Chrome对所有HTTP网页说“不安全”
在最新发布的Chrome68中,谷歌Chrome浏览器引入了对全网非HTTPS页面的警告。“不安全”标记出现在所有使用HTTP加载的页面的左上角地址栏。
这一举动在今年2月被提出,时至今日才正式被采用。谷歌旨在让HTTPS成为网络的标准并最终希望去除安全指示锁。目前,该警告仍处于最温和的版本。 未来的版本可能包含一个红色警告标志,正如谷歌之前所解释的那样。
在Chrome默认启用警告的那天,安全研究人员Troy Hunt和Scott Helme启动了为什么没有HTTPS? 项目,列出了尚未默认为HTTPS的流行网页,也可以按国家/地区显示它们。 不受HTTPS限制的最受欢迎的页面是中文搜索引擎百度; 列表中最受欢迎的非中文页面是Twitter的URL缩短服务,t.co.
本月短新闻
- 加拿大政府搞了个针对政府网站使用HTTPS的政策。
- Eric Rescorla提出了加密SNI的提案。 SNI通过TLS连接发送服务器名称,直到现在已启用隐私泄漏。 使用DNS over DNS或DNS over TLS,名称服务器连接可以加密,因此加密SNI可以防止泄漏任何主机名。 但该提案也受到企业供应商的一些批评。
- 来自Mozilla的April King写了一个高级证书查看器作为Firefox附加组件。
- 有关Linux Weekly News的深入文章介绍了Emacs社区中有关编辑器中默认TLS设置的讨论。
- StartCom及其所有者公司WoTrust不再受到主流浏览器的信任,但StartCom CA现在正在转售其他证书颁发机构的证书。这些证书由DigiCert和CERTUM颁发。
- 研究人员发现了针对许多蓝牙实施的无效曲线攻击。过去已经发现了针对TLS的类似攻击。
- 一篇研究论文描述了如何将形式验证集成到亚马逊s2n库的持续开发过程中。
- 博客文章讨论了亚马逊的应用程序负载均衡器(ALB)如何不验证证书。该帖引用了AWS的ColmMacCárthaigh的话,他解释说,流量不会受到中间人攻击的攻击,因为所有流量都是在亚马逊系统内部验证的。
- 在回答美国参议员罗恩·怀登时,美国国防部(DoD)已经解释了几个以使用TLS为中心的问题。过去,DoD使用了自己的浏览器不信任的根证书颁发机构。该部门对参议员Wyden的回应表明,这种做法将停止,国防部现在将使用公开信任的证书。
- GnuTLS发布了3.6.3版本,支持当前的TLS 1.3草案版本。
- Mbed TLS发布了2.12.0版本,支持基于ChaCha20 / Poly1305的密码套件。
- 来自Mozilla的开发者Gervase Markham在与癌症长期斗争后于7月27日去世。 Gervase通过他在证书颁发机构政策和事件方面的工作为TLS社区做出了巨大贡献。他经常在幕后工作,没有获得广泛的公众认可,但他近年来为更安全的证书生态系统做出了巨大贡献。 CA /浏览器论坛于3月份为Gerv Markham撰写并发布了一份表彰和赞赏决议。
稿源:FeistyDuck