[幻蓝工作室]的数字证书

calatlog  [公开信息]  [CA说明]  [下载和安装]  [检验CA]  [检验具体证书]  [附录] 

  o(∩_∩)o 幻蓝工作室的数字证书,同样具有唯一性、安全性和不可否认性。

  这些数字证书的主要用途有:
 ●确保软件来自软件发行商 ●保护软件在发行后不被改动 ●向远程计算机证明您的身份
 ●保护电子邮件消息 ●保证远程计算机的身份 ●允许 Internet 上的安全通讯
 etc. (其它跟安全相关的用途)

  举个粟子,比如作为工作室最大产出的“开发免费软件”,在发布的时候,对软件采用数字证书进行签名,不仅保护了作者我所写的软件不被他人修改,更保护了下载使用者您的合法权益。
  因为正如你所知道的,目前由于利益的驱使,许多合法的软件都被不同程度修改过,而这样做对使用者最明显的害处在于:不仅破坏了软件的功能,令使用者无法正常使用全部功能,而且错误的的代码,更可能造成对系统严重的破坏;另外地,被强行修改的软件往往捆绑了各种恶意软件和病毒,对广大的软件使用者更是伤害至深。同时,这些修改者都是利益驱使且是匿名修改,不会对你承担软件修改后造成的任何责任,使得使用者往往无法有效地得到使用支持和技术帮助。
  因此,数字证书的普及应用及其验证能力,将有效地去防止上述情况的发生。


  Q:为何工作室,选择了自己管理和使用,自签的数字证书?
  A: o(TヘTo) 因为,穷啦.. 数字证书目前终于逐渐被广泛使用。但是!但是:

  • 我是在2005年开始设计和开发软件,面对当年猖狂的盗版和恶意篡改困局,我当时就已经需要“数字签名”这样有效的解决方案;
  • 免费的数字证书(比如知名的Let's Encrypt),出现时间要到2016年,而且用途仅能够“用于Https站点访问用途”,无法用于代码和文件签名;
  • 允许用于代码和文件签名的证书,截止目前为止,价格依然是无比昂贵(每年¥3000左右),对~ 还是按年付费的。(我已经哭晕在楼梯...

  工作室的数字证书,同样在许多场景里,为彼此(您和我)的数字化安全,保驾护航。
  比如,当访问工作室的HTTPS站点时,SSL证书将负责建立安全通道,对传输的数据进行加密和验证;当使用工作室的邮件服务时,电子邮件证书将精确唯一地标示彼此的身份,保障邮件内容的安全和完整;等等。

  接下来,我将分点向大家,说明工作室的CA证书的安装、具体子证书的验证。一切都是简单可行,不过在[指纹核实阶段],需要您仔细对比下CA证书们的指纹哦。

 

一、工作室的证书公开信息

  

  * 其中,[SHA1指纹]作为每张证书的唯一标示,无法被刻意伪造。在后续章节的说明中提及的“指纹”(旧版系统也成为微缩图)一词,则为此处数字证书们,所对应的一串16进制数据。

 

二、CA证书的说明

  数字证书,采用一种信任链的方式,来决定是否信任其他证书的。

  其中“CA证书”的重要功能,就是专职颁发、验证、吊销子证书。
  比如上面[证书列表]中,位于最顶部的CA根证书,颁发多张CA中级证书;那么,此时在具体的操作系统里,如果CA根证书被存入信任列表,则对应的CA中级证书们,才会被信任。然后,被信任的CA中级证书,所颁发具体用途的证书(比如代码签名证书),在具体的场景里(比如验证是否为幻蓝工作室的CA中级证书颁发的、验证代码是否被修改过),才能发挥它的验证能力。

  各类操作系统的受信任CA证书列表,由系统厂商,通过升级补丁来维护;
  各类浏览器的受信任CA列表,由浏览器厂商定期维护。

  幻蓝工作室的数字证书,属于自签名证书类型,所以交由工作室自己来进行维护。
  目前的策略,通过本页面来下载“安装程序/文件”,来将对应用途证书所对应的CA证书,添加进 操作系统/浏览器 的受信任CA证书列表里。
  然后工作室这些CA证书,具备自动更新吊销列表状态。比方,当具体用途证书、具体CA证书,需要被提前弃用、颁发错误、被碰撞Hack、发现被最终用户非法使用等等情况时,我会在我的网站更新吊销列表,使得您的操作系统/浏览器,能迅速收到反馈并自动废弃目标证书,移动到相应的“不受信任证书列表”里。

  o(∩_∩)o 工作室有能力,规范和及时地保障,所颁发的数字证书的完整性、安全性,请放心使用。

 

三、安装工作室的CA证书

  Download|Setup ->  
  * 按照压缩包里的目录分类和文字说明,运行/解压您所需要的文件。

  安装过程,如果系统有弹出对话框,提示正在导入的证书信息,则请着重对比下[指纹]信息,是否跟[证书列表]所提供的指纹一致。避免恶意假冒的证书被安装。

  ●将CA证书安装到系统的证书库里。
  这里举例Windows系统。 按照操作步骤截图,执行压缩包里的自动安装程序即可。

  ●将CA证书安装到浏览器的证书库里。
  截止至2016年的现在,众多浏览器厂商对证书库的使用如下:
  @ Windows系统环境,IE、Edge、Chrome,直接使用系统的证书库,而Firefox、Opera使用浏览器自带的证书库;
  @ Linux等系统环境,Chrome、Firefox、Opera均使用浏览器自带的证书库。
  因此,属于“浏览器自带的证书库”的情况,则需要通过浏览器提供的界面,进行CA证书的导入。
  这里举例Firefox浏览器,其他浏览器类似。按照操作步骤截图,依次导入压缩包里的证书文件即可。

 

四、检验工作室的CA证书

  目标是找到证书库里的根证书,然后查看[状态]和检查[指纹]。

  ●将CA证书安装到系统的证书库里。
  Windows的CA证书,可以通过截图里的步骤进行检查。

  ●浏览器里的CA证书,则按照[下载和安装]章节一致的步骤,查看已导入的证书即可。

 

五、检验具体用途的证书

  ●验证发布软件的代码签名

  ●验证HTTPS网站的SSL证书

 

附录

  旧版数字证书
《幻蓝工作室》 All Rights Reserved © 版权所有 
关闭
o(∩_∩)o 鼠标移动并悬停在具体的节点,将可以看到对应的“证书用途”和“指纹”:
关闭

  点击下载压缩包

  o(∩_∩)o 下载之后,请校验文件码是否跟以下信息一致:
  MD5:3084928607d7ed8fdf48df8af57f0a7a
  SHA1:b765329e2f946e40954442d7c0b15737e810f18b
  CRC32:2d570b4d

关闭

  工作室的旧版数字证书,创建于2008年。有些原因,促使我在2016年,全面地更换工作室的数字证书,从根证书再具体用途证书,全部重新签发。
  一方面,那个时候跟众多证书机构一致,均普遍只采用1024位的密钥 + SHA1算法,其安全方面的健壮性,在随后的几年里陆续表现出不足。谷歌等厂商,自2013年7月份底宣布开始将SSL密钥升级2048位;而微软在代码签名方面也宣布,自2016年1月1日起,使用SHA1算法的代码签名证书的程序在新版Windows系统中将不被信任,在此之前使用时间戳签名的所有程序不受此更新影响。
  另一方面,当年我对数字证书的理解并不透彻,因此在颁发证书、维护证书等方面,当时做得不够规范和全面。而这方面的调整,也必须是从重新签发根证书,就开始做起。
  o(∩_∩)o 因此,综上所述,幻蓝工作室最终在2016年起,全面更新数字证书。

  开发的所有软件,将在其下次升级更新版本时,使用新证书进行代码签名;所有的HTTPS站点,也已经陆续使用新的SSL证书。
  正如前面提到的,2016年前用旧证书签名的软件,因为当时有使用时间戳,因此在微软的众多系统里依然会受到信任不被影响。但是在工作室升级所有软件,实现新的代码签名之前,如果您有需要进行验证的话,则旧根证书依然需要安装才可以进行。这正是我在附录,特别补充这个章节的原因。

  旧的根证书安装,请点击下载(全局只有1个CA证书,根证书,名称为“阳舟个人工作室”)。
  MD5:9c9b6b47ce3d3f852164b4700d579cd4
  SHA1:e83f5b6fb04352d9f84a7e442a70b5c3ab1a7641
  CRC32:88dc39a8