来自 网络 2021-07-19 09:49 的文章

ddos怎么防_阿里云防ddos攻击_优惠券

ddos怎么防_阿里云防ddos攻击_优惠券

上个月,证书颁发机构安全理事会(CASC)正式宣布了新的公开可信代码签名证书的最低要求,google云防御ddos,这标志着证书颁发机构(ca)将首次有一套专门为代码签名设计的标准化发行和管理策略。您可以阅读本文档中的全部要求:发布和管理公共可信代码签名证书的最低要求。这些需求对CA策略进行了详细的描述,包括证书内容、撤销和状态检查、验证实践等等。虽然ca一直忙于幕后工作以遵守所有这些要求,但您可能想知道这些更改对您意味着什么。让我们看看一些新的需求将如何影响实际使用证书来签署代码的人。私钥需要存储在加密硬件上根据CASC,代码签名攻击的主要原因之一是密钥泄露。也就是说,恶意方获得合法的"好"发布者的私钥的访问权,并使用它对恶意文件进行签名,使其看起来可信,并增加其被下载的机会。将密钥存储在安全加密硬件上,如USB令牌或硬件安全模块(HSM),与本地存储密钥(新要求之前最常见的方法)相比,可以显著降低密钥泄露的几率。我们建议加强私钥保护已经有一段时间了,自从2014年引入扩展验证(EV)代码签名证书以来,这一直是对它们的要求。根据新的指导原则,代码签名证书必须存储在硬件上,如拇指驱动器、SD卡或符合FIPS 140-2的USB令牌。对于标准代码签名,GlobalSign建议使用加密硬件产品或TPM保护私钥,而不是使用其他可移动硬件(如拇指驱动器或SD卡)。规范严格的身份验证根据CASC的说法,代码签名攻击的另一个主要原因是向恶意发布者颁发证书,而后者使用证书对病毒或恶意软件进行签名。为了防止这种情况的发生,新的要求概述了CAs在发布之前必须采取的具体预防措施,包括:对出版商进行严格的身份验证,包括合法身份、地址、成立资料等对照可疑或已知的恶意软件发布者、生产商和分销商名单进行交叉检查维护和交叉引用由于用于签署可疑代码和先前被CA拒绝的证书请求而被吊销的内部证书列表许多CA已经遵守了这些过程中的大部分,但是标准化使得一个糟糕的发布者很难在被其他人拒绝的情况下到处寻找审查过程较弱的CA。报告和响应证书滥用或可疑代码除了试图从一开始就阻止证书的颁发,新的要求还规定CA运行一个"证书问题报告"系统,通过该系统,第三方(如反恶意软件组织、依赖方、软件供应商)可以报告"疑似私钥泄露、证书滥用,华为DDOS防御做的最好,用于签署可疑代码、收购攻击或其他可能的欺诈、妥协、滥用、不当行为或任何其他与证书有关的事项的证书。"对于如何应对这些报告的问题,中情局会被严格要求。例如,他们必须在24小时内开始调查,并就任何事件保持全天候的沟通。如果怀疑有恶意软件或其他滥用行为,也有关于撤销的严格准则和时间表。您可以在此处向GlobalSign报告问题。新的报告系统意味着,谷歌云服务器防御DDoS攻击么,即使恶意发布者碰巧通过了验证过程,他们的证书也可以被及时报告、调查和吊销。所有CA必须提供时间戳开发人员可能感兴趣的另一个新要求是,所有CA现在都必须运行一个RFC-3161兼容的时间戳授权(TSA),可供所有代码签名客户使用。这意味着每个签名可以包含一个可信的时间戳。(注意:GlobalSign始终为代码签名客户提供时间戳。)这样做的主要好处是,azureddos防御,当证书过期时,签名不会过期,这通常是没有时间戳的情况。相反,cc防御保护,签名可以在时间戳证书的生命周期内保持有效,根据要求,可以长达135个月。从时间戳中获益的另一个场景是密钥泄露和随后的证书吊销事件。例如,如果您的密钥用于签署合法代码,但后来被泄露并用于签署恶意代码,则可以将吊销日期设置为两个事件之间的时间。这样,您的合法代码将继续受信任,但恶意代码将不受信任。代码签名的未来更安全新的标准和要求是减少代码签名攻击的重要一步。微软是第一家采用该指南的应用软件供应商,并将于2017年2月1日开始实施。在此之前,所有GlobalSign代码签名证书都将符合新的要求。如果您对任何更改有任何疑问,请随时与我们联系。我们还推荐来自CASC的白皮书,以获取有关代码签名标准和最佳实践的更多详细信息:代码签名白皮书:它是什么,最佳实践,以及它为什么重要。