浅谈EV证书的作用及思考
本文由Adam Caudill发表在其个人博客中。原文标题为Looking for value in EV Certificates。 当你搜索TLS(SSL)证书的时候会找到三种不同的类型,它们在价格和获取难度方面的差异很大。而你选择的种...
本文由Adam Caudill发表在其个人博客中。原文标题为Looking for value in EV Certificates。 当你搜索TLS(SSL)证书的时候会找到三种不同的类型,它们在价格和获取难度方面的差异很大。而你选择的种...
本文由Matt Caswell于2015年5月4日发布在OpenSSL博客。 即将到来的OpenSSL 1.1.1版本将支持TLS 1.3。这个新版本将兼容OpenSSL 1.1.0版本的二进制文件和API。理论上,如果你的应用程序支持Op...
Mozilla将在一周内对赛门铁克做出最终决定。 Mozilla星期一发布了长达10页的报告,包括迄今为止事件和问题的深入总结,以及其回应的草案版本。 对于赛门铁克爆出的问题,谷歌和Mozilla进行了公开调查,找到更多的管理...
针对谷歌对Symantec证书提出取消信任的计划,以及谷歌可能采取的代价巨大、破坏性很强的措施,Symantec提出异议,声称这项建议将和有关方面受到的影响相抵消。 今年1月,安全研究人员Andrew Ayer发现了大约100个颁发不当的证...
谷歌最初计划使证书透明系统于2017年10月生效。现在,该公司已修改了时间表,将生效时间推迟了6个月,到了2018年4月。 加州大学伯克利分校的研究人员正在研究新的TLS通信分析方法。在很多情况下,他们已经可以在对加密通信模型的分析基础上,...
上个月,CAB论坛投票通过了193号提案,该提案将缩短SSL证书有效期,期限变化幅度最大的是从3年缩短到2年。 该举措是为了解决长有效期证书固有的安全和逻辑问题。 假设缩短有效期会影响到证书的部署和管理,那么我们会构思一个简要的概述,来解释...
根据PCI DSS v3.2,截至2017年5月1日,SSL和Early TLS漏洞(如QID 38628“SSL / TLS服务器支持TLSv1.0”)将被标记为PCI失败。对于现有的实施方式,商家将能够提交PCI错误肯定/异常请求并提供...
证书颁发机构(CA)仍然在向一些具有明显的网络钓鱼和诈骗意图的域名颁发数以万计的证书。骗子们使用最多的就是这两个CA——Let's Encrypt和Comodo的域名验证证书,在2017年一季度发现的具有有效TLS证书的钓鱼网站中,这两个C...
卡巴斯基实验室的Dmitry Besthuzhev和Fabio Assolini在本周的安全分析高峰会上发表了一项针对巴西银行Banrisul的攻击行动,该峰会是卡巴斯基在圣马丁举行的一次会议。 2016年10月,巴西银行网站一整天被黑客完...
出来混都得还,赛门铁克欠了客户,谷歌又何尝不是? 本文由 Patrick Nohe 于2017年3月29日发表在The SSL Store Blog Symantec与浏览器社区(确切地说是谷歌)之间的长期争斗对整个SSL行业来说是相当不利...