓密文与密钥,也很难进行解密了解通信的内容。
2023-06-13 16:50:42
1734
原创 苹果的Safari私人浏览现在会自动删除URL中的跟踪参数
苹果公司的Craig Federighi在接受《快公司》采访时表示:“Safari在隐私浏览方面一直是一个不为人知的先驱,它有很多隐私和安全功能,今年它只是一个杰作。”“浏览互联网是主要的隐私威胁载体之一。最后,苹果还为锁定模式带来了新功能,包括“更安全的无线连接默认设置、媒体处理、媒体共享默认设置、沙箱和网络安全优化”。增强的安全设置也正在扩展以支持watchOS。另一个关键的变化包括邮件、消息和Safari的私有模式中的链接跟踪保护,以自动删除url中的跟踪参数,这些参数通常用于跟踪有关单击的信息。
2023-06-12 17:17:51
1134
原创 数字签名和数字证书的原理解读(图文)
数字签名和数字证书的区别是什么?数字证书是由权威机构CA证书授权中心发行的,能提供在Internet上进行身份验证的一种权威性电子文档。而数字签名是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。对于数字签名和数字证书的运用原理,相信有不少朋友还不清楚,下文将为大家解疑答惑。
2023-06-09 17:10:42
892
原创 Hash算法的特点、应用和实现方法详解
很显然,上述的程序完成了一个散列算法所应当实现的初级目标:用较少的文本量代表很长的内容(求模之后的数字肯定小于8)。我们比較熟悉的校验算法有奇偶校验和CRC校验,这2种校验并没有抗数据篡改的能力,它们一定程度上能检測并纠正传输数据中的信道误码,但却不能防止对数据的恶意破坏。事实上,下面我们即将介绍的常用算法MD5和SHA1,其本质算法就是这么简单,只不过会加入更多的循环和计算,来加强散列函数的可靠性。SHA-1是由NIST NSA设计的,它对长度小于264位的输入,产生长度位160位的散列值。
2023-06-07 15:44:45
1729
原创 TrueBot活动的惊人激增揭示了新的交付载体
"VMware的Fae Carlisle说:"TrueBot是一个下载器木马僵尸网络,它使用命令和控制服务器来收集被攻击系统的信息,并将被攻击系统作为进一步攻击的发起点。另一方面,VMware记录的攻击链从谷歌浏览器的一个名为 "update.exe "的可执行文件的驱动下载开始,表明用户被引诱以软件更新为借口下载恶意软件。"在GuLoader的最新变种中,它引入了新的方式来引发异常,阻碍了完整的分析过程及其在受控环境下的执行," SonicWall说。它还能够进行进程和系统枚举。
2023-06-06 15:57:17
159
原创 公钥加密如何确保数据的完整性
公钥加密,又称公钥密码学技术,是一种使用两个不同的密钥来加密和解密数据的技术。一个是公钥,每个人都可以用它来加密数据,另一个是发起人可以用来解密的私钥。公钥加密也被称为非对称加密,它被广泛应用于传输层安全/安全套接字层(TLS/SSL),使超文本传输协议安全(。
2023-06-01 16:50:31
1283
原创 RSA算法产生的过程与原理详解
证明:设A, B, C是跟m, n, mn互质的数的集,据中国剩余定理(经常看数学典故的童鞋应该了解,剩余定理又叫韩信点兵,也叫孙子定理),A**B*和C可建立双射一一对应)的关系。-3, 2,7,12…由模反元素的定义和欧拉定理我们知道,a的φ(n)次方减去1,可以被n整除。比如,3和5互质,而5的欧拉函数φ(5)等于4,所以3的4次方(81)减去1,可以被5整除(80/5=16)。(3) 如果n是a的k次幂,则 φ(n) = φ(a^k) = a^k - a^(k-1) = (a-1)a^(k-1);
2023-05-31 16:28:06
3959
原创 PKI 基础知识
本白皮书介绍了加密和公钥基本结构(PKI)的概念和使用 Microsoft Windows 2000 Server 操作系统中的证书服务的基础知识。如果您还不熟悉加密和公钥技术,先阅读本白皮书将有助于理解 Windows 2000 Web 站点上有关这些主题的其它技术白皮书。
2023-05-30 16:53:15
685
原创 不要点击那个ZIP文件! 钓鱼者利用.ZIP域名来欺骗受害者
除此之外,Windows文件资源管理器中的搜索栏可以作为一个偷偷摸摸的渠道出现,如果文件名与合法的.zip域名相对应,搜索一个不存在的.ZIP文件可以直接在网络浏览器中打开它。这一发展是在谷歌推出包括".zip "和".mov "在内的八个新的顶级域名(TLD)时出现的,这引起了一些担忧,认为它可能招致网络钓鱼和其他类型的在线诈骗。一种名为 "浏览器中的文件存档器 "的新的网络钓鱼技术可以被利用,当受害者访问一个.ZIP域时,在网络浏览器中 "模拟 "一个文件存档器软件。
2023-05-29 16:19:21
2196
原创 隐形黑客潜入美国和关岛关键基础设施而未被发现
最初的入侵媒介包括利用一个未知的零日漏洞,利用面向互联网的Fortinet FortiGuard设备,尽管伏特台风也被观察到在Zoho ManageEngine服务器上使用了武器漏洞。然后滥用访问权限来窃取凭证并闯入网络上的其他设备。与此同时,路透社披露,黑客对肯尼亚政府主要部委和国家机构进行了为期三年的一系列影响深远的攻击,据称是为了获取有关“这个东非国家欠北京的债务”的信息。在《纽约时报》报道的一起事件中,敌对的集体入侵了关岛的电信网络,并安装了一个恶意的网络外壳。
2023-05-26 16:14:58
631
原创 什么是Unix时间戳?在线时间戳转换有什么作用?
Unix时间戳(Unix timestamp)也称为Unix时间或Posix时间,是一种时间表示方式,定义为从格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在时刻的总秒数。
2023-05-22 16:38:10
111
原创 寻找人工智能工具?警惕散布红线恶意软件的流氓网站
就在几周前,Securonix发现了一个名为OCX#HARVESTER的网络钓鱼活动,该活动在2022年12月至2023年3月期间利用More_eggs(又名Golden Chickens)针对加密货币行业,这是一个用于提供额外有效载荷的JavaScript下载程序。BATLOADER是一种加载恶意软件,它通过驾车下载传播,用户在搜索引擎上搜索某些关键字时,会显示虚假广告,当点击这些广告时,这些广告会将用户重定向到托管恶意软件的流氓登陆页面。
2023-05-19 16:43:06
647
原创 新的网络钓鱼即服务平台让网络犯罪分子生成令人信服的网络钓鱼页面
攻击链从包含HTML附件的恶意电子邮件开始,该附件在打开时执行混淆的JavaScript代码,将用户重定向到带有收件人电子邮件地址的登陆页面,并提示输入他们的密码和MFA代码。至少从2022年中期开始,网络犯罪分子就利用一个名为“伟大”的新型网络钓鱼即服务(PhaaS或PaaS)平台来攻击微软365云服务的企业用户,有效地降低了网络钓鱼攻击的门槛。涉及“伟大”的活动主要涉及美国、英国、澳大利亚、南非和加拿大的制造业、医疗保健和技术实体,在2022年12月和2023年3月发现了活动高峰。
2023-05-18 17:09:24
534
原创 HTTPS如何防止DNS欺骗?
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后将查询的IP地址设为攻击者的IP地址,这样的话用户上网就只能看到攻击者的主页,而想要取得的example.com网站主页了,这就是DNS欺骗的基本原理。DNS欺骗就是利用DNS协议设计时的一个非常重要的安全缺陷。
2023-05-17 16:43:42
875
原创 同一个IP可以安装配置多个SSL证书吗?
在过去的HTTP时代,解决与基于名称的主机在同一IP地址上托管的多个网站的问题并不难。可惜的是,当你使用HTTPS时是无法故技重施的。服务器名称指示SNI是SSL的一个重要组成部分,SNI允许多个网站存在于同一个IP地址上, 如果没有SNI,每个主机名都需要自己的IP地址才能安装SSL证书。我们知道,IP地址的数量是有限的,IPv4,为参与使用Internet协议进行通信的计算机网络的每个设备分配地址。服务器名称指示SNI,可以帮助您实现同一IP运行多个SSL证书,这样虚拟主机网站也能用上SSL证书了。
2023-05-16 16:23:48
648
原创 新的 “网络钓鱼服务 “工具针对微软365用户
研究人员Tiago Pereira写道:“附属机构必须部署和配置提供的带有API密钥的网络钓鱼工具包,即使是不熟练的威胁行为者也可以轻松利用该服务的更高级功能。思科Talos的研究人员在5月10日的博客中指出,至少从2022年中期开始,就已经观察到一些使用该服务的网络钓鱼活动,其中12月和3月的活动达到峰值。一种名为“伟大”的新型网络钓鱼即服务已经为附属机构提供了一个附件和链接生成器,以制作令人信服的微软365诱饵和登录页面,使其非常适合目标商业用户。(图片来自Cisco Talos)
2023-05-15 16:37:49
45
原创 代码签名证书Code Signing Certificate
它通过提供数字签名和验证机制,确保软件的可信来源和完整性,从而保护用户免受恶意软件的侵害,并让开发者能继续在互联网上安全地发布软件。然而,颁发代码签名证书的机构对用户购买证书的用途进行核实,并保留拒绝颁发证书给非本单位使用或有签名恶意软件意图的用户的权利。只有在遵守相关规定并保持软件的良好信誉和安全性的前提下,代码签名证书才能发挥其最大的作用,并为软件的发布和使用提供可信赖的保障。通过使用代码签名证书,开发者能够向用户提供可信的软件来源标识,确保用户在下载和安装软件时不会受到恶意软件或未经授权篡改的影响。
2023-05-12 16:49:32
245
原创 什么是SSL数字证书,有哪些知名的CA颁发机构?
CA证书,这是一种很笼统的说法,CA两字母代表 Certificate Authority,就是证书授权中心的意思,也就是证书颁发机构可以简称为“CA”,那么“CA证书”通俗的理解就是数字证书机构签发的数字证书都可以称为“CA证书”。SSL证书,这是一种具体的CA证书,是用于给域名或者 IP 实现https加密的CA证书。那么两者关系就一目了然,“SSL证书”是一种 CA证书,但“CA证书”不仅仅指 SSL证书,它还可以包含,文档签名数字证书等等产品。
2023-05-10 17:26:01
974
原创 研究人员发现微软Azure API管理服务存在3个漏洞
安全研究员Liv Matan在与the Hacker News分享的一份报告中表示:“通过滥用SSRF漏洞,攻击者可以从服务的CORS代理和托管代理本身发送请求,访问Azure内部资产,拒绝服务并绕过web应用防火墙。在Ermetic发现的两个SSRF漏洞中,其中一个是绕过微软为解决Orca今年早些时候报告的类似漏洞而实施的修复程序。几周前,Orca的研究人员详细介绍了微软Azure的一个“设计缺陷”,攻击者可以利用该缺陷访问存储帐户,在环境中横向移动,甚至执行远程代码。
2023-05-09 17:06:07
414
原创 为什么你不知道的关于暗网的事情可能是你最大的网络安全威胁
IT 和网络安全团队被自己系统内的安全通知和警报淹没,很难监控外部恶意环境——这只会让它们更具威胁性。3 月,当与数百名立法者和工作人员有关的个人身份信息在暗网上泄露时,一起备受瞩目的数据泄露事件登上了全国头条新闻。网络安全事件涉及 DC Health Link,这是一个为国会议员和国会山工作人员管理健康计划的在线市场。据新闻报道,FBI 已经成功地在暗网上购买了部分数据——其中包括社会安全号码和其他敏感信息。由于受害者的知名度,这个故事被许多媒体转载,而这些媒体很少报道与暗网相关的网络安全犯罪。
2023-05-06 16:48:54
123
原创 什么是OV代码签名证书?什么是“硬证书”?
OV代码签名证书,是指OV(Organization Validation)企业验证级的代码签名证书,由权威证书颁发机构按照OV验证标准(Class 3级),对申请单位进行身份验证后颁发证书,也被称为标准代码签名证书、单位代码签名证书、普通代码签名证书。“硬证书”是指使用硬件安全介质存储的数字证书,证书从生成到签发使用,私钥始终被存储在硬件令牌或硬件安全模块中,不支持导出,有效降低证书私钥被泄露的风险,因此“硬证书”更加安全可靠。
2023-05-05 16:18:37
17
原创 为什么OV代码签名证书升级“硬证书”?
CA/B论坛基线指南要求,自2023年6月1日起,代码签名证书及私钥需要由FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的硬件加密模块中进行保护,如硬件安全模块(HSM)、硬件存储令牌、符合要求的基于云的密钥生成和保护解决方案、符合要求的签名服务等方式。新规发布前,全球的OV代码签名证书都是“软证书”格式,签发后的证书以电子文件形式提供给证书申请单位下载,证书申请单位可共享证书文件给跨地区的不同部门使用。由于存储介质不同,数字证书可分为“软证书”和“硬证书”。
2023-05-04 16:59:24
8
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人