E2EMail在谷歌当前一个中央密钥服务器上进行测试,根据最近的密钥透明度公告显示,OpenPGP方式的核心密钥坚实,可扩展,因此这种解决方案,取代了传统上与PGP一起使用的有问题的网络信任模型。
E2EMail代码目前已经上传到GitHub,每个人都可以访问查看代码。端到端加密被视为所有隐私问题的解决方案,可以避免政府监控,中间人攻击等。即使公司也可以通过尽可能最好地保护他们的通信来保护他们免受工业间谍侵害。
在过去几年中,尤其是在爱德华·斯诺登提供有关美国国家安全局的监听密码之后,越来越多的服务实施了端到端的加密服务,包括像WhatsApp和Signal这样相当知名的消息应用程序。
电子邮件服务,应用程序和社交网络都已开始关闭其数据流,以帮助用户和保护他们免受监视和网络威胁。话虽如此,端到端加密还没有到达互联网的所有角落。
该来的还是来了:来自CWI Amsterdam的Marc Stevens的研究团队与Google合作,使用相同的SHA-1哈希创建了两个文件。诸如SHA-1的哈希函数是几乎所有加密协议的重要组成部分。如果发生冲突,对所有加密用例来说就是一种崩坏。没人希望这会发生,尽管结果是如此重要: 早在2005年,SHA-1就已被王小云和她的团队破解。从那时起,我们就知道SHA-1的崩坏不过是个资源问题。 在TLS中,SHA-1被广泛应用于多个领域。证书签名使用了过去的哈希函数,但来自浏览器供应商的压力迫使证书颁发机构切换到更强的SHA256。然而为了支持旧的硬件设施,SHA-1仍被使用。对于这起崩溃事件,Firefox已完全禁用支持在证书签名使用SHA-1。
此外,SHA-1还常常被用在TLS握手中。TLS1.1便同时使用了SHA-1和MD5。而更新的TLS1.2则允许了更多不同的哈希函数,但仍然提供SHA-1支持。去年SLOTH research发表过一则论文,分析了TLS握手中使用SHA-1存在的一些缺点。
稿源: Feisty Duck
上周,证书颁发机构和浏览器论坛开始就一项新的提案进行投票,即CA/BForum 185号提案。此次将涉及对所有有效期超过13个月的SSL证书的限制。
CA/BForum是一个自发性的行业团体,它曾在SSL证书的发布和管理发明建立了很多规则。该论坛存在的目的是,能够使发布证书的机构和SSL证书通常的使用者——浏览器销售商协商工作,并建立起行业性的标准和政策。
在该论坛中,有一个反复展开的重要话题就是关于SSL证书有效性的讨论。
所有SSL证书都有有效期——这是一个日期范围的数据,它告知你(和你的计算机)在确保连接安全的情况下可以对一个证书信任多久。有效期结束后,证书就过期了。这与我们的驾驶执照、护照等类似,它们也是为确认信息仍然准确,也是需要更新的。
CA/BForum的185号提案是由谷歌的Ryan Sleevi提出的,提议把所有类型的SSL证书的最大允许生存期减少到13个月(1年加1个月“缓冲”期)。目前,SSL证书生存期最高可达39个月,而EV证书的这一限制是27个月。如果该提案获得通过,这一改变在6个月内就将生效。
这意味着所有使用SSL证书的网站和机构都需要每年替换和重新安装它们的证书。会对某些用户产生很大的影响。
谷歌和Mozilla是新政策的主要支持者。谷歌的Ryan Sleevi说,“证书有效期是提高Web PKI安全性的唯一最大障碍。”
CA/BForum185号提案接受了绝大部分证书颁发机构的批评。在CA/BForum中代表Symantec的Dean Coclin写道“我认为没有人不赞成‘越短越好’这一观点,但至少对某些人来说,‘多么短’看起来是个有争议的话题。”
Comodo的Robin Alden说“我们致力于网络安全。更实用的安全。我们代表着很多的证书持有者,他们还没有足够的技术专家、人力和/或自动化系统来应对处理缩减证书最大有效期的提案。”
所有其他政策变化的效果都与最大有效期有关。例如,一项新政策在2017年1月实施,而目前的最大有效期是39个月。2020年4月(也就是所有在该政策出台前已颁发的证书到期的时候)之前都会有不合规的证书存在。这是个很长的等待时间。
如果证书最长生存期是13个月的话,到2018年2月所有证书即会全部满足要求。
证书最大生存期缩短会使行业进步更快。尽管这对个人用户可能无关紧要,但在宏观层面却很是重要。从不起眼的格式变化到重要的加密算法变化(如你可能听说过很多次的SHA-2迁移)等任何方面都可能受到影响。
此外还有很多其它好处,如降低某些错误(如错误的办法或未授权的证书)的影响、使不再信任证书颁发机构的过程变得更简单以及提高CRL撤销方法的性能。
大多数证书颁发机构和浏览器厂商都认为保持证书有效期过久会产生风险,将会使整个Web PKI变得缓慢和不安全。
但是,证书颁发机构认为CA/BForum185号提案过于激进。该提案把多个步骤绑在一起了——首先就将证书最大有效期由3年减到1年,然后是让这一政策在短短的6个月后生效。对此,证书颁发机构及其客户深感惊恐。
对这一改变的主要争论是,每年更换证书给管理带来的麻烦要超过证书有效期缩短带来的好处。美国证书颁发机构DigiCert新兴市场部门执行副主席Jeremy Rowley写道:“我们最近一直在对客户进行问卷调查,询问他们是否支持一年期证书方案,但我们还达不到实施这项政策所要求的自动化水平。”
不要忽视一些企业所涉及的行业规模有多大,这很重要。一些大型用户有数以万计的证书都部署在他们的网络上。
在某些情况下,这是一个技术挑战——现有的环境和使用的工具并不支持一年期证书所要求的自动化水平。但在其它一些情况下,则存在政策和组织方面的障碍。Kevin Jones分享了他此前工作中的一些经历,当时为了协调与他们合作的第三方公司部署新的证书,整整花了几星期的时间。Jones说:“从这一点上来说,从39个月变为13个月是一项艰巨的任务。”
不仅证书颁发机构反对CA/BForum185号提案。CA/BForum中来自微软公司代表浏览器厂商的Jody Cloutier写道:“微软感谢这一努力,也赞成缩短证书有效期,但这项提案提出的期限太短,非常难于实施。因此,我们投了反对票,并鼓励其它相关方也这么做。”
CA/BForum已经对证书有效期的问题进行了多年的讨论。十年来,证书颁发机构一直在颁发新的证书。证书有效期也在逐步缩短,这是因为,很长的证书有效期有安全方面的风险,给操作带来困扰,这种矛盾越来越突出。在2014年,CA/BForum同意将证书最大有效期由5年降低到3年。
很多证书颁发机构都有能力继续降低证书有效期,但它们认为更多的机构还没有准备好进行这种转变。
希腊一家地区性证书颁发机构HARICA的代表Dimitris Zacharopoulos写道:“手动替换这些证书(自动化技术还不够成熟)需要极大的工作量。”Zacharopoulos说,这一提案对终端用户来说,改变来的太多太快,“这会使他们措手不及。”
CA/BForum185号提案是谷歌在两周前提出的,尽管证书最大有效期经常被拿来讨论,但很多证书颁发机构还是认为,在一年内做出这一改变对他们来说实在是太突然了。
与美国国会类似,CA/BForum也是两院制的。证书颁发机构和浏览器厂商代表不同的选民群体和利益。一项投票需要同时得到两院的多数支持才能通过。而今该提案已被否决。
然而,尽管CA/BForum没能通过185号提案,但并不意味着将证书最大有效期减少到13个月这个提议就被彻底排除了。CA/BForum有件奇特的事情是,浏览器不需要它的批准就可以改变相关政策。
所有浏览器都需要有一个根存储区(也叫可信存储区),提供了信任SSL证书的基础。它们可以选择管理自己的根存储区,或者使用一个已存在的存储区。大多数浏览器选择通过一个Root程序自行管理,这样就可以自由设定规则。
这从根本上给了浏览器不受限制的实行自己政策的权力,而它们在过去也曾使用过这种权力来执行未取得CA/BForum批准的政策。
Google的Ryan Sleevi写道,如果CA/BForum在缩短证书有效期上意见无法统一,“下一步将是要求把这些改变纳入浏览器程序——不论证书是可信的还是错误颁发的——以确保满足安全的需求。”
不管证书行业是否愿意接受,证书有效期的大幅减少可能很快就要来了。
稿源:thesslstore
The IETF (Internet Engineering Task Force) 互联网工程任务组IETF正在负责设计新的TLS协议。据悉,他们已基本完成TLS1.3,在完全发布TLS1.3前进行最后一步的确认。然而,TLS1.3协议规范只会告诉你TLS1.3该如果工作,即所有使用TLS1.3的开发者的工作手册。也就是说,这个即将推出的协议不是拿来直接用的,你还是要就着它的标准写代码,更新和使用已有的TLS库。
有不少机构已经率先用起了TLS1.3。例如Cloudflare就已经在使用TLS1.3,尽管协议还没完全发布,部分库已获得了更新。然而,当今应用最广泛的OpenSSL还没有更新他们的TLS库。也就是说在OpenSSL支持TLS1.3之前,无论IETF什么时候正式发布TLS1.3,大部分站点都用不上这个协议。甚至之前有传闻说,从协议发布到OpenSSL用户可以开始使用需要等上至少六个月。
不过好消息是,Rich Salz最近代表OpenSSL公布了一个关于支持TLS1.3的好消息。Salz是OpenSSL开发团队的一员,同时供职于Akamai(某主流CDN供应商)。作为一个开源项目,OpenSSL一直以来都依赖于捐助和赞助来维持开发和运作。上周他发布声明说Akamai将会资助OpenSSL支持TLS1.3的开发工作。此外,OpenSSL团队还公布了一个发布日期。即将于2017年4月5日发布的OpenSSL1.1.1会支持TLS1.3。
但即便如此,4月份OpenSSL1.1.1的发布并不意味着互联网在一夜之间就切换到TLS1.3了。上百万的网站需要先将自己使用的OpenSSL升级,而对于那些堆栈复杂的站点,升级个OpenSSL也不是件小事。不过OpenSSL1.1.1将完全兼容当前版本1.1.0。因此,Salz建议相关站点先升级至1.1.0,等1.1.1一发布就能迅速切换到TLS1.3支持模式。
自去年10月起,TLS1.3的采用一直广受业界关注。OpenSSL和Akamai的这一步无疑是推进TLS1.3运用的重要举措。
两家主要浏览器运营商已经开始对通过不安全连接传输并试图传送敏感数据的表单实施警告。如果网页是通过未受保护的HTTP进行传输的,并且包含带有密码域的表单,那么最新的Firefox 51版本浏览器将显示带有红线的锁形标志,而Chrome 浏览器的56版本将在URL前显示“不安全”字样。
这一方案解决了一个由于对HTTPS的误解而产生的相对普遍的问题。如果表单通过HTTP传输,而来自该表单的数据却是通过HTTPS发送的,那么通常这些数据的传输是安全的。然而,攻击者可以操纵该表单,迫使数据被发送到受他们控制的地方。这种攻击就是所谓的SSL剥离。
不少著名网站也面临相同的问题,例如德国互联网服务提供商Vodafone、免费软件代码主机服务网站Savannah、Quantas航空公司等。
2017年1月发生了两起证书颁发机构发出非法证书事件。
GoDaddy宣称其颁发的8859个证书没有被域所有者恰当的确认。之所以有此结论,是由于2016年6月产生了一个bug,而到2017年1月初这个bug才被发现。
Andrew Ayer通过证书透明日志发现, Symantec很明显在一些域所有者没有请求的情况下为这些域颁发了一些测试证书。Symantec解释说这些证书是由其合作伙伴——韩国电子证书颁发机构颁发的。Symantec在2015年就曾经历过类似事件,当时他们为一些域(包括google.com)颁发放了未经授权的测试证书。
此次事件之后, GlobalSign和Verizon也曾颁发了一些类似的测试证书。
稿源: FeistyDucks
上周,Google Chrome 56和 Mozilla Firefox 51均已发布。这些更新带来了一个新功能,那就是出现在地址栏左侧、针对不安全登录页的警告标识。
登录页在当今互联网时代随处可见,同时也只是各种易受攻击的对象中的沧海一粟。而Google和Mozilla此举无疑是为了保护用户上网时的安全。Chrome 56会对所有使用HTTP协议的密码/信用卡相关网页标记“警告”。
这包括了尽管本身使用HTTP但表单发送至HTTPS的页面。也就是说,只有当一个网页的所有部分都通过HTTPS传输, 才会被标记为“安全”。为便于普及,Google方面已通过搜索端口向全世界的网站管理员发出提醒,以助尽快减少不安全的内容。
在Firefox 51中的警告标识则更为微妙。相关页面将会出现红色的“破碎的挂锁”图标。点击挂锁会跳出信息不安全提示。
尽管之前开发者曾透露会对信用卡表单标出警告,但Firefox 51尚未实现这一功能。可惜的是,由于技术问题,这项新功能被推迟发布的。
安卓版Chrome 56也会对使用HTTP协议的密码/信用卡相关网页标记“警告”,但由于屏幕过小UI展示有限,地址栏上只会出现“(i)”标记。点击此标记后才会显示更多信息。类似功能也将登陆下一版iOS Chrome,但具体等到什么时候上线还不得而知。
此外,两大浏览器厂商还会在未来添加表内警告功能。这些警告将直接标记在页面中不安全的部分。它将有助于用户对警告符提高重视。这项功能也会在移动端实现。
如果你的网站还在使用HTTP,请加速HTTPS迁移计划吧!加密时代已来临,与时俱进才是王道。一位Chrome工程师近期写道:“最终,Chrome将会对使用HTTP的所有不安全页面标记警告,无论该页面是否涉及敏感信息。就算你已经对登陆页面实行HTTPS加密,全站加密仍是大势所趋。”
2016年是HTTPS取得统治地位的一年。在这重要的一年里,最显著的进展是,我们终于看到互联网正逐步将HTTPS视为默认选项。
过去一年中,数不清的网站和机构已默认使用这个安全的传输协议,其中包括WordPress.org、卫报、Wired、 SourceForge、Blogspot以及其他很多网站。根据Chrome和Mozilla的检测数据,10月份以TLS加密的通信量超过50%。但仍有大量的网站还未加密,很可能还需要很多年我们才能做到完全弃用HTTP。
我们也发现了很多引人注目的攻击:SLOTH、Sweet32和DROWN,这提醒我们老旧的、不安全的算法仍会产生威胁。Nonce Reuse攻击让人们意识到执行漏洞有多致命。而重新出现的HEIST/TIME攻击显示,在加密和压缩方面还存在一个未解决的问题。
在TLS安全方面,证书颁发机构仍是一个值得担忧的问题。沃通和StartCom的案例也在这方面提醒了我们。不过,感谢证书透明机制,现在证书方面的问题能更容易地被检测出来,而且从2017年10月开始,所有新的证书都被要求采用这一机制。
我们十分肯定,2017年最重要的话题将会是:TLS1.3将遍及互联网的各个角落,并能为加密连接带来更大的安全性和更佳的性能!
12月短新闻回顾:
稿源:Feistyduck
Cloudflare称,闰秒bug影响了部分权威DNS和原点DNS查询。问题从2017月1月1日00:00 UTC开始出现,Cloudflare在一个半小时后开始部署补丁。
本方介绍了以色列一流监控技术形成的原因和背景,从侧面反映出以色列经济从传统向基于互联网的市场转型环境和趋势。
1948年,以色列建国,同年,Mer Group以金属加工业务而成立。发展到今天,Mer Group已经成为一家研发销售公共票务系统、废水处理系统、无线基础设施等软件设备的多样化公司,集团旗下共十余家子公司,在全球40多个国家有1200多名员工。去年6月的以色列国际防务展览会(ISDEF)上,Mer Group代表只推销一件东西: 公司安全部门Mer Security研发的监控产品。
Mer Group从一开始的金属加工业务向后期的电子监控技术转变,反映出了以色列整体经济发展的重大转型。以色列企业大多像Mer Group这样,以专业技术为主,持续发展并在国际市场声名远扬。值得一提的是,Mer Group 的CEO Nir Lempert曾在以色列情报部队Unit8200服役22年,而在以色列,像Mer Group这样与Unit 8200之间有密切关系的企业不在少数。随着近年的持续发展,互联网已经成为以色列整体经济不可分割的一部分,仅在2014年出口的相关产品服务就价值60亿美元。
在进入部队之后,一些聪明的以色列年轻人会被选拔进入情报部门学习侦察、黑客攻击、开发网络武器等技能。媒体报道,8200和美国NSA合作研发了攻击伊朗核设施的网络武器,另据以国内军事情报退役人员透露,8200部队还深度参与了巴以领土争执地区的大规模监控活动。
然而,部队以间谍活动和网络战发展起来的专业技术也逐渐流向社会行业。可以说,在以色列这个科技创业国度,8200部队是以色列监控行业的直接培训学校,从这里退役的情报人员成功转型进入公司后,将创造的监控产品卖给了世界各国政府,尽管这些公司声称,他们的技术以安全为目的,但隐私权益者还是认为,他们的产品破坏了公民自由权。
2016年8月,隐私国际组织通过对世界各国政府监控活动进行调查后,发布了一份全球监控行业报告。报告指出如果按照各国人均数来计算,以色列以27家监控企业占据世界第一。据该组织公开信息显示,8200部队退役人员成立或领导着至少八家监控公司,这些公司还不包括Narus等公司(8200退役军人创办,被美国波音公司收购后被买给赛门铁克)。据《连线》杂志和斯诺登得到的文件显示,Narus公司曾通过技术,收集美国电话电报公司(AT&T)互联网流量和电子邮件,并转发给美国NSA。
隐私国际研究人员Edin Omanovic 说:“需要警惕的是,为了获得经济利益,一些全球最先进的间谍机构正将他们开发的监视技术打包出口到世界各地,这种入侵性监控能力的扩散非常危险,会对公民的基本人权和民主构成威胁。”
而同样是8200部队的退役人员Amit Meyer,却选择做了一名记者,要知道,他的许多退役同事正以部队掌握的情报收集和黑客技能服务于私营企业。Meyer说, 8200部队在以色列是一个著名“招牌”,退役人员可以很容易进入高科技公司工作。Meyer还告诉记者,在Facebook上有一个秘密群组,专门为8200部队退役人员推荐工作,“通常情况下,只要你的简历中提到8200部队,就会有奇迹发生”。
以色列国土安全产业学者Neve Gordon解释,以色列监控行业的兴盛,源于以色列国防部队和技术企业之间的密切联系。早在1960年,以色列军方就开发了计算机软件,这比以色列软件行业和大学计算机课程的出现足足早了九年。Gordon说,像8200部队这样与计算机相关的军事部门,已经成为了以色列军事和国土安全产业的“传送带”。
Gordon进一步透露,以色列之所以成为全球监控行的重要角色,还有两个主要原因。一是,以色列对于退役军人在私企从事退役前相关研究,没有明确法律限制;二是,以色列在对约旦河西岸、加沙、东耶路撒冷长达数十年的占领和战争过程中,创建了不同的产品和技术,而国家整体的发展则像是一个测试和微调实验室。
这些被创建的技术产品随后被出口到了世界各地,其中包括Mer Group旗下的Mer Security公司。Mer Security在以色列国内安全圈非常有名,它在1999年因“Mabat 2000”计划获得了以色列警察合同,项目涉及在以色列占领的,地区局势紧张的耶路撒冷老城区安装了数百个摄像头。在以色列Gateway杂志的采访中,公司董事会主席、前8200部队老兵Haim Mer解释说:“警察需要这样的系统,以掌握并控制老城区局势。”
在去年的ISDEF展览会上,Mer Security产品总监Eyal Raz对记者说,“以色列最智慧的安全头脑”已经被创造出来了。Raz向记者展示的是开源信息收集分析和响应系统(OSCAR),它通过搜索互联网和社交媒体平台信息,并从中分析发现隐藏关系。
另一个产品叫可控战略情报平台(SAIP),主要功能为数据接收整合。为了精准定位“可控情报”,SAIP应用相关技术对某些情报人员感兴趣的文字、句段和信息进行着重显示。作为威胁鉴别和预警工具,这类语言分析系统一直受到了世界各国情报部门欢迎。Raz声称,这类产品可以“理解它所阅读的意思”。就像对于外行来说,某段内容中包含的化学药品列表看似正常,但这种语言分析机器能够识别这其实是一个爆炸装置。
Raz还解释了SAIP的另一个特点:用户可以创建“虚拟身份”从限制论坛注册凭证或收集信息,这是一种伪装的网络活动方式。例如,Facebook不允许用户创建虚假人个档案,但是Raz推销的这种技术与社交网络高度融合,执法部门创建使用的网络虚拟身份档案非常真实。今年早些时候,多个新闻媒体曾报道过,以色列警察采用类似技术手段,通过创建虚拟Facebook身份来进行案件调查,并监视巴勒斯坦目标。尽管以色列警方发言人MickyRosenfeld在一个报告中,证实警方曾使用过这种技术,但当记者向他联系确认时,他又否认了这一说法。
Mer Group的客户遍及以色列国内外,另据Raz透露,公司还与8200部队共建“联合开发”工作,他们也招聘8200退役人员。虽然Raz拒绝透露公司客户信息,但从公开资料还是可以发现其中一些项目,例如,在2011年,Mer Group与布宜诺斯艾利斯签署了一份建设“安全城市”系统,价值4200万美元的合同,项目涉及1200个监控摄像头的安装,以及车牌识别技术的使用。
8200部队与以色列监控行业的关系受到广泛关注,2016年8月底,多伦多大学公民实验室和Lookout公司公布了一份攻击者利用iOS 0day漏洞间谍软件Pegasus对阿联酋“政治异议人士”Ahmed Mansoor进行APT攻击的报告,报告指出了详细的漏洞利用细节,攻击将目标人物的iPhone变成了一个移动的监控设备,从而监视跟踪他的行动、电话记录,并控制手机摄像头和麦克风。
据Mansoor回忆说,他可能自2011年起就已经成为了攻击目标,因为那一年他签署了一份关于阿联酋进行民主改革的请愿书,他说:“国家安全机构执着于监控民众和人权活动家的做法简直是一种疯狂行为。”
据公民实验室分析,Mansoor收到的一条短信中包含一个链接,该链接信息为“new secretsabout torture of Emiratis in state prison(揭秘国家监狱酷刑)”,Mansoor没有点击,而是将信息转发给了相关的数字安全分析团队,该安全团队曾于2012年发现Mansoor电脑被意大利监控公司Hacking Team的间谍软件感染。
公民实验室资深研究员Bill Marczak说:“我们从来没有见过这样一种基于最新iOS版本的手机漏洞利用”,最终,公民实验室报告指出,该间谍软件出自以色列监控公司NSO Group。
NSOGroup没有网站,公司信息鲜为人知,异常低调,其创始人很少接受媒体采访。据以色列和外国媒体报道披露,该公司创始人Omri Lavie和Shalev Hulio也是Unit 8200部队的退役军人。综合LinkedIn资料分析,至少有三名NSO Group现任雇员曾在以色列情报部门工作。另据国防新闻的报道,Unit 8200退役人员为NSO Group公司提供了160万美元的初始资金,用于开发间谍软件Pegasus。
据消息人士透露,2014年NSO Group被一家美国私募基金公司以1亿2000万美元收购,但NSOGroup发言人Zamir Dahbash没有正面回答记者的提问,他只是说:“公司仅只是把相关产品销售给已授权的政府机构,完全符合严格的出口管制法规,与公司签订协议的客户只能以合法方式使用我们的产品。”
阿联酋政府使用以色列NSO Group的Pegasus间谍软件事件,让人震惊,众所周知,阿联酋和以色列没有建立正式的外交关系,和阿拉伯世界的其家国家一样,许多阿联酋人对以色列占领阿拉伯土地心怀憎恨。但NSO Group与阿联酋之间的贸易表明,随着以色列和海湾国家之间关系日益密切,也催生了对监控设备的需求。
以色列学者Gordon说:“这些地区的政权不太稳定,生活在这的大多数人没有基本权利,政府只有依靠监控手段来控制局势。”
![[¹ú¼Ê¡¤±à¼Á¬Ïß]£¨17£©¹¦¹ýÈÙÈ軰ɳÁú](https://www.sslchina.com/wp-content/uploads/2016/11/1480414990-3295-20161121.jpg)
2015年2月,据中东之眼(Middle East Eye)作者Rori Donaghy报道,阿联酋已与一家在瑞士注册的亚洲环球科技(Asia Global Technologies)公司签署了一份建设大量摄像头组成的监控系统。据说,亚洲环球科技公司也由前以色列情报人员成立。
Donaghy还有另外一个身份,阿联酋人权中心创始人,他说,近年来,阿联酋已经秘密从以色列购买了数亿美元的安全产品,这是因为,阿联酋认为以色列的监控产品是国际市场上最好的,入侵性最强,也最隐秘的。
转自:http://www.freebuf.com/special/120592.html
10月31日,Google在其安全博客中宣布了:从Chrome 56开始,不再信任WoSign和StartCom在2016年10月21日00:00:00 UTC后颁发的证书。
1、早在9月30日 ,Apple 已于 iOS 可信根证书列表中宣布:屏蔽其对中级CA WoSign CA Free SSL Certificate G2( CA 沃通免费 SSL 证书 G2)的信任。
为了避免影响到现有的 WoSign 证书持有者,在 2016 年 9 月 19 日前签发的且已经登记在证书透明度公共日志服务器上的证书仍然被信任。
但鉴于 WoSign/StartCom 并未积极登记其于2015年及之前签发的证书,且2016年上半年签发的证书均未登记。
所以2016年9月19日前获签发的 WoSign 证书持有者仍有可能不被 Apple 信任,担心受到影响的用户可于 Certificate Search 及 Google Transparency Report 检查所持有证书的登记状态。
2、之后10月24日,Mozilla在其安全博客公布了对沃通CA和StartCom的最终处理措施:Mozilla 决定不再信任目前包含在 Mozilla 根证书项目中的沃通根证书(Root certificate)和StartCom 根证书今后颁发的服务器证书。即:它不再信任在10月21日之后签发的沃通CA证书,并从 Firefox 51 起移除对4个沃通根证书的信任。点击【事件回顾】 可查看关于沃通CA安全事件的详细过程。
SSL信息