博客

    發佈
     
      • 一個新的篇章:DigiCert將收購賽門鐵克的網站安全與相關的PKI解決方案

        Mar 29 2018, 8:54 PM

        作者 Roxane Divol 0

        今天,賽門鐵克通過新聞稿宣布了一項協議,根據該協議DigiCert將收購賽門鐵克的網站安全與相關的PKI解決方案。目前,作為企業防範滲透網路的高級網路安全威脅極為重要的時刻,通過此次收購,客戶將受益于這家專注於提供領先的身份與加密解決方案的企業。

        DigiCert是為企業提供可擴展的身份與加密解決方案之領先的供應商。目前,這一快速增長的企業擁有一批知名的企業和物聯網(IoT)客戶。 DigiCert享有很高的聲譽並具有很高的客戶忠誠度,該企業專注於行業領先的客戶支持,創新的市場解決方案,以及改善行業最佳實踐的有意義的貢獻。 DigiCert的創新與增長戰略已經獲得了多項殊榮,而且該企業在今年夏天被評選為Computerworld百強IT雇主(Computerworld’s Top 100 places to work in IT)之一。

        賽門鐵克的網站安全與相關的PKI解決方案加入DigiCert的產品組合,將為客戶提供經過加強的技術平台,無與倫比的支持以及市場領先的創新。DigiCert將擁有引領下一代全球網站安全的極為優秀的人才與經驗,並將充分獲得利用物聯網領域機會的能力給SSL市場帶來新的方法。

        賽門鐵克網站安全與DigiCert共同對客戶服務鄭重承諾,確保客戶及其業務連續性是重中之重。交易完成之後,我們將努力幫助我們的客戶過渡到新平台,該平台符合所有行業標準與瀏覽器要求,並為CA領域未來的創新奠定基礎。

        重要的是,我們相信這一協議將滿足瀏覽器社區的需求。DigiCert正在就本次交易及其意圖與瀏覽器社區進行溝通,並將在本次交易完成之前的這一期間繼續與他們進行緊密合作。DigiCert讚賞並共同承擔瀏覽器關於培養對數位憑證的信任並保護所有用戶的承諾。

        最後也很重要的一點是,我要感謝網站安全團隊每一名勤勞、敬業的員工。對於前方的機會,我們感到非常振奮,而且我們深切致力於為網站安全業務,相關員工,以及我們的客戶成功完成本次過渡。

        謹此

        Roxane Divol

        執行副總裁兼總經理,賽門鐵克網站安全

        • Products
        • DigiCert Code Signing
        • DigiCert Complete Website Security
        • DigiCert SSL TLS Certificates
        • Products and Solutions
      • 賽門鐵克支持其CA

        Mar 29 2018, 10:16 PM

        作者 connect 0

        作為全球最大的憑證授權中心之一,我們賽門鐵克非常自豪。我們強烈反對Google針對賽門鐵克SSL/TLS憑證在Chrome瀏覽器中所採取的行動。這一行動讓人出乎意料,而且我們認為Google的網路日誌是不負責任的。我們希望這一計畫的目的不是為了在網際網路社區造成對我們的SSL/TLS憑證的不確定性與懷疑。

        Google對於我們的頒發實踐以及我們過去誤頒發範圍的聲明是言過其實且具有誤導性的。例如,Google聲稱我們已經誤頒發了30,000個SSL/TLS憑證,這不是事實。在Google所提到的事件中,有127個憑證—而不是30,000個憑證—被認定為誤頒發的憑證,而且它們沒有對消費者造成傷害。我們已經採取了廣泛的補救措施以糾正這一情況,我們立即終止了對涉事合作夥伴的註冊授權中心(RA)任命,而且為了加強對賽門鐵克所頒發的SSL/TLS憑證的信任,我們已經宣佈終止我們的RA項目。這種管控的強化是其他公共憑證授權中心(CA)尚未遵循的重要舉措。

        所有主要的CA都經歷過SSL/TLS憑證誤頒發事件,儘管Google的網路日誌中所認定的誤頒發事件涉及多個CA,但是Google在其計畫中只將賽門鐵克憑證授權中心挑選出來單獨對待。

        我們根據行業標準管理我們的CA。我們對自己的SSL/TLS憑證頒發流程保持著廣泛的管控,而且我們一直努力以不斷加強我們的CA實踐。我們已經對網際網路的安全性進行了大量投資,而且我們仍然會致力於保護網際網路的安全性。賽門鐵克已經公開、堅定地致力於對賽門鐵克憑證進行憑證透明度(CT)日誌記錄,而且賽門鐵克是為數極少的擁有自有CT伺服器的CA之一。賽門鐵克還是憑證授權中心授權(CAA)的擁護者,並且已經要求CA/Browser Forum更改規定,以要求所有憑證授權中心明確支持CAA。我們對CA生態系統的最新貢獻是我們的免費增值專案—加密無處不在,該專案旨在推動加密網站的廣泛採用。

        我們想要讓我們的客戶與所有消費者放心,他們能夠繼續信任賽門鐵克的SSL/TLS憑證。賽門鐵克將大力捍衛對網際網路的安全與有效的使用,包括將Google網路日誌中的計畫所可能引發的任何幹擾降低到最小程度。

        我們願意與Google探討這一問題,從而以符合我們共同的客戶與合作夥伴的共同利益的方式努力解決這一情況。

        • Products
        • DigiCert Complete Website Security
        • DigiCert SSL TLS Certificates
        • Products and Solutions
        • Symantec Website Security
      • 確保程式碼簽章憑證「不負所託」

        Apr 28 2016, 6:44 AM

        作者 Quentin Liu 0

        賽門鐵克最近的研究報告指出,名為 Suckfly 的中國進階威脅團體,已經鎖定程式碼簽章憑證相關的私有金鑰,在兩年期間散佈惡意軟體。這項發現再次確認,網路攻擊者透過合法檔案及應用程式散佈惡意軟體的趨勢,持續增加。

        為什麼網路攻擊者要鎖定程式碼簽章憑證的私有金鑰?問題在於程式碼簽章的兩大目標,以及傳統程式碼簽章實務的監管。

        程式碼簽章的關鍵目標在於 a) 驗證內容的完整性,確保並未遭到竄改,以及 b) 建立檔案或應用程式創造者的歸屬及不可否認性。程式碼簽章提升了檔案及應用程式的信任程度,確認內容未經修改,並讓內容與通過第三方驗證的身分建立關連。因此許多軟體公司及產業團體,都必須使用程式碼簽章。

        就實務應用觀點而言,部分瀏覽器可保護使用者,在使用者嘗試下載任何未簽章應用程式時顯示警告訊息。至於在其他領域方面,部分安全應用程式可減輕風險,避免使用者下載及/或執行未簽章的檔案和應用程式,盡可能減少執行未知或未授權發佈者的程式碼。因此,我們發現更重視安全,且具有大量內部軟體或應用程式開發的組織,一般會為了發佈及減輕風險採用程式碼簽章。

        在使用傳統程式碼簽章的情況下,簽章使用私有金鑰的安全問題,是由發佈組織負責。在這類組織之中,私有金鑰的安全性及管理事宜,一般是委交開發團隊負責,而檔案及應用程式則大多由應用程式或軟體開發人員發佈。如果團體沒有接受安全最佳實務訓練,或者不必為遺失、遭竊或濫用的金鑰負責,則龐大組織就可能面臨風險,導致自己的私有金鑰不慎簽章惡意軟體。

        業界已有若干最理想實務,協助組織避免金鑰遭竊或濫用。其中包括:

        • 維護私有金鑰安全
          • HSM 或位於針對特定目的建置的安全環境
        • 追蹤私有金鑰及簽章事件
          • 提供可見度,掌握簽章者、簽章內容及簽章時間
        • 管理發佈者的指派及撤銷事宜
          • 確保只有獲得授權的使用者才可存取私有金鑰
        • 有能力進行稽核
          • 推動程式碼簽章活動的責任及鑑識見解

        除了最佳實務以外,部分組織可能偏好更安全的作法,不在現場散佈私有金鑰,而是在集中、安全,且具備強大金鑰管理監管的地點進行作業。身為全球 65% 程式碼簽章憑證的供應者*,賽門鐵克提供次世代替代方案,有效因應缺乏監管的漏洞,以及傳統程式碼簽章實務的其他挑戰,妥善處置私有金鑰遭竊的風險問題。賽門鐵克安全應用程式服務 (Symantec Secure App Service) 是全方位的雲端型程式碼簽章管理解決方案,可集中管理金鑰及追蹤程式碼簽章事件,並提供使用者管理。

        網路罪犯將持續尋找各種方式,突破組織的安全措施竊取重要資料。嚴格遵循產業最佳實務,或利用賽門鐵克安全應用程式服務等解決方案,當能有效威嚇此類不法行動,並且重建程式碼簽章的公信力,回歸安全至上的初衷。

        * 資料來源:rsEdge 2014 年國際意見調查

        • Products
        • DigiCert SSL TLS Certificates
        • Products and Solutions
        • Symantec Website Security
      • 在憑證透明度和隱私之間取得平衡

        Mar 29 2016, 12:46 AM

        作者 Michael Klieman 0

        在我最新一篇部落格文章中,我告訴大家賽門鐵克 (Symantec) 在未來幾週內將會把對憑證透明度的支援完整部署到所有產品及面向客戶的使用經驗上。

        憑證透明度 (CT) 可協助組織監控他們名下的網域有哪些使用中的 SSL/TLS 憑證,對於許多客戶和使用案例而言,目前實施的 CT 運作良好。但是一說到部署僅限內部使用的憑證時,有些客戶傾向將憑證資訊保密 (尤其是子網域資訊)。例如,某位客戶可能認為公開「support.mycompany.com」的憑證資訊沒什麼大礙,但同樣這位客戶也可能拒絕登錄「top-secret-project.mycompany.com」,這是情有可原的。目前的憑證透明度規範 RFC 6962 尚無法解決這些在隱私和使用案例上的隱憂。

        為了解決這類客戶實際遭遇到的案例問題,賽門鐵克目前 CT 的實施方式在預設下會登錄所有憑證,但同時也為客戶提供一個可以「選擇性移除」憑證登錄的選項。這明顯並非最佳方式,因為如此會產生出並非所有憑證皆完整登錄的漏洞,但此為在目前憑證透明度規範的限制下所能處理客戶隱私問題的最有效方式。

        目前網際網路工程任務小組 (Internet Engineering Task Force) 正在建立憑證透明度規範的新版本 - RFC 6962-bis。此新版本可在登錄 CT 時修訂子網域資訊。以上述的案例來看的話,該位客戶就能將「top-secret-project.mycompany.com」的憑證登錄為「?.mycompany.com」。這個方法可讓公司既能解決隱私問題,同時也能確保所有憑證都有登錄並受到監控。

        賽門鐵克同樣認為名稱修訂是在透明度和隱私之間取得平衡的最佳辦法,因此在新規範完成後,賽門鐵克會盡快實行。

        請至此處深入瞭解賽門鐵克對憑證透明度的支援。

        • Products
        • DigiCert Code Signing
        • Thought Leadership
        • Certificate Transparency
        • Symantec Website Security
      • 憑證透明度支援擴大

        Mar 22 2016, 1:22 AM

        作者 Michael Klieman 0

        賽門鐵克 (Symantec) 今日宣布要將對憑證透明度的支援擴大到所有 SSL/TLS 憑證類型及客戶管道,這關鍵性的一點可為全球客戶提供強大的憑證管理功能。

        憑證透明度 (CT) 為開放式框架,旨在讓組織可全面檢視所擁有的網域目前存在哪些使用中的憑證。對於組織而言,是否能清楚完整地檢視憑證相當重要,如此才能直接實施政策,並對中間人攻擊等威脅迅速做出反應。

        如同先前宣布的資訊,賽門鐵克最早是在 2014 年 12 月在所有賽門鐵克、Thawte 以及 GeoTrust 延伸驗證 (EV) 憑證產品加入了對憑證透明度的支援。現在賽門鐵克對 CT 的下一步即是將支援擴大至各品牌下的組織驗證 (OV) 產品上,且最晚將於 2016 年 2 月將支援加至所有網域驗證 (DV) 產品上。CT 支援將於三月中旬完整推出,與此同時賽門鐵克的日本專屬平台也會加入。

        為了讓憑證透明度真正發揮功效,所有公開信任之憑證的認證機構 (CA) 皆需進行憑證登錄。賽門鐵克已開始和 SSL/TLS 生態系統內的其他大廠展開溝通,使 CT 可支援 CA/Browser Forum Baseline Requirements 的要求。此外,為了提高憑證透明度的採用率,並讓其他 CA 更易於支援 CT,賽門鐵克現開放第三方 CA 將其 SSL/TLS 憑證登錄至賽門鐵克的 CT 伺服器。

        賽門鐵克會持續致力為客戶在 SSL/TLS 憑證的生態系統中強化對憑證的管理和控制。深入瞭解憑證透明度的最新相關進展。

        • Products
        • DigiCert Code Signing
        • Certificate Transparency
        • Products and Solutions
        • Symantec Website Security
      • 移除根憑證 PCA3-G1

        Jan 13 2016, 7:26 AM

        作者 Rick Andrews 0

        賽門鐵克 (Symantec) 與所有的大型憑證授權機構一樣,會進行例行的評估,判斷特定的公用根憑證是否應繼續使用,還是該改用在其他非顯示於瀏覽器的用途。進行這類工作時,我們會向主要瀏覽器和作業系統的信任憑證庫供應商提出正式申請,或至少會「不信任」根憑證,以保護網站安全。

        近幾年來,我們已和客戶一同立下基礎,以面對根憑證 PCA3-G1 的使用壽命即將結束。11 月時,我們著手處理仍在使用該根憑證的數種瀏覽器,通知應移除或「不信任」PCA3-G1 根憑證。本公司作業仔細,以確保移除或「不信任」任何根憑證均不會對網際網路生態系統 (尤其瀏覽器使用者) 造成傷害或是帶來不當風險。

        雖然對於主要瀏覽器而言此根憑證已無用處,但確實有一些公司企業仍仰賴它。為了滿足這類需求,該根憑證將會重新使用於本公司的專用 TLS 產品,提供給已提出憑證要求的企業客戶,用於支援企業網路的舊式軟體和舊式裝置。本公司的記錄和公開掃描顯示,所有客戶皆已不再將該根憑證用於公開用途,此外測試成果也說明,移除這個根憑證不會對瀏覽器使用者造成風險。

        近來,憑證授權社群中對於解除根憑證信任出現了十分熱烈的討論,讓我們意識到有必要進行更多的溝通和宣傳。接下來,本公司會經常發表相關文章,希望藉此激起業界的開放式討論,共同分享想法,進而協助有意提高網站安全防護的人士。

        • browser
        • Products
        • website security solutions
        • DigiCert Code Signing
        • Root
        • Symantec Website Security