SSL信息
本月大事件:Chrome将标记所有HTTP页面为不安全
Google一直是默认推送HTTPS的主要力量。 多年来,Google表示该计划最终将Chrome浏览器中的所有HTTP连接标记为不安全。 但考虑到普通互联网用户会对太多警告产生疲劳,这不是一个一夜之间就能发生的变化。
但是现今由于HTTPS连接的增加,谷歌默认安全网络的时间已近在咫尺。 今年7月,随着68版的发布,所有HTTP网页的默认警告将登陆Chrome。
这个结果是经过长时间准备的。 Chrome首先在登录表单上显示警告,然后将其扩展到所有输入表单。 此外,许多功能强大的网络功能(如麦克风访问,地理定位或HTTP / 2)仅通过HTTPS提供。同时, Mozilla也作了类似的限制。
短新闻
- GitHub禁用了旧版TLS版本1.0和1.1的支持。 这一行动已于2017年2月公布。GitHub博客文章提供了一些旧客户端列表,这些客户端存在兼容性问题并且不支持TLS 1.2。 预计更多的网页很快就会开始废弃旧的TLS版本,并且在6月份,PCI信用卡标准将要求禁用TLS 1.0。
- 研究人员在NIST后量子竞争中创建了一个关于基于lattice的算法提案的概述网页。
- Caddy网络服务器计划了一个遥测项目,在该项目中,它将从页面访问者收集数据,其中包括与TLS连接有关的大量信息。
- 新的RFC 8314阐述了如何运行一个需要TLS加密的现代邮件服务器。 值得注意的是,对于POP3,IMAP和SMTP使用隐式TLS端口,以前是非官方的,有时候会被视为弃用,现在是TLS的推荐方法。
- Chrome和Firefox浏览器已开始停止信任旧的赛门铁克证书。该计划公布于2017年8月,但许多网站管理员似乎仍为准备好执行该计划。 Arkadiy Tetelman和Scott Helme各自检查了使用不受信任的证书的网页。想检查自家网站是否受该事件影响的话可以使用Chrome Canary或Firefox Nightly,或查看Chrome的开发者工具。SSL Lab也出了一个检查受影响证书的工具。
- Scott Helme在博客文章中讨论了证书生命周期。
- OpenSSL发布了1.1.1版本的第一个alpha版本。最大的变化是增加了对即将到来的TLS 1.3的支持。
- TLS 1.3进入终审阶段,这意味着我们很快就会看到最终版本。
- 研究人员发现了腾讯QQ浏览器中的加密漏洞。 值得注意的是,他们发现中文浏览器使用了Textbook RSA和RSA以及极短且易破解的密钥。
- 博客文章显示了X.509扩展如何有时用于数据泄露。
- SSL Lab已经宣布对其评级标准进行修改。 值得注意的是,没有前向保密且没有AEAD的页面将不再获得A评级,易受ROBOT攻击的页面将获得F.
- Let’s Encrypt之前曾宣布在二月底前支持通配符证书,现日程被延后。
- Scott Helme在Alexa Top 1 Million上发布了关于TLS功能的统计数据。
稿源:The feisty duck