银行
电子银行整体安全/ 商业银行移动营销系统信息安全及无纸化/ 商业银行柜面无纸化安全/ 商业银行电子回单安全/ 商业银行网银助手安全/ 商业银行批量代发代扣数据安全/ 商业银行在线借贷电子合同安全/ 电子银行风险监控证券
证券行业移动柜台及信息安全保险
保险行业电子投保全流程安全解决方案互联网金融
P2P ( 网贷平台) 安全/ 供应链融资平台安全/ 融资租赁平台安全/ 在线身份认证第三方支付
第三方支付整体安全电子商务
电子招标投标安全/ 大宗交易平台数字证书应用安全移动金融
移动支付TSM 平台接入安全/ 金融IC 卡发卡系统/ 金融IC 卡证书多应用安全移动安全
移动平台整体安全/ 移动平台客户端应用安全加固/ 移动平台应用市场渠道监控/ 移动平台数字证书安全应用/ 移动办公安全企业安全基础设施
CA 数字证书认证系统建设资金管理
企业资金管理系统安全基础通用
数字证书应用与建设电子取证
电子签名验证技术(电子取证)税务
电子发票安全卫生医疗
医疗行业电子签名全流程安全解决方案证照合一
电子证照及“三证合一”政务办公
政府行政审批系统安全/ 政府电子化采购平台安全/ 移动电子政务安全智慧城市
智慧城市智慧钥匙产品检测服务> 认证检测服务
移动金融技术服务认证/ IT产品信息安全认证/ 数据中心检测认证/ 云计算技术金融应用检测/ 网站监测/ 信息安全风险评估/ 中国银联支付应用软件安全认证产品检测服务> 预测试服务
产品检测服务> 委托测试
金融IC卡检测/ 受理终端检测/ 移动终端应用软件(APP)检测/ 安全加固/ 渠道监控/ 行为监控/ USBKey和OTP检测/ 移动金融安全芯片检测/ 移动金融安全载体(SE)检测/ TEE和TA检测/ 条码技术检测其他服务
金融领域安全IC卡和密码经验示范工程验收测试国密验收测试(国密算法改造验收测试)/ 信息安全资讯与同行业动态通报合规类
非银支付检测/ UPDSS合规评估/ 银联入网测评/ 电子招投标系统检测/ 等保测评/ 商用密码应用安全性评估/ App安全认证/ 信息系统安全评估/ 电子社会保障卡服务渠道接入安全评估/ 收单外包服务商安全技术评估评估类
电子银行评估/ 渗透测试/ 移动APP安全检测/ 代码审计/ 金融科技产品认证(移动客户端)咨询类
数据安全治理/ ISO27001咨询/ 个人信息保护咨询&风险评估/ 信息科技风险审计咨询生产系统证书下载
新证书下载平台(生产证书)/ 证书下载支持手册测试系统证书下载
新证书下载平台(测试证书)/ 证书下载支持手册普通证书
普通证书技术支持手册/ 证书常见问题解决办法/ CFCA网站证书查询说明文档/金融IC卡根服务平台相关手册全球服务器证书
全球服务器证书用户手册/ 反欺诈全球服务器证书用户手册/ 全球服务器证书技术支持手册/ 服务器证书在线支持工具本站支持IPv6
银行
证券
保险
互联网金融
第三方支付
电子商务
移动金融
移动安全
税务
卫生医疗
证照合一
政务办公
智慧城市
产品检测服务> 认证检测服务
产品检测服务> 预测试服务
产品检测服务> 委托测试
其他服务
合规类
评估类
咨询类
字号:大中小
力推HTTPS 苹果谷歌祭大招
苹果公司于2016年6月宣布,2016年底前登陆App Store的所有iOS应用将强制采用ATS(App Transport Security)安全标准,也就是App的网络传输必须通过HTTPS协议传输而不是HTTP协议。在苹果公司强制要求App在年底前使用HTTPS后不久,谷歌公司紧随其后,于同年九月宣布,谷歌计划从2017年1月推出的Chrome 56开始,对未进行HTTPS加密的网址链接亮出风险提示,即在地址栏的显著位置提醒用户“此网页不安全”。
2017年起,未经HTTPS加密的网页将遭到Chrome的安全警告
不仅是苹果和谷歌,其他互联网巨头也在竭力推进HTTPS的普及:在非HTTPS页面使用密码输入框时,火狐浏览器将会给出一个红色的阻止图标来指示隐私和安全方面的风险;腾讯微信小程序的官方需求文档要求后台使用HTTPS请求进行网络通信,不满足条件的域名和协议无法请求。没有HTTPS,开发者的APP就无法在应用商店上架;没有HTTPS,用户很可能因为安全警告而远离你的网站。简言之,如果您或您的企业正在从事应用开发、互联网服务等业务却没有使用HTTPS,苹果谷歌等巨头的安全政策将让您不太好过。那么,HTTPS为何得到互联网巨头们的推崇呢?
苹果谷歌为何力推HTTPS?
HTTPS是由SSL证书+HTTP协议构建的可进行加密传输、身份认证的一种网络通信协议。HTTPS起到两个作用,一是将传输中的数据进行记录、封装、加密,二是在数据传输开始前,通讯双方进行身份真实性认证并协商加密算法、交换加密密钥等。网络通信信息加密和服务器身份真实性验证是网络安全的重要基础,因为完美解决了这两个基础性问题,HTTPS已经成为互联网安全的行业标准。
苹果官网安装EV SSL证书实现HTTPS加密并显示公司认证信息及绿色安全地址栏
谷歌曾表示:谷歌希望网页能够触及更深层的计算机资源,与移动应用一样可以获取敏感信息,比如地理位置和离线数据。但若网页触角想要进一步扩展进我们的个人生活,首先,必须是安全的,“没人希望有中间人(一种攻击方式,可拦截窃听HTTP数据)可以获取到这些信息。”可见,巨头们力推HTTPS不仅是希望更好的保护用户安全,也出于自身的利益,这就让他们更加不遗余力的进行推广。所以,对苹果谷歌们而言,谁让用户的安全“过不去”,谁让其网络安全战略“过不去”,他们就让谁“过不去”。有些霸道?也许是的,苹果和谷歌公司也收到了指责他们在HTTPS推进问题上动作过快、打击站点的电子邮件,开发者论坛上也传出抨击的声音,但这却无法撼动他们要让全球操作系统上HTTPS加密链接覆盖率达到100%的目标。
虽然巨头们夹带着一点私心,但作为互联网大生态中的一员,让网络更安全是所有网站管理者、应用开发者等相关人员和企业的责任。不论是从保护用户还是自身的发展出发,我们都应该更积极的落实苹果谷歌的安全标准。但2016年底已近在咫尺,如果您的网站或应用仍在使用HTTP,该如何尽快升级为HTTPS呢?
专业CA支招 快速升级HTTPS
如果要加载HTTPS协议,就需要在服务器上部署SSL证书。SSL证书是由CA(证书签发机构)颁发的数字证书,如果需要在网站、APP中配置HTTPS,就需要向CA申请一张SSL证书。作为唯一一家可签发支持苹果、谷歌旗下所有操作系统和浏览器SSL证书的中国CA,中国金融认证中心(CFCA)给希望将HTTP升级为HTTPS的网站管理员和应用开发者们提供了以下建议:
· 针对网站服务器配置HTTPS
1. 向可信第三方CA申请SSL证书,且必须选择已经加入微软、火狐、谷歌、苹果根证书信任库的证书,同时证书使用符合最新的SHA256标准算法。
2. 根据网站服务器配置状况选择SSL证书:
① 单一域名/固定公网IP,且域名以及IP变动几率较小的,采用标准OV单域名证书;
② 多域名/多公网IP,且域名以及IP动几率较小的,采用标准OV多域名证书;
③ 多域名/多公网IP,且可能会后续增加子域名的,采用标准OV通配符证书;
④ 需要给网站使用并显示公司名称和绿色地址栏的,采用EV单域名/多域名证书。
3. 完成服务器Https配置,启用TLS v1.2版本协议。
4. 为服务器配置符合正向加密(Forward secrecy)的加密套件。
· 针对苹果app配置HTTPS
1. 完成客户端Https配置(与服务器建立链接时使用https协议以及相关接口),采用TLS v1.2版本协议。
2. 请勿通过设置禁用ATS协议(Info.plist)。
注:CFCA EV SSL证书在苹果IOS系统safari浏览器中的展示效果
另外,考虑到年底马上就要到来,为防止国内网站管理者、开发者因不符合苹果谷歌等公司的HTTPS标准而流失客户或市场机会,CFCA将提供OV证书的免费试用和更为高效的证书审批及本土化服务支持,使SSL证书申请者获得专业安全、成本低廉的证书配置服务,及时升级HTTPS。
如果您希望了解更多与HTTPS相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。
版权所有 CFCA
地址:北京市西城区金融大街37号8层 邮编:100031
北京市西城区菜市口南大街平原里20-3 邮编:100054
版权所有@CFCA本站支持IPv6
地址:北京市西城区金融大街37号8层 邮编:100031
北京市西城区菜市口南大街平原里20-3 邮编:100054
客服电话:400-880-9888
投诉电话:010-80864105、4106
全国渠道合作伙伴招募电话:010-80864274