EVSSL证书铸造网络信任防火墙???

在中国互联网信息中心7月份公布的《第22次中国互联网发展状况报告》结果显示，中国网民已经增长到253亿，成为世界第一，大家开始依赖网络生活，但是对网上交易安全性却极度缺乏信任，甚至给出了不及格的评价。难道网上银行、网络交易真的处处陷阱，步步惊心吗？
面对这种局面，金融站点、购物网站并未坐以待毙，都在积极采取应对措施，如何重新获得网民的信任，并将这种信任加以巩固？全新的EVSSL证书的登台献艺，为正处在信任危机中的国内网站带来新的契机。金融机构的各大网上银行，目前正陆续开始换装新一代EVSSL服务器证书，用户在登录有EVSSL证书保护的银行网站时，网站地址栏将变成绿色，真假网站一目了然。
安全防范源于严格
一张我们既看不到也摸不到的所谓“证书”就真能保障消费者利益？
服务器证书是通过在客户端浏览器与Web服务器之间建立一条SSL安全通道从而保证双方信息在网络上传输的安全性，用户可以通过查看服务器证书属性信息便可得知所访问站点的真实与否。新一代EVSSL服务器证书的产生更是为了杜绝在全球方位内频频发生的在线欺诈泛滥问题。它是全球著名的数字证书颁发机构（如：VeriSign、GeoTrust、Thawte等等）联合主流浏览器开发商一起构建起的安全防护网络。
所谓“EVSSL证书”，是遵循全球统一的严格身份验证标准颁发的SSL证书，用来保护用户不与没有经过严格身份验证的网上商户进行在线交易。所有颁发EVSSL证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份审核，而浏览器能自动识别出EVSSL证书，使得地址栏主动变成绿色。这样以来在线消费者便可安心交易，因为消费者能非常清楚地知道他们正在与谁交易，并且他们的交易数据正在安全加密通道的保卫之下。EVSSL证书通过在业务层面上对申请机构的严格审核，尽可能地规避了由于审核标准不同而产生服务器证书拥有者身份不真实所带来的安全隐患。
一纸应运，效益显见
EVSSL服务器证书的广泛应运，在全球范围内都得到了使用者的赞誉。全球最值得信任的网络基础架构供应商—威瑞信(VeriSign)在EVSSL推出之后，曾做过一个关于EVSSL的调查，结果显示：相比由常规服务器证书保护的站点，93%的互联网用户更青睐绿色标记的EVSSL站点；同时97%的购物者看见绿色标志时会使用xyk，而没有看见绿色标志时，这一意愿下降到63%。同时国外著名的购物网站在使用EVSSL服务器证书后交易量也有显著变化：Overstockcom使用EVSSL后，购物车定单放弃率降低了86% aypal在使用EVSSL后，“购物车定单放弃率也降低了几个百分点”；VirtualSheetMusic网站在使用EVSSL交易量则增长13%。由于EVSSL更具识别性，它正开始让交易变得更加便捷可信。
天威诚信作为国内技术力量强大的第三方CA机构，同时也是威瑞信（VeriSign）在中国的首要合作伙伴，一直在积极推进EVSSL服务器证书的广泛使用。为了让更多客户能够了解EVSSL服务器证书，保障电子商务在中国的健康发展。7月天威诚信与威瑞信在上海隆重举办了华东地区EVSSL高端用户答谢会，面对面地为大家讲解和展示了EVSSL服务器证书的功能和相关技术，双方相信构建一个规范运营，诚实守信的网络商圈，需要各方积极参与，商家、网民、第三方数字认证机构需要同心协力，EVSSL才能在国内发挥更佳的作用

EVSSL证书铸造网络信任防火墙
在中国互联网信息中心7月份公布的《第22次中国互联网发展状况报告》结果显示，中国网民已经增长到253亿，成为世界第一，大家开始依赖网络生活，但是对网上交易安全性却极度缺乏信任，甚至给出了不及格的评价。难道网上银行、网络交易真的处处陷阱，步步惊心吗？
面对这种局面，金融站点、购物网站并未坐以待毙，都在积极采取应对措施，如何重新获得网民的信任，并将这种信任加以巩固？全新的EVSSL证书的登台献艺，为正处在信任危机中的国内网站带来新的契机。金融机构的各大网上银行，目前正陆续开始换装新一代EVSSL服务器证书，用户在登录有EVSSL证书保护的银行网站时，网站地址栏将变成绿色，真假网站一目了然。
安全防范源于严格
一张我们既看不到也摸不到的所谓“证书”就真能保障消费者利益？
服务器证书是通过在客户端浏览器与Web服务器之间建立一条SSL安全通道从而保证双方信息在网络上传输的安全性，用户可以通过查看服务器证书属性信息便可得知所访问站点的真实与否。新一代EVSSL服务器证书的产生更是为了杜绝在全球方位内频频发生的在线欺诈泛滥问题。它是全球著名的数字证书颁发机构（如：VeriSign、GeoTrust、Thawte等等）联合主流浏览器开发商一起构建起的安全防护网络。
所谓“EVSSL证书”，是遵循全球统一的严格身份验证标准颁发的SSL证书，用来保护用户不与没有经过严格身份验证的网上商户进行在线交易。所有颁发EVSSL证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份审核，而浏览器能自动识别出EVSSL证书，使得地址栏主动变成绿色。这样以来在线消费者便可安心交易，因为消费者能非常清楚地知道他们正在与谁交易，并且他们的交易数据正在安全加密通道的保卫之下。EVSSL证书通过在业务层面上对申请机构的严格审核，尽可能地规避了由于审核标准不同而产生服务器证书拥有者身份不真实所带来的安全隐患。
一纸应运，效益显见
EVSSL服务器证书的广泛应运，在全球范围内都得到了使用者的赞誉。全球最值得信任的网络基础架构供应商—威瑞信(VeriSign)在EVSSL推出之后，曾做过一个关于EVSSL的调查，结果显示：相比由常规服务器证书保护的站点，93%的互联网用户更青睐绿色标记的EVSSL站点；同时97%的购物者看见绿色标志时会使用xyk，而没有看见绿色标志时，这一意愿下降到63%。同时国外著名的购物网站在使用EVSSL服务器证书后交易量也有显著变化：Overstockcom使用EVSSL后，购物车定单放弃率降低了86%;Paypal在使用EVSSL后，“购物车定单放弃率也降低了几个百分点”；VirtualSheetMusic网站在使用EVSSL交易量则增长13%。由于EVSSL更具识别性，它正开始让交易变得更加便捷可信。
天威诚信作为国内技术力量强大的第三方CA机构，同时也是威瑞信（VeriSign）在中国的首要合作伙伴，一直在积极推进EVSSL服务器证书的广泛使用。为了让更多客户能够了解EVSSL服务器证书，保障电子商务在中国的健康发展。7月天威诚信与威瑞信在上海隆重举办了华东地区EVSSL高端用户答谢会，面对面地为大家讲解和展示了EVSSL服务器证书的功能和相关技术，双方相信构建一个规范运营，诚实守信的网络商圈，需要各方积极参与，商家、网民、第三方数字认证机构需要同心协力，EVSSL才能在国内发挥更佳的作用。
附：
EV服务器证书在浏览器地址栏的颜色的不同含义：
红色：在线客户正在登陆一个已知的钓鱼网站，同时显示网站证书有错误或来自不可信的数字证书签发机构，强烈建议客户不要继续在此类网站继续交易。
：无法验证该证书或颁发该证书的证书颁发机构的身份，这可能表示该证书颁发机构的网站出现问题。
白色：该服务器证书已正常验证，这表示浏览器和该网站之间的通信已加密。不过，该证书非EVSSL证书，颁发机构未对该网站的商业行为做出任何声明。
绿色：EVSSL独有标志，表示该证书使用了扩展验证。这表示浏览器和网站之间的通信已加密，并且该证书颁发机构已确认该网站由某企业所有或运行，该企业是根据该证书和安全状态栏上显示的权限进行合法组织的。

据新华社报道，美国同意将于10月1日把互联网域名管理权正式移交给互联网名称和编号分配公司简称（ICANN），不过，此举遭到美国部分国会议员的反对。有媒体认为，美国将域名管理权移交ICANN，是美国主动放弃互联网霸权。但笔者认为，美国此举是换汤不换药，本质上并未放弃全球互联网霸权。

根服务器非常重要

今天的互联网起源于1969年美国国防部高级研究开发的阿帕网，其开发目的主要是为了防止美国的军事系统在战争爆发时遭到打击而瘫痪。最初的阿帕网由美国西海岸的4个节点——加州大学洛杉矶分校、斯坦福研究院、加州大学圣巴巴拉分校、犹他大学构成，随后加入阿帕网的组织和机构越来越多。1983年，美国国防部将阿帕网向民用领域开放，逐渐发展成今天的互联网。

虽然互联网高高飘在云端，显得虚无缥缈，但实际上，互联网的正常运营必须有相应的软件和硬件作支撑，而根域名服务器就是支撑整个互联网运作重要的设备之一。

每一台电脑若要联入互联网，就必须有一个IP地址，IP地址由32位二进制数组成。由于数字型的IP地址很难记住，所以访问网络时经常使用域名来表示IP地址。由于IP地址才是互联网上计算机的真正标识，所以当用域名访问网络时，必须将域名翻译成IP地址后才能在互联网中找到对应的计算机。

把域名翻译成IP地址的软件称为“域名系统”(DNS)。由于人类设计互联网的时候缺乏前瞻性，用以分别不同设备的IP地址太少，于是不同国家和地区就会用自己的地址作为一种表示方式来增加地址，并形成一个分布式的域名数据库系统，该系统采用分级授权的域名管理机制，在这个分级授权结构中，最顶层的称为根域，随后是处于不同层级的子域。一个完整的主机域名是从最下面的子域到根域的名字由点“．”连接而成的字符串。例如，浙江省政府的域名是:>

之前说过，能否访问一个网站，关键在于域名能否被解析，找到域名对应的IP地址，而这个工作则由互联网中的域名服务器(DNS服务器)来完成。域名服务器是装有域名系统的主机，分为本地域名服务器和根域名服务器。本地域名服务器上存储着域名到IP地址对应关系的缓存数据，用于提供域名解析服务，而根域名服务器保存着cn、hk等属于国家及地区顶级域名。

域名解析过程从本地域名服务器开始的，如果本地域名服务器上有要查询的记录，就立即将查询到的主机IP地址返回给发出请求的客户端。如果本地域名服务器上没有该主机的记录，域名服务器就会向互联网上最顶层的根域名服务器发出查询请求，此时查询将沿着根域、二级域、三级域的顺序进行。某种程度上，根服务器类似于总邮局，如果本地邮局（本地域名服务器）无法完成投递工作，则将邮件上传到总邮局识别投递。因此，根域名服务器是互联网中至关重要的部分。

为何说美国掌握着互联网霸权

由于受到域名解析协议中数据包大小的限制，目前全球根服务器仅有13台，使用英文字母A至M来命名，其中主根服务器1台，位于美国，辅助根服务器12台。辅助根服务器中，9台位于美国，英国、瑞典、日本各有一台，以下为13台根服务器的位置：

A——INTERNI．NET(美国弗吉尼亚州)

B——美国信息科学研究所(美国加利弗尼亚州)

C——PSINet公司(美国弗吉尼亚州)

D——马里兰大学(美国马里兰州)

E——美国航空航天管理局(美国加利弗尼亚州)

F——因特网软件联盟(美国加利弗尼亚州)

G——美国国防部网络信息中心(美国弗吉尼亚州)

H——美国陆军研究所(美国马里兰州)

I——Autonomica公司(瑞典斯德哥尔摩)

J——威瑞信(VeriSign)公司(美国弗吉尼亚州)

K——RIPENCC(英国伦敦)

L——IANA(美国弗吉尼亚州)

M——WIDEProject(日本东京)

根域名服务器分布图

毫不夸张的说，根域名服务器就是互联网的命脉，如果这13台根域名服务器中的某一台或几台出现故障，或遭到黑客攻击而停止服务，则域名解析有可能无法进行，那些依靠这些域名系统支持的互联网应用和服务将停止工作。举例来说，2002年10月21日，13台根域名服务器遭受黑客攻击，导致9台根服务器丧失了对网络通信的处理能力，网络出现局部瘫痪。2007年2月5日，3台根服务器遭受到黑客的攻击，其中包括运行“ORG”域名的根域名服务器和美国国防部运行的一个根域名服务器。2010年1月12日，由于美国负责百度域名解析的根服务器遭到了黑客攻击，百度首页出现大面积的访问故障，全国绝大多数地区均无法访问百度网站。2014年1月21日，由于解析全国所有通用顶级域的根服务器出现异常，百度、新浪、腾讯、京东等诸多网站的访问均受影响，众多网站出现无法访问的现象。

上述网络局部瘫痪仅仅是因为根服务器异常或黑客攻击所致，一旦作为根服务器主要管理者的美国出手，带来的影响将是异常巨大——凭借对根域名服务器的管理权，美国可以屏蔽掉某些国家的顶级域名，使这些域名无法得到解析。通过这种无声的较量，美国可以让一个国家在互联网中瞬间消失。举例来说，2003年伊拉克战争期间，美国政府就曾终止对伊拉克国家项级域名IQ的解析，致使所有以IQ为后缀的网站瞬间从互联网上消失。2004年4月，由于在顶级域名管理权问题上与美国发生分歧，利比亚顶级域名LY突然瘫痪，让利比亚在互联网世界里消失了4天。美国还于2008年曾切断过古巴、朝鲜、苏丹等国的MSN即时网络通讯，使这些国家的用户无法使用MSN。

正是因为美国牢牢掌控着主根服务器和9台辅助根服务器，所以美国始终手握全球互联网霸权，乃至于成为其强权政治的重要工具，根服务器也成为影响国家网络信息安全的重大隐患。

域名管理权移交ICANN并不意味着放弃互联网霸权

有媒体认为，美国同意将域名管理权移交ICANN，意味着美国主动放弃互联网霸权。但笔者认为，这种解读未免有失偏颇。首先，国际互联网名称和编号分配公司（ICANN）是一家负责全球互联网根服务器、域名体系和IP地址等的管理的机构，虽然是一个非营利性国际组织，但ICANN却是在美国商务部提议下成立的，而且美国商务部还拥有最终否决权。因此，即便不考虑一些国际机构在很多国际事务中对美国的无原则偏袒，这种由美国商务部倡议下成立，且拥有最终否决权的机构很难摆脱美国政府的控制。

更何况美国政府还有食言的先例——美国商务部曾经承诺，当ICANN满足一定条件时将放弃最终的否决权，并将最后的期限定为2006年。然而在2005年7月1日，美国政府宣布，美国商务部将继续与ICANN签订合约，将无限期保留对13台根域名服务器的管理权。因此，在现阶段仅仅是同意将域名管理权移交ICANN的情况下，很难保证美国政府不会故技重施。

虽然现在13台根域名服务器仍由美国政府授权的ICANN掌控，并且在理论上控制根服务器能截获、丢弃、篡改、伪造经过根服务器的信息，但中国并非一点反制的方法都没有。

首先，经过根服务器的信息量并不是非常大，之前说过，如果本地域名服务器上有要查询的记录，就立即将查询到的主机IP地址返回给发出请求的客户端，只有在本地域名服务器上没有该主机的记录，域名服务器才会向互联网上最顶层的根域名服务器发出查询请求。

其次，信息是分段传递的，而且很多民用的信息也是加密的，信息加密手段还有防篡改的功能，特别是中国正在产业化的量子通信。虽然对美国屏蔽掉国家顶级域名的行为无能为力，但可以避免信息被篡改的情况。

最后，虽然COM、NET等域名均由国外公司负责管理，但CN下的域名由中国互联网络信息中心负责管理，中国互联网络信息中心在全国设置了多个负责CN域名解析的域名服务器，特别是内设置了根域名镜像服务器——即使在根域名服务器中止了对CN域名解析的情况下，也能保证部分CN下的域名在国内能正常访问。正是因为如此，如政府网站、国有银行网站大多使用CN域名。

笔者认为，只要还存在国家和利益纠纷，美国完全放弃手中互联网霸权的可能性就微乎其微，一些表面上移交域名管理权的做法很可能只是换个马甲而已。另外，对于美国的互联网霸权，中国也不必太过于在意，毕竟中国手中也握有一些反制的底牌。

出品：科普中国

制作：铁流

监制：中国科学院计算机网络信息中心

“科普中国”是中国科协携同社会各方利用信息化手段开展科学传播的科学权威品牌。

本文由科普中国融合创作出品，转载请注明出处。

你好!
HKEY_USERS\S-1-5-18是SYSTEM的"HKEY_CURRENT_USER"注册表
HKEY_USERS\S-1-5-19是LocalService的
HKEY_USERS\S-1-5-20是NetworkService
HKEY_USERS\S-1-5-21-165900450 是你这个用户
(不信的话你可以简单地打开HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders查看)
HKEY_USERS\xxx_Classes就是HKEY_USERS\xxx\software\classes
还有就是,如果你要修改其他用户的注册表的话,应当先以他的身份运行一个程序,这样他的注册表就会被加载并显示在HKEY_USERS中
谢谢!
参考 >;     国内常用公共DNS
      114 DNS：(114114114114;114114115115)
      114DNS安全版：(114114114119;114114115119)
      114DNS家庭版：(114114114110;114114115110)
      阿里DNS：(223555; 223666)
      百度DNS：(180767676;ipv6地址：2400：da00：：6666)
      DNSPod 腾讯公共DNS：(119292929;119282828;182254118118;182254116116)
      CNNIC sDNS：(1248;210248)
      oneDNS：(117501111;117502222)
      DNS派 电信/移动/铁通：(10122646;218301186)
      DNS派 联通：(123125816;1402071986)
      中科大防污染DNS：(202141162123 中国电信;20214117813 电信线路;2023893153 教育网;20214117693 中国移动)
      干净，自由，无劫持纯净DNS：(南方 11515914699;北方 1232062148)
      BAI DNS：(2231139799)支持EDNS智能解析，无污染dns，快速安全
      PdoMo-DNS：(主DNS 10113218399;辅DNS 19311215186)可过滤广告，纯净无劫持
      FUN DNS：(11923248241)
      骆驼云安全 camelyundns 公共 DNS：(632239466)
      CuteDNS：
      高速DNS： (华北 12320661167;华南 11929105234)原汁原味，高速解析
      去广告DNS：(华北 1012362823 ;华南 1207721284) (可屏蔽广告及违法信息)
      我国首个IPv6公共DNS：(首选DNS：240c：：6666;备用DNS：240c：：6644)
      P站DNS：(DNS 1： 12320713788，DNS 2： 115159220214 ;备用DNS 1： 11515914699，备用DNS 2： 1232062148)
      清华大学TUNA DNS666：(101666;2001：da8：：666)
      HI！XNS：(4073101101)纯净无劫持
      港、澳、台地区
      台湾网络资讯中心 TWNIC Quad 101 DNS：(主DNS：101101101101;备用：101102103104) (IPv6：主DNS：2001：de4：：101;备用：2001：de4：：102)
      香港宽频DNS：(203809610;20380969)
      中国(香港)电信全球有限公司NS1：(2025511100 )测试未 ping 通
      中国(香港)电信全球有限公司NS4：(202552185)ping 在90左右
      西门子菠菜服务器(香港)：(112121178187)ping 在50左右
      中国台湾中华电信 HiNet DNS：(168951921; 1689511)
      和记黄埔有限公司：(202458458)
      国外公共DNS
      Cloudflare & APNIC ( IPv4： 主DNS：1111，备用：1001;IPv6： 主DNS：2001：2001：：，备用2001：2001：2001：：)
      AdGuard DNS(测试版)：
      默认(176103130130;176103130131)可拦截广告，跟踪和钓鱼网址
      IPv6 地址为：(2a00：5a60：：ad1：0ff;2a00：5a60：：ad2：0ff)
      家庭保护(默认 + 拦截成人网站 + 安全搜索)
      176103130132;176103130134
      IPv6 地址为：2a00：5a60：：bad1：0ff;2a00：5a60：：bad2：0ff
      Google DNS：(8888; 8844)
      谷歌Google Public DNS IPv6 DNS：(2001：4860：4860：：8888; 2001：4860：4860：：8844)
      level 3：(4221;4222 )
      IBM Quad9 DNS：(9999)
      Comodo Secure：(8265626;82024720)
      V2EX DNS：(1999173222;17879131110)
      OpenDNS：(20867222222;20867220220)
      OpenDNS Family：(20867222123、20867220123)
      UltraDNS：(156154701;156154711)
      Norton ConnectSafe：(1998512610;1998512710)
      威瑞信公共 DNS：(646646;646656)
      Dyn DNS：(2161463535;2161463636)
      Freenom World DNS：(80808080;80808181)
      Yandex Basic：(778888;778881;778882;778883)
      柬埔寨 CN2 DNS： (103197104178;10319710675;203189136148)ping在110-120左右
      Hurricane Electric HEDNS： (IPV4：74824242;IPV6：2001：470：20：2;IPV4：662201842)
      UCOM日本东京：(20311224)
      DNSWATCH：(IPV4：842006980;842007040;IPV6：2001：1608：10：25：：1c04：b12f;2001：1608：10：25：：9249：d69b)
      SafeDNS：(195463939;195463940)
      puntCAT DNS：(IPV4：10969851;IPV6：2a00：1508：0：4：：9)
      韩国电信DNS：( 168126631;168126632 )

---