赛门铁克曝API漏洞让攻击者窃取SSL私钥及证书
安全研究人员已经披露了Symantec证书代理商用来提供和管理Symantec SSL证书的流程和第三方API中的关键问题。 Cloud Harmonics信息安全顾问Chris Byrne发现的缺陷可能允许未经身份验证的攻击者检索其他人的...
安全研究人员已经披露了Symantec证书代理商用来提供和管理Symantec SSL证书的流程和第三方API中的关键问题。 Cloud Harmonics信息安全顾问Chris Byrne发现的缺陷可能允许未经身份验证的攻击者检索其他人的...
这项新规将在2018年实施...... 随着CAB Forum第193号投票的通过,SSL行业将拥有更新更短的最长SSL证书有效期。 作为SSL行业的风向标,CAB Forum制定过许多行业规则,及规范SSL证书。其成员由证书颁发机构、浏览...
这项调整是基于CAB论坛169号、181号决议做出的...... 2017年3月16日起,赛门铁克正式更改了其证书验证程序。赛门铁克新的证书验证程序主要影响的是SSL的DV类证书,但也会对OV和EV类证书产生少量影响。做出这些改变,是为了遵...
为创建一个HTTPS连接,浏览器需要建立从网站SSL证书到根CA证书的完整链条。中间证书组成了这一链条的中间部分。通常至少存在一个中间证书,有时也可能会更多。 如果网站正确配置了服务器并将所有必要的中间证书发送给了浏览器,建立链条的过程就会...
在安全性和易用性之间,SSL证书有效期的平衡点又在何处? 近日,证书颁发机构和浏览器论坛(CABForum)就是否将SSL证书最大有效期减少到13个月进行投票,并最终否决了该提案。至此,SSL证书的最大有效期仍是39个月。但谷歌的Ryan ...
“实际上我们已经攻破了SHA-1。”这是shattered.io网站的开场白,该网站是首次实际演示针对SHA-1哈希算法的碰撞攻击的官网。该研究由阿姆斯特丹CWI研究所的Marc Stevens和Pierre Karpman以及谷歌的一个团...
Let’s Encrypt 2015年曾受到为钓鱼网站颁发证书的指控,并就其发布过声明。同时他们用谷歌的安全浏览API检索到一些恶意域,并没有为这些恶意域颁发证书。但是Let’s Encrypt和其他许多机构都认为,内容管理并不是证书颁发机...
带有破损证书验证的iOS应用程序正将用户数据置于风险之中...... 76个iOS应用被发现存在SSL/TLS配置错误,攻击者可利用漏洞潜入用户所在网络,盗取敏感信息。其中,超过半数的应用程序会泄露用登陆信息,19个应用涉及银...
SSL握手建立了每一个HTTPS连接! 在互联网上,SSL/TLS是web服务器和其用户之间可以接受的安全连接解决方案,而你可能至今还没意识到自己每天都在使用SSL。如果你看到HTTPS字样和/或浏览器地址栏的挂锁图标,那么你...
本文由cloudflare为Gopher Academy advent series特别撰写。2016年12月26重新发布在Cloudflare blog中。 当crypto/tls还很慢而net/http刚出现的时候,一般的做法是将Go服...