4006-555-883

回顾五月SSL证书行业短新闻

发布时间:2017-06-02 09:13:00
● Chrome将对使用HTTP的站点增加更多花式警告。从2017年10月开始,只要用户在HTTP站点上输入表单数据,Chrome就会在URL栏上显示一个“不安全”警告。

● sslsecure.vim 是一个Vim插件,在编辑配置文件时突出显示不安全的TLS密码。

● 越来越多的网站自动使用HTTPS。 本月, 新站点 The Verge, NASA, 以及Stack Overflow 宣布了HTTPS过渡。Stack Overflow发布了一篇博文描述了向HTTPS迁移的挑战和过渡的详情。

● Cloudflare开始支持X25519 密钥交换.

● 在IEEE安全和隐私研讨会上,发表了与TLS相关的几篇论文和介绍。 INRIA法国的研究人员获得了正式验证的TLS 1.3实施(TLS 1.3标准候选者的验证模型和参考实施)的杰出论文奖; 其他论文调查了证书撤销的新方法(CRLite:推出所有TLS撤销所有浏览器的可扩展系统;) 使用符号执行来查找证书验证库中的错误(SymCerts:在X.509中公开不合规的实际符号执行 证书验证实现;)和分析TLS实现的主机名验证(HVLearn:SSL / TLS实现中的主机名验证的自动黑盒分析;)

● 在Go的TLS库中的椭圆曲线P-256实现中发现并修复了进位错误。

● Ryan Hurst在博客文章中讨论了OCSP撤销原因; 他认为标准中的那些过时了。 在几个后续博客文章(帖子1,帖子2,帖子3)中,Hurst和Comodo的CEO讨论了短期证书。

● MySQL在处理TLS时发现了过去的几个漏洞,即使配置禁止依旧通常允许未加密的连接。 在上月的总结中,我们提到了Riddle漏洞。这一漏洞似乎至今并未修复,而近期一个叫“Again Riddle”的漏洞也才被修复没多久。

● LibreSSL中的错误在某些情况下使用回调函数打破了证书的验证。 该漏洞在LibreSSL 2.5.4中得到修复。

● 来自亚马逊的ColmMacCárthaigh提供了TLS 1.3中零往返时间(0-RTT)模式的关键分析。 0-RTT是TLS 1.3的一个有争议的功能。 它允许加密会话恢复,无需额外的往返行程,但它具有重播攻击的风险。

● Apache Hive软件无法验证证书中的域名。 此漏洞允许使用由接受的证书颁发机构签署的用于连接的任意证书。

● Mozilla的David Keeler发表了一项调查报告,关于Firefox似乎已经看到Mozilla域名没有被公开发布的有效证书。然而,事实证明,所有这些事件都可以用其他方式解释:内存不足,过时的DNS服务器和本地导入的根证书,都可以造成貌似公开信任的的假象。

● OpenSSL的Matt Caswell在使用TLS 1.3时发布OpenSSL支持TLS1.3特性的前瞻博文。

● 有一个叫做ctutlz 的Python库用于处理证书透明度。

● Cloudflare现在支持TLS客户端认证与客户端证书。

● Microsoft终于停止了在Edge和Internet Explorer中使用SHA-1签名的证书的支持。

● RFC 8164规定了HTTP / 2的机会性加密。 HTTP中的机会加密是有争议的,因为有些人认为它可能被用作避免部署适当HTTPS的借口。

● nginx-ct是在Nginx Web服务器中自动添加证书透明度SCT的模块。

● Mozilla讨论了Firefox是否应该停止执行常规OCSP检查。 由于OCSP通常以软故障模式实现,因此几乎没有安全优势。为此,Chrome已经停用了它。

● Sucuri公司的一篇博客文章表明,Google可能会使用缺少HTTPS密码表单作为其钓鱼列表的信号。Chrome和Firefox最近都对这些页面引入了警告。


文章来源: Feisty Duck
最新发布
1
央企密码中台建设:高效与安全并存的数字化转型必然选择
2
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
3
Digicert全球价格调整策略-中国区市场指导价格执行通知
4
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
5
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
6
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
7
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
8
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
9
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
10
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
相关推荐
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
Digicert全球价格调整策略-中国区市场指导价格执行通知
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
央企密码中台建设:高效与安全并存的数字化转型必然选择
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局