当前位置:主页 > DDOS和CC > 正文

国内高防cdn_防cc攻击怎么设置_无缝切换

时间:2021-10-14 14:46 来源:E度网络 编辑:E度网络

核心提示

近年来,数字证书和PKI的采用发生了很大的变化。证书只是SSL/TLS同义词的时代已经一去不复返了;更严格的身份验证要求和数字签名法规(例如eida)等法规遵从性驱动因素极大地扩展...

国内高防cdn_防cc攻击怎么设置_无缝切换

近年来,数字证书和PKI的采用发生了很大的变化。证书只是SSL/TLS同义词的时代已经一去不复返了;更严格的身份验证要求和数字签名法规(例如eida)等法规遵从性驱动因素极大地扩展了PKI在企业中的作用随着PKI使用范围的扩大,对话已经不仅仅局限于所需证书的数量和类型,而是转向关于定制PKI部署的更深层次的对话。谈话的很大一部分是关于从属CA(有时称为发布CA或中间CA)以及组织为什么需要自己的CA。让我们讨论一下。什么是CA层次结构?我们为什么需要它们?在我们进入中间/从属CA之前,一般来说,对CA层次结构进行一点刷新可能会有所帮助。众所周知,CA是颁发数字证书的实体,但是不太为人所知的是CA实际上是由一系列CA组成的。因此,虽然人们把GlobalSign这样的公司称为公共CA(单数),但实际上我们经营着许多CA。此CA层次结构创建了所有最终实体证书所依赖的信任链。?CA层次结构示例根证书和最终实体证书之间的层数以及层次结构的总体复杂性可能因环境而异。例如,我们在物联网和工业互联网领域的一些客户正在将设备身份证书构建到其制造过程中,这些客户已经实施了包括交叉信任、供应链中每个组件的独立从属CA、特定位置CA等的自定义层次结构。不管整体层次结构有多复杂,它们仍然由三个主要部分组成:根CA–根CA是层次结构的最高级别,用作信任锚。为了使最终实体证书可信,它链接到的根CA必须嵌入到操作系统、浏览器、设备或验证证书的任何设备中。根CA有很高的安全性并保持脱机(下面将对此进行详细说明)。从属CA–这些证书位于根和最终实体证书之间,其主要目的是定义和授权可以从根CA请求的证书类型。例如,在公共层次结构中,必须将SSL和S/MIME从属CA分开。另一个常见的场景是不同位置的不同的子级,或者您可能有一个用于带有ECC密钥的证书,另一个用于RSA密钥注意:根CA和终端实体证书之间可能有一个或多个从属CA。位于根CA和另一个从属CA之间的从属有时称为中间CA(请参见上图中最右侧的分支)。终端实体证书–这些是安装在服务器、机器、加密硬件和设备上的证书(例如,颁发给服务器的SSL/TLS、代码签名、发给个人用于电子邮件加密、数字签名、身份验证的客户端证书)。每个实体都由层次结构中它上面的实体签名,以创建我前面提到的信任链。根CA是自签名的,并在其正下方对所有从属CA进行签名。它们依次对它们下面的实体进行签名,要么是附加的从属CA,要么是最终的最终实体证书。实际上,您可以通过查看任何证书的详细信息来实际查看此层次结构。例如,如果您访问一个使用SSL/TLS的网站(在地址栏的开头查找HTTPS)并查看证书,则可以找到证书路径。在下面的示例中,您可以看到:根CA–"GlobalSign根CA–R3"。下级CA-"GlobalSign扩展验证CA–SHA256–G3"。最终实体证书-网站??在Chrome中查看的公共可信SSL/TLS证书的证书路径示例。为什么我们需要CA层次结构?你可能想知道为什么我们首先需要这个信任链。毕竟,层次结构中的任何CA都可以颁发证书,那么我们为什么不直接从根目录颁发证书呢?为什么要费心维护这些独立的实体呢?这归根结底就是当CA被破坏时会发生什么,这在适当的控制下是不可能的,但是在不幸的情况下,CA本身和它下面的任何东西——任何从属CA和所有颁发的证书——都必须被撤销。这给根CA带来了一个特别困难的问题,因为作为信任锚定点,它们必须分布在任何地方并嵌入其中。这意味着,为了让任何新的终端实体证书再次被信任,你必须重新应用到由微软、Mozilla、Google、Apple(以及其他公司)运行的根程序,这可能是一项艰巨的任务。如果你需要这个根目录被公开信任,那么你需要将它分发到每一个浏览器、操作系统、设备、控制台、电子邮件客户机、应用程序套件等等——这是一个很好的列表!此外,更新硬编码到设备或无法远程访问的设备上的根可能会有问题(例如销售点系统、ATM机、联网电话等)。?出于这个原因,最好的做法是从下级颁发最终实体证书(对于公共信任的根,CA/Browser论坛完全禁止从根颁发证书)。这样,在出现妥协的情况下,您可以最大限度地减少需要撤销并最终替换的内容。如果你的一个下级CA被泄露,你"只"必须撤销它和它下面的证书。从其他下属颁发的证书仍然可以,而且您不需要重新分发信任锚(即根CA)。这也是在根CA周围设置极端安全保护措施的原因,也是为什么它们应该保持脱机状态的原因—如果根CA出了什么事,你会过得很糟糕。只有在需要签署新的下级或证书吊销列表(CRL)时才应激活它们。你为什么要自己的下属CA?因此,既然您知道了什么是从属或中间CA,以及它们在更广泛的CA体系结构中的位置,我们现在可以解决为什么组织可能需要自己的CA—也就是说,以他们的名义专用的从属CA。以下是一些最常见的原因:客户端身份验证基于证书的客户端身份验证通常基于从属CA验证证书。通过拥有独占的从属CA,您可以限制拥有授予系统访问权限的证书的用户。这些从属CA可以是私有的,也可以是公共信任的,具体取决于组织的需要。SSL检查/解密为了让SSL检查设备对内容进行解密和重新加密,返利app开发,它必须能够根据需要颁发证书。这意味着它需要自己的从属CA,而这些不能被公开信任。有关SSL检查的从属和根CA注意事项的更多信息,请查看我们的相关博客。特殊用例证书一些证书类型,私人云服务器,如SSL/TLS和EV代码签名,受CA/Browser论坛基线要求的约束,这些要求指定了诸如有效期和密钥大小等内容。所有公开信任的证书都必须遵守这些准则。但是,大数据收集,在私有层次结构下颁发的证书超出了这些要求的范围,可以支持遗留应用程序和独特的配置,例如更长的有效期和更小的密钥大小。注意:如果您只需要私有SSL/TLS证书,但不需要专用的从属CA,GlobalSign还通过IntranetSSL服务提供共享(非专用)私有可信证书。自定义配置文件您可以配置从属CA,以满足您在扩展密钥使用、证书策略、CRL分发、短期证书等方面的特定需求。品牌对于向最终客户提供证书或将证书捆绑到服务中的公司,在其名称中使用专用的从属CA可以提供一些额外的品牌推广机会。我们在向其最终客户(如托管公司、网站建设者、电子商务平台)提供SSL/TLS证书的组织中看到了这一点,在这些组织中,拥有自己公开信任的下属CA意味着他们可以提供品牌订购页面和证书。如何获得你自己的下属CA-内部与托管PKI如果拥有自己的从属CA听起来像是问题的答案,物联网协议,那么下一个合乎逻辑的问题是如何获得一个。为此,就像当今技术的许多其他方面一样,您可以选择构建自己的或使用SaaS解决方案。公平地说,如果你需要公众的信任,这场争论是无关紧要的——你需要与一个公共CA合作。但是对于私人使用情况,比如上面提到的和公司特有的其他情况,运行内部CA仍然是一种选择。你为什么需要自己管理CA?在过去,大公司自己采用PKI并不少见,通常是通过使用microsoftca和证书服务。除了适用于大多数DIY与SaaS辩论的一般目标,如更大的控制和安全性,一些PKI特定驱动因素包括:有效地减少了用户自动注册和管理证书的生命周期。它是免费的-Microsoft CA服务包含在Windows Enterprise Server中,因此您不必为单个证书或任何支持服务付费。他们不需要公众信任——继上一条子弹之后,如果一家公司可以免费获得非公开证书,为什么还要为公众信任的证书付费呢?专用从属CA—通过管理您自己的PKI,您可以创建自己的从属CA,并确保只有您的公司可以访问它们。来自第三方CAs的新服务使外包成为一种选择我在上面特别提到了"过去",企业号应用,因为尽管仍有许多公司在运营他们的ow

  • <strong>cdn防御cc_怎么防御ddos_限时优惠</strong> cdn防御cc_怎么防御ddos_限时优惠

    随着公共云服务使用的增加,安全团队努力保持其云资产的可见性。事实上,在最近的一项调查中,43%的云安全专业人士表示,缺乏对基础设施安全的了解是他们最大的运营难题(引...

  • <strong>服务器防ddos_深信服云盾_如何解决</strong> 服务器防ddos_深信服云盾_如何解决

    今天,我们宣布Halo Cloud Secure的全面可用性,它在您的公共云基础设施环境中提供全面和连续的可见性。根据《2018云安全报告》,43%的云安全专业人士认为,缺乏对基础设施安全的了...

  • <strong>防ddos攻击_cc防护喷雾是什么_超稳定</strong> 防ddos攻击_cc防护喷雾是什么_超稳定

    云安全可视性自动化领域的领导者CloudPassion今天宣布Halo cloud Secure的普遍可用性,它提供了对公共云基础设施的全面和持续保护,为安全和DevOps团队提供了一个"单一的玻璃"视图,以查...

  • <strong>服务器高防_游戏高防服务器租用_超高防</strong> 服务器高防_游戏高防服务器租用_超高防

    对于许多企业来说,amazons3bucket是革命性的,特别是对于那些存储和分发大量视频和照片的企业来说。S3,或简单存储服务,是amazonwebservices(AWS)中的公共云存储。简而言之,它们提...

  • <strong>服务器防御_高防中转ip_免费试用</strong> 服务器防御_高防中转ip_免费试用

    AWS身份和访问管理(IAM)是一个功能强大的服务,它可以帮助您控制对AWS资源的访问,方法是指定哪些人和哪些内容经过身份验证(登录)和授权(具有权限)来使用这些资源。由于...

  • <strong>海外高防_网站CC攻击防御_怎么防</strong> 海外高防_网站CC攻击防御_怎么防

    今年是网络安全或数据泄露的一年。取决于你的立场。不管怎样,对于网络安全行业和试图锁定云安全战略的公司来说,这一年都是忙碌的一年。随着数字化转型的到来,越来越多的...

  • <strong>高防ddos_cdn防御服务器_优惠券</strong> 高防ddos_cdn防御服务器_优惠券

    从德勤到广告时代,再到《福布斯》,每个人都在谈论为什么CMOs应该关注网络安全,并更多地参与整体战略。这是有道理的,因为安全性已经超出了IT的权限,并成为董事会层面的问...

  • <strong>ddos清洗_神盾局特工第三季百度云_方法</strong> ddos清洗_神盾局特工第三季百度云_方法

    AWS CloudTrail捕获AWS帐户及其服务的所有API调用的日志。它还通过提供AWS基础设施中所有活动的审计跟踪,从而实现对AWS的持续监控和事故后法医调查。?如果Cloud试用程序被错误地配置...

  • <strong>免备案高防cdn_网游之持盾萌狼txt云盘_免</strong> 免备案高防cdn_网游之持盾萌狼txt云盘_免

    Bio-Rad Laboratories是一家价值22亿美元的生命科学和临床诊断领导者,其历史跨越了60多年,将通过Halo cloud secure保护关键的云资产!鉴于Bio-Rad的业务性质,他们非常重视保护微软Azure的云...