云提供商停止使用域名前端技术
著名云供应商谷歌和亚马逊已经停止使用域名前端技术,该技术被加密的信使和隐私工具用于规避某些国家的网络封锁。
从技术上讲,域前端是基于以下事实:在HTTPS连接中,目标主机的主机名以两种方式传输:(1)作为TLS协议中的服务器名称指示(SNI)扩展的一部分,以及(2)作为 底层HTTP连接中的“主机”标头。 在许多实现中,只有HTTP部分对于转发流量非常重要,而外部流量观察者只能看到TLS连接中的SNI字段。
因此,域名前端技术的特点是发送一个连接,其中SNI部分是不同的主机名,而只有HTTP头包含正在使用的服务的实际目标主机名。从网络观察者的角度来看,这些连接无法确定,因而阻止特定服务非常困难,且阻止与云提供商的所有连接也会影响到其他连接。
Tor的开发人员首先注意到,域名前端不再适用于Google App Engine。后来在The Verge的一篇文章中报道了这一点。此后不久,Signal的开发人员收到来自AWS的通知,警告他们不允许他们使用亚马逊所拥有的域名进行连接,这有效地表明他们将无法使用AWS的域名前端。 Tor项目发布的一篇博客文章指出,微软Azure仍然有可能实现域名前端,但它也提到有传言说这个选项最终也会被关闭。
这一突如其来的举动可能和俄罗斯政府尝试禁止电报加密的信使有关。在试图阻止电报的同时,俄罗斯还禁止了用户对各大云供应商的访问。
短新闻
- Google继续在Chrome中更改HTTPS网页的安全标识。9月起,chrome将停止在HTTPS网页上显示“安全”字样,只会显示挂锁。谷歌的终极计划是取消挂锁,只显示不安全的网页标记,从而使HTTPS成为常态。在此之前,谷歌曾宣称多有不使用HTTPS的页面将从7月起得到“不安全”标识。
- Troy Hunt写道,最新版本的Microsoft Edge现在支持内容安全策略中的升级不安全请求,该功能会将所有页面的HTTP引用重写为HTTPS。 它现在也支持子资源完整性。
- Digicert解释了证书透明日志分片的做法。 由于证书生态系统的发展,运行CT日志可能会很具挑战性,因此一些运营商选择运行只接受某个日期范围内的证书的日志。
- Google推出了包含在HSTS预载列表中的顶级域名.app。 这意味着支持预加载列表的浏览器将始终通过HTTPS加载此域。 谷歌以前曾将顶级域名添加到预先加载列表中,但这是第一个可以让所有人都能购买的域名。
- GitHub Pages引入了对自定义域的HTTPS的支持。
- 研究人员研究了如何利用现有的用于RSA和椭圆曲线的加密硬件来优化基于网格的密码术。
- Antonio Sanso讨论了数字字段筛选中的筛选步骤,该筛选步骤是执行因式分解并从而攻击RSA加密的算法。
- 普林斯顿大学的研究人员与Let's Encrypt合作调查BGP对证书颁发过程的攻击。
- 在一篇博客文章中,Comodo报道了最近发生在一家名为Stripe的公司的EV证书事件。最初,Comodo已经撤销了该证书,但该博文指出,该公司不服,因为该证书是有效的,没有理由撤销。 针对这一争议,Entrust建议更改发行EV证书的基准要求,其中包括不向已经存在少于18个月的公司颁发证书。
- Oracle宣布未来的OpenJDK版本将发布自己的根证书存储。
- OpenSSL项目宣布即将推出的1.1.1版本将成为长期支持版本。
稿源:feisty duck