Symantec为Google域名签发EV SSL证书

Google安全博客报告,Symantec下的Thawte CA为google.com和 www.google.com域名颁发了一个扩展验证前证书(Extended Validation pre-certificate)。Google是从Chrome自动转发的证书透明度日志中发现这一情况。它和赛门铁克讨论了这个问题,对方证实证书是在内部测试流程中颁发的,有效期只有一天,没有泄露出去,没有影响到用户。这个情况与CNNIC向埃及的MCS Holding颁发中级证书还是有很大区别的。

Chrome主流浏览器将在 2016 年初停止支持 RC4

微软、Google和Mozilla宣布,他们计划于2016年初在各自的浏览器永久性的终止RC4加密算法的支持。针对RC4加密算法的攻击正日益变得实用,破解所需的时间越来越短,在两年之内从数千小时减少到数天。Mozilla宣布它将在明年1月26日发布Firefox 44时淘汰RC4,微软和Google也都计划在明年1月到2月之间从IE11和Edge以及Chrome中移除RC4。

原文地址:https://www.chinassl.net/ssl_industry_news/n613.html

CHINASSL SHA1 证书算法升级 SHA256计划

尊敬的用户:

自2015年6月8日起至2016年1月1日止,我们将全面开始启动SHA1算法升级到SHA256的计划,用户可以根据需要自行在用户中心重新签发SHA256算法签名证书,也可以联系我们在线客服帮助用户重签SHA256算法证书。

如何检测我的证书是SHA1算法签名还是SHA256:

打开在线证书检测工具:https://www.chinassl.net/ssltools/ssl-checker.html

1.如下图所示,输入您的域名,点击开始检测

SSL证书检测工具

2.如下图红框中显示的就是您当前证书使用的算法签名

SSL证书检测工具

为什么需要升级证书SHA1算法签名?

点击这里查询

 

中国数字证书CHINASSL Inc

2015-06-08

Google搜索自动优先识别已启用HTTPS网站

Google搜索自动识别已启用HTTPS网站,由于终所周知的原因,国内使用Google那还是要废些力气的,不过没办法,有些重要的知识,你不用Google根本就找不到啊,找不到!今天在用google搜索的时候发现为已经正式启用HTTPS的网站,优先显示HTTPS网址,有图有真相,如下图所示:

那么问题来了,我也想为自己的网站启用HTTPS需要怎么做呢?什么是HTTPS呢?HTTPS与HTTP区别有那些?HTTPS有那些种类呢?启用HTTPS是否需要复杂的设置呢?HTTPS费用是否很高昂呢?且等下篇文章分解!

本文链接地址:http://www.chinassl.net/ssl_industry_news/n578.html

IE将支持HSTS安全技术

微软IE官方博客宣布,IE浏览器的最新版本将支持HTTP Strict Transport Security(HSTS),Windows 10技术预览版的用户将能预览最新的变化。HSTS是帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的一种机制。如果你访问的网站启 用了HSTS,那么浏览器将会记住这一标记,确保你未来每次访问该网站都会自动定向到HTTPS

在这之前,主流浏览器只有IE不支持HSTS。

了解更多信息: http://www.radicalresearch.co.uk/lab/hstssupercookies

本文链接地址:https://www.chinassl.net/ssl_industry_news/n581.html

COMODO领衔全球SSL证书市场份额

在全球范围内,可以看到Comodo 目前占有最大的市场份额(25.2%),其次为GeoTrust(18.4%),紧接着为OpenSSL(14.5%)。而从市场的分布来看,虽然comodo占据着最大的市场份额,但整个市场仍然具有多元化的。

SSL证书,COMODO,通配符证书,https认证

Alexa Top 1M网站中SSL的市场份额

数据来源:Datanyze

我们搜集了从2014年一月到2015年4月之间comodoGeoTrust,OpenSSL以及Godaddy这四家公司的一年内的客户增量变化得到如下图:

SSL证书,COMODO,通配符证书,https认证

2014-2015年COMODOGeoTrust、OpenSSL以及Godaddy四家公司的用户增量曲线图

数据来源:Datanyze

 

Comodo 的客户增加量除了2014年的1月和6月为负值以外,即用户减少,全都为正值,即用户数持续的增加,并且2015年的开初有了一个巨大的增加。高达 574,101。总体看起来COMODO 2015年的客户增加量都超过了2014年。OpenSSL在2014年从1月起到6月间持续流失顾客,到到了2014的后半年后形势就发生了逆转,用户 持续的增加,也在2015年的1月达到了一个最大值。相比前两家的大起大落GeoTrust和Godaddy的用户增量就相对更加稳定。

 

SSL证书,COMODO,通配符证书,https认证

2015年3月 中国数字证书SSL市场份额

数据来源:Datanyze

相较于国际市场,中国数字证书的SSL证书市场的份额还是有所区别,中国市场上OpenSSL与Comodo并列第一位,其次为GeoTrust,Godaddy则在第五位。

然而,整个SSL证书市场可以预计增长远远超出目前使用有效的SSL证书的网站的20%。这不仅是因为加密成为不断增长的SaaS市场必不可少的,但也因为谷歌开始在他们的排名有利于HTTPS加密的网站,只要谷歌表示,网站管理员都会听。

为什么要使用HTTPS?

我想要非常明确的告诉你 : 如果你要构建任何什么类型的web应用, 要使用 HTTPS 哦!

你要构建什么类型的应用程序或者服务并不重要,而如果它没有用到HTTPS,你就做错了.

现在,让我们来聊聊HTTPS为什么很棒.

 

https
HTTPS 是安全的

HTTPS 是一个业绩优良的很棒的协议. 虽然这些年来有过几次针对其漏洞的利用事件发生, 但它们一直都是相对较为轻微的问题,而且也很快被修复了.

而诚然,NSA确实在某个阴暗的角落收集着SSL流量, 但他们能够解密即使是很少量SSL流量的可能性都是极小的 — 这会需要快速的,功能齐全的量子计算机,并耗费数量惊人的钞票. 这玩意存在的可能性貌似不存在,因此你可以高枕无忧了,因为你知道你的站点上的SSL确实在为你的用户数据传输保驾护航.

 

HTTPS 速度是快的

上面我曾提到HTTPS“遭罪似的慢” , 但事实则几乎完全相反.

HTTPS 确实需要更多的CPU来中断 SSL 连接 — 这需要的处理能力对于现代计算机而言是小菜一碟了.  你会遇到SSL性能瓶颈的可能性完全为0.

目前你更有可能在你的应用程序或者web服务器性能上遇到瓶颈.

 

HTTPS 是一个重要的保障

虽然 HTTPS 并不放之四海而皆准的web安全方案,但是没有它你就不能以策万全.

所有的web安全都倚赖你拥有了 HTTPS.  如果你没有它, 那么不管你对你的密码做了多强的哈希加密,或者做了多少数据加密,攻击者都可以简单的模拟一个客户端的网络连接,读取它们的安全凭证——然后轰的一声——你的安全小把戏结束了.

因此 — 虽然你不能有赖于HTTPS解决所有的安全问题,你绝对100%需要将其应用于你构建的所有服务上 — 否则完全没有任何办法保证你的应用程序的安全.

此外,虽然证书签名很显然不是一个完美的实践,但每一种浏览器厂商针对认证机构都有相当严格和严谨的规则. 要成为一个受到信任的认证机构是非常难的,而且要保持自己良好的信誉也同样是困难的.

Mozilla (以及其其他厂商) 在将不良根认证机构踢出局这项工作方面表现相当出色,而且一般也真正是互联网安全的好管家.

 

HTTPS 流量拦截是可以避免的

先前我提到过,可以很容易的通过创建属于你自己的SSL证书、信任它们,从而在SSL通讯的中途拦截到流量.

虽然这绝对有可能,但也很容易可以通过 SSL 证书来避免 .

本质上讲,依照上面链接的文章中给出的准则, 你可以是的你的客户只去信任真正可用的SSL证书,有效的阻挡所有类型的SSL MITM攻击,甚至在它们开始之前 =)

如果你是要把SSL服务部署到一个不受信任的位置(像是一个移动或者桌面应用), 你最应该考虑使用SSL证书钢钉.

 

HTTP 在私有网络上并不是安全的

早些时候,我谈到HTTP的安全性怎么是不重要的,特别是如果你的网络被锁上(这里的意思是切断了同公共网络的联系) — 我是在骗你。而网络安全是重要的,传输的加密也是!

如果一个攻击者获得了对你的任何内部服务的访问权限,所有的HTTP流量都将会被拦截和解读, 不管你的网络可能会有多“安全”. 这很不妙哦。

这就是为什么 HTTPS 不管是在公共网络还是私有网络都极其重要的原因。

额外的信息: 如果你是吧服务部署在AWS上面,就不要想让你的网络流量是私有的了!  AWS 网络就是公共的,这意味着其它的AWS用户都潜在的能够嗅探到你的网络流量 — 要非常小心了。

 

总结

如果你正在做网页服务,毫无疑问,你应该使用HTTPS

 

OpenSSL 发布多个更新版本,修复 DoS 漏洞

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ,这些版本主要是定位 12 个缺陷,但并非所有 OpenSSL 版本都受这些问题影响。

这 12 个漏洞中最严重的是 CVE-2015-0291 ,该漏洞可导致 DoS 拒绝服务攻击,这个漏洞只影响 OpenSSL 1.0.2 分支。

如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题,详情请看 OpenSSL 项目的 安全建议

OpenSSL 项目成员 Mark Cox 在其博客解释到:攻击者可以利用这个漏洞来进行拒绝服务攻击。不过存在该漏洞的目标数量有限,因为 OpenSSL 1.0.2 刚发布一个月,很多服务器并没有使用这个版本。

OpenSSL 同时维护了多个不同的主要版本,OpenSSL 1.0.1 的用户如果不需要一些新特性的话,无需升级到 1.0.2 版本,因为 1.0.1 版本也在继续维护中。

Source: pcadvisor

相关链接

微软警告:非法SSL证书或引发“钓鱼”攻击

3月18日消息,最近,微软在TechNet上公布了一则对于非法发放的SSL证书警告,称该证书有可能引起攻击者采用欺骗内容执行钓鱼攻击或者“中间人”攻击。 该证书目前被发放到live.fi。

这一事件将影响包括Win7/Win8.1以及WP8.1在内的所有Windows系统。不过用户也不必担心,微软已经着手更新全部Windows操作系统的证书信任列表(CTL),目前该事件风险等级较低。

微软在其官方说明中提到:一项关于撤销证书的自动更新已经启动,涉及Windows Vista、Windows7、Windows8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2008和Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2,以及所有运行Windows Phone 8和Windows Phone 8.1的手机设备。涉及这些系统和设备的用户无需主动采用任何防御措施,系统将被自动保护。SSL证书,chinassl

不过,这一事件仍然会有一个潜在威胁,那就是目前仍然运行Windows Server 2003的服务器或者已经关闭自动更新的系统。在这两种情况下,用户有可能会遭受攻击。这部分用户应该手动安装KB3046310补丁来预防严重事件发生。(Source:TechNet)

CIHNASSL默认签发SHA256 SSL证书

SSL证书,SHA256 SSL证书
SSL证书,SHA256 SSL证书

CIHNASSL默认签发SHA256 SSL证书,也称SHA2 SSL证书, 同时也支持签发SHA1算法的SSL证书,以满足老旧设备的需求,其实签发SHA256 SSL证书已经好几个月了,没有声张,嘘!SHA1加密算法证书也将逐渐退出历史舞台,谷歌果然牛阿,一呼百应,强烈支持Google!