四月SSL行业新闻回顾
谷歌最初计划使证书透明系统于2017年10月生效。现在,该公司已修改了时间表,将生效时间推迟了6个月,到了2018年4月。 加州大学伯克利分校的研究人员正在研究新的TLS通信分析方法。在很多情况下,他们已经可以在对加密通信模型的分析基础上,...
谷歌最初计划使证书透明系统于2017年10月生效。现在,该公司已修改了时间表,将生效时间推迟了6个月,到了2018年4月。 加州大学伯克利分校的研究人员正在研究新的TLS通信分析方法。在很多情况下,他们已经可以在对加密通信模型的分析基础上,...
取消通用名检查, 同形字漏洞已解决,Google Chrome,每次更新都给你带来新感觉… Google Chrome今日发布又一稳定版本,新一轮的安全变化亮相Chrome 58。 本月,Chrome在长达数年的努力后终于取消了对通用名检查...
中国信息安全研究人员@郑旭东发现了一种新的“几乎不可能检测到的”钓鱼攻击。他宣称,该漏洞甚至可以骗过互联网上最谨慎的用户。黑客可以利用Chrome、Firefox和Opera浏览器中的已知漏洞使他们的假冒域名显示为合法网站,如苹果、谷歌或亚...
证书颁发机构(CA)仍然在向一些具有明显的网络钓鱼和诈骗意图的域名颁发数以万计的证书。骗子们使用最多的就是这两个CA——Let's Encrypt和Comodo的域名验证证书,在2017年一季度发现的具有有效TLS证书的钓鱼网站中,这两个C...
黑客攻破一家银行网站的传统方式与盗窃区别不大。小偷破门而入,盗得赃物,然后逃走。但一个企业化运作的黑客团队在攻击巴西的一家银行网站时采取的方法看起来更加狡猾:一个周末下午,他们将所有访问这家银行网站的线上客户诱骗到一个精心伪装的假冒网站,客...
卡巴斯基实验室的Dmitry Besthuzhev和Fabio Assolini在本周的安全分析高峰会上发表了一项针对巴西银行Banrisul的攻击行动,该峰会是卡巴斯基在圣马丁举行的一次会议。 2016年10月,巴西银行网站一整天被黑客完...
出来混都得还,赛门铁克欠了客户,谷歌又何尝不是? 本文由 Patrick Nohe 于2017年3月29日发表在The SSL Store Blog Symantec与浏览器社区(确切地说是谷歌)之间的长期争斗对整个SSL行业来说是相当不利...
本月头条:谷歌计划停止信任所有现有的赛门铁克证书 Google提出将针对赛门铁克数次未履行认证机构职责一事采取一系列严厉的措施。今年1月,赛门铁克被指为其所有者没有要求的域名颁发了多个证书。 这些证书是由韩国公司Crosscert创建的,赛...
安全研究人员已经披露了Symantec证书代理商用来提供和管理Symantec SSL证书的流程和第三方API中的关键问题。 Cloud Harmonics信息安全顾问Chris Byrne发现的缺陷可能允许未经身份验证的攻击者检索其他人的...
由于过去几年不断被曝光错误签发3万多张EV证书,谷歌宣布计划逐渐取消对赛门铁克公司签发的SSL证书的信任。 赛门铁克拥有的证书颁发机构颁发的所有证书的扩展验证(EV)状态将不再被Chrome浏览器识别至少一年,直到Symantec修复其证书...