博客

    发布
     
      • 一个新的篇章:DigiCert将收购赛门铁克的网站安全及相关的 PKI解决方案

        Mar 29 2018, 8:53 PM

        发布者 Roxane Divol 0

        今天,赛门铁克通过新闻稿宣布了一项协议,根据该协议DigiCert将收购赛门铁克的网站安全及相关的PKI解决方案。目前,作为企业防范渗透网络的高级网络安全威胁极为重要的时刻,通过此次收购,客户将受益于这家专注于提供领先的身份与加密解决方案的公司。

        DigiCert是为企业提供可扩展的身份与加密解决方案的领先的供应商。目前,这一快速增长的公司拥有一批知名的企业和物联网(IoT)客户。 DigiCert享有很高的声誉并具有很高的客户忠诚度,该公司专注于行业领先的客户支持,创新的市场解决方案,以及改善行业最佳实践的有意义的贡献。 DigiCert的创新与增长战略已经获得了多项殊荣,而且该公司在今年夏天被评选为Computerworld百强IT雇主(Computerworld’s Top 100 places to work in IT)之一。

        赛门铁克的网站安全与相关的PKI解决方案加入DigiCert的产品组合,将为客户提供经过加强的技术平台,无与伦比的支持以及市场领先的创新。DigiCert将拥有引领下一代全球网站安全的极为优秀的人才与经验,并将获得充分利用物联网领域机会的能力给SSL市场带来新的方法。

        赛门铁克网站安全与DigiCert共同对客户服务郑重承诺,确保客户及其业务连续性是重中之重。交易完成之后,我们将努力帮助我们的客户过渡到新平台,该平台符合所有行业标准与浏览器要求,并为CA领域未来的创新奠定基础。

        重要的是,我们相信这一协议将满足浏览器社区的需求。DigiCert正在就本次交易及其意图与浏览器社区进行沟通,并将在本次交易完成之前的这一期间继续与他们进行紧密合作。DigiCert赞赏并共同承担浏览器关于培养对数字证书的信任并保护所有用户的承诺。

        最后也很重要的一点是,我要感谢网站安全团队每一名勤劳、敬业的员工。对于前方的机会,我们感到非常振奋,而且我们深切致力于为网站安全业务,相关员工,以及我们的客户成功完成本次过渡。

        顺致商祺,

        Roxane Divol

        执行副总裁兼总经理,赛门铁克网站安全

        • Products
        • DigiCert Code Signing
        • DigiCert Complete Website Security
        • DigiCert SSL TLS Certificates
        • Products and Solutions
        • Managed PKI for SSL
      • 赛门铁克支持其证书颁发机构(CA)

        Mar 29 2018, 8:17 PM

        发布者 connect 0

        The below has been updated to ensure translation accuracy.

        作为全球最大的证书颁发机构之一,我们赛门铁克非常自豪。我们强烈反对谷歌针对赛门铁克SSL/TLS证书在Chrome浏览器中所采取的行动。这一行动让人出乎意料,而且我们认为谷歌的博文是不负责任的。我们希望这一计划的目的不是为了在互联网社区造成对我们的SSL/TLS证书的不确定性与怀疑。

        谷歌对于我们的颁发实践以及我们过去误颁发之范围的声明是言过其实且具有误导性的。例如,谷歌声称我们已经误颁发了30,000个SSL/TLS证书,这不是事实。在谷歌所提到的事件中,有127个证书被认定为误颁发的证书,而不是30,000个证书,而且它们没有对消费者造成伤害。我们已经采取了广泛的补救措施以纠正这一情况,我们立即终止了对涉事合作伙伴的注册机构(以下称“RA”)任命,而且为了加强对赛门铁克所颁发的SSL/TLS证书的信任,我们已经宣布终止我们的RA项目。这种管控的强化是其他公共证书颁发机构(以下称“CA”)尚未遵循的重要举措。

        所有主要的CA都经历过SSL/TLS证书误颁发事件,尽管谷歌的博文中所认定的误颁发事件涉及多个CA,但是谷歌在其计划中只将赛门铁克证书颁发机构单独列举出来。

        我们根据行业标准管理我们的CA。我们对自己的SSL/TLS证书颁发流程保持着广泛的管控,而且我们一直努力以不断加强我们的CA实践。我们已经对保护互联网的安全性进行了大量投资,而且我们仍然会致力于保护互联网的安全性。赛门铁克已经公开地、坚定地承诺对赛门铁克证书进行证书透明度(以下称“CT”)日志记录,而且赛门铁克是为数极少的拥有自有CT服务器的CA之一。赛门铁克还是证书颁发机构授权(以下称“CAA”)的拥护者,并且已经要求CA/浏览器论坛更改规定,以要求所有证书颁发机构明确支持CAA。我们对CA生态系统的最新贡献是我们的免费增值项目——加密无处不在,该项目旨在推动加密网站的广泛采用。

        我们想要让我们的客户与所有消费者放心,他们能够继续信任赛门铁克的SSL/TLS证书。赛门铁克将大力捍卫对互联网安全与有效的使用,包括将谷歌博文中的计划所可能引发的任何干扰降低到最小程度。

        我们愿意与谷歌探讨这一问题,从而以符合我们共同的客户与合作伙伴的共同利益的方式努力解决这一情况。

        • Products
        • DigiCert SSL TLS Certificates
        • Products and Solutions
        • Symantec Website Security
      • 保持您的代码签名证书“中规中矩”

        Apr 28 2016, 6:35 AM

        发布者 Quentin Liu 0

        据赛门铁克最近开展的一项研究报告显示,一家称作Suckfly的中国高级威胁组织针对与代码签名证书相关联的私钥展开攻击来传播恶意软件,且已持续两年之久。这一发现再次证实了网络攻击者散布伪装成合法文件和应用程序的恶意软件的上升趋势。

        为什么网络攻击者会瞄准代码签名证书的私钥下手?问题在于其目的的截然对立性,以及传统代码签名做法的管理。

        代码签名的主要目的是:a) 验证内容的完整性,并确保其不被篡改,以及 b) 提供有关文件或应用程序创建者的属性和不可抵赖性。代码签名通过以下方法来提升文件和应用程序的信任级别:a) 保证内容未被修改过;b) 将内容与经过第三方验证的身份相关联。出于上述原因,许多软件公司和行业团体都会要求使用代码签名。

        从实际应用的角度来看,一些浏览器会在用户尝试下载任何未签名的应用程序时显示警告,以此保护其用户。在其他领域,一些安全应用程序会阻止用户下载和/或执行未签名的文件和应用程序,以尽量减少执行来自未知或未经授权的发布者的代码,从而降低风险。因此,我们发现重视安全的组织和大量的内部软件或应用程序开发通常已采用代码签名技术。无论从发布还是降低风险的角度看,这都是有益的。

        在传统的代码签名技术中,保管在签名中使用的私钥的责任和义务由发布组织承担。在这些组织中,私钥的安全和管理通常由开发团队负责,这是因为:文件和应用程序大多是由应用程序或软件开发人员发布的。如果该团队未接受过安全最佳做法方面的培训,也不必为密钥丢失、被盗或遭到滥用的后果负责,则较为大型的组织往往会面临私钥遭他人窃取后用于签署恶意软件的风险。

        有一些行业最佳做法可帮助组织防止密钥被盗或遭到滥用。它们包括:

        • 保护私钥
          • HSM或在专用的安全环境中
        • 跟踪私钥和签名事件
          • 提供有关签名操作的一切信息,比如:谁在何时签署了哪些内容
        • 管理发布者的任务分配和撤销
          • 确保只有经过授权的用户才能访问私钥
        • 审计能力
          • 设立问责制和保留有关代码签名活动的证据

        除了最佳做法以外,某些组织可能更看重通过避免现场分散存储私钥(而是通过健全的密钥管理机制将其保管在集中、安全的位置)来提高安全性。作为全球65%的代码签名证书的提供商*,赛门铁克提供了下一代替代技术,有助于解决传统代码签名做法缺乏管理等问题,并降低私钥被盗的风险。赛门铁克安全应用服务是一种全面的基于云的代码签名管理解决方案,它能够集中管理密钥、跟踪代码签名事件,并进行用户管理。

        网络犯罪分子会继续想方设法地攻破组织的安全防线并窃取重要数据。严格遵循行业最佳做法或采用“赛门铁克安全应用服务”等解决方案有助于抵御犯罪分子的攻击,并确保代码签名能够达到其与生俱来的目的 — 提供信任。

        *资料来源:rsEdge开展的一项国际调研(2014年)

        • Products
        • DigiCert SSL TLS Certificates
        • Products and Solutions
        • Symantec Website Security
      • 证书透明与隐私保护之间实现平衡

        Mar 29 2016, 12:38 AM

        发布者 Michael Klieman 0

        上一篇博文中,我提到,在接下来的几周内,赛门铁克的所有产品和客户体验都将支持证书透明。

        证书透明(CT)可帮助企业监测自己所拥有的域名是否启用了有效的SSL/TLS证书。基于众多客户反馈以及用例调查,当前证书透明度政策的执行力度令人满意。然而,当涉及到仅供内部使用的应用软件时,部分客户更倾向于对证书信息严格保密(尤其是子域名信息)。例如,客户也许同意将信息发布于“support.mycompany.com”上,但或许会拒绝将其导入“top-secret-project.mycompany.com”,这是可以理解的。现行的证书透明规范RFC 6962并未能消除此类隐私顾虑或提供相应用例解决方案。

        为制定相应用例解决方案,赛门铁克目前的证书透明日志默认导入所有证书,但客户可以拒绝导入。这并非最优解决方案,因为并不是所有的证书都能顺利导入。然而,目前,在证书透明规范所限制的范围内,这是消除客户隐私顾虑的最有效方法。

        目前,互联网工程任务组正着手制定全新证书透明规范——RFC 6962-bis。新规范将允许编辑证书透明日志中的子域名信息。如此一来,客户发布于“top-secret-project.mycompany.com”的证书,将以“?.mycompany.com”证书的形式导入。通过这一方法,企业可顺利导入并监测所有证书,消除隐私顾虑。

        赛门铁克认为名称编辑是平衡证书透明与隐私保护的最佳途径。新规范一旦制定完成,我们将立即予以执行。

        如需进一步了解我们对证书透明的支持,请点击此处

        • Products
        • DigiCert Code Signing
        • Thought Leadership
        • Certificate Transparency
        • Symantec Website Security
      • 加强对证书透明的支持

        Mar 22 2016, 1:15 AM

        发布者 Michael Klieman 0

        今天,赛门铁克宣布对所有SSL/TLS证书和客户渠道加强证书透明支持,力求为全球客户提供出色的证书管理解决方案。

        证书透明(CT)是一种开放源码框架,旨在帮助企业全面了解自己所拥有的域名是否启用了有效证书。企业必须对这些证书有一个清晰、全面的了解,以便执行相关政策,迅速应对中间人攻击等威胁。

        正如之前所宣布的,我们决定对2014年12月赛门铁克和Thawte所颁发的证书以及GeoTrust拓展验证(EV)证书加强证书透明支持。我们现在已经对这些品牌旗下的组织验证(OV)产品加大证书透明支持力度,同时将对2016年二月下旬的所有域名验证(DV)产品加强证书透明支持。到三月中旬,我们将全面推进证书透明支持,并拓展至日本地区平台。

        为有效落实证书透明度政策,所有证书颁发机构必须导入所有可信证书。赛门铁克已与SSL/TLS证书生态系统中的其他主要机构展开对话,力求将证书透明支持纳入证书颁发机构/浏览器论坛的基本要求。此外,赛门铁克现在允许第三方证书颁发机构将其SSL/TLS证书导入赛门铁克的证书透明服务器,以便进一步落实证书透明度政策,同时便于其他证书颁发机构支持证书透明。

        赛门铁克正致力于在SSL/TLS证书生态系统中不断加强证书管理与控制,以满足客户需求。进一步了解证书透明度政策最新进展。

        • Products
        • DigiCert Code Signing
        • Certificate Transparency
        • Products and Solutions
        • Symantec Website Security
      • 删除 PCA3-G1 根证书

        Jan 13 2016, 7:23 AM

        发布者 Rick Andrews 0

        与所有的大型证书授权提供商一样,在赛门铁克公司,我们会针对某些公共根证书进行常规评估,以确定其是否应被继续投入使用或重新定义为面向非浏览器的应用。如果评估结果显示该证书已无法继续投入使用,为保障网站安全,我们会正式向主流浏览器及 OS 信任储存程序发出删除或“不信任”该根证书的要求。

        过去的几年我们已经与客户携手为 PCA3-G1 根证书即将寿终正寝做好了应对准备。11 月,我们继续跟进了数个仍在使用 PCA3-G1 根证书的浏览器,并告知现在是删除或“不信任”该根证书的时候了。我们竭力确保任何根证书的删除或“不信任”措施都不会对网络生态系统和浏览器用户造成损害或不必要的风险。

        该根证书在主流浏览器上已经失效,但仍有大量企业客户对其具有依赖性。为满足此类客户的需求,针对企业客户为公司网络遗留软件、遗留设备请求证书的情况,我们会在私人传输层安全(TLS)供应服务中重新使用 PCA3-G1 根证书。我们的记录和公开调查表明,所有的客户都已不再将该根证书用于任何公共使用用途,测试结果也让我们确信该根证书的删除不会给浏览器用户带来任何风险。

        近日,证书授权提供商(CA)就非信任根证书展开的讨论让我们认识到,需要更多的对话才能够让问题得到妥善处理。未来您将看到我们定期发布的博文。希望我们这一举措能够引起开放的行业讨论,只有这样我们才能共享不同的理念,所有网络安全利益相关者都可从中获益。

        • browser
        • Products
        • website security solutions
        • DigiCert Code Signing
        • Root
        • Symantec Website Security