俄罗斯已经计划通过支持本国的公司和软件来停止使用国外软件，但是最近有消息称普京总统计划加速这一进程，尽可能的快的停止使用微软的产品。

在普京看来，有很好的理由这样做：微软的软件可以被用来对它国做网络攻击，美国可以利用这些产品，比如 Windows 和 Office 来潜入到俄罗斯的系统当中。

NBC News 宣称他们从美国国土安全局得到的一份文件显示，去年俄罗斯黑客采用注入到微软 Office 文档中的木马软件中断了乌克兰电网的运行，所以普京总统担心美国利用类似的攻击来对俄罗斯发起攻击。

普京总统现在正在推行在政府和国企中停止使用外国软件，而采用可控的本国解决方案来免除间谍事件的困扰。

普京总统“专门”针对了微软

一个资深的美国情报来源告诉 NBC News，普京总统将停止使用微软产品当做优先要处理的工作，他认为这个软件巨头会直接参与到美国政府发起的间谍活动当中。

该内线人员说：“不仅仅是因为他们是 IT 领域最重要的美国公司，而且他们也是俄罗斯人普遍认为的美国情报机构的合作伙伴。”

微软已经解释了它不会参与任何间谍活动，并且明确说明了它不会和美国政府或其它的政府合作在其软件中注入后门。

微软的公共事务总经理 Dominic Carr 说：“我们不会秘密监视任何人，我们不会和任何政府合作监视其它政府，绝不会。”

不过，要摆脱微软的软件并不能一夜之间完成，特别是俄罗斯有着数以百万计的系统运行着 Windows 和 Office，但是该国的法律会强制政府机构和企业采用本地开发的软件来替代那些由外国公司所开发的软件。

最近关于沃通和 StartCom 这两家 CA 公司的消息让人们再次关注到了网络隐私和安全的问题。随着 Mozilla、苹果和谷歌对这两家 CA 公司处罚落定，很多使用这两家 CA 所签发证书的网站纷纷寻求新的证书签发商。这里面固然有不少可信赖的 CA 公司可以提供服务，不过，有另外一个非盈利组织却为大家提供了免费、可靠和安全的 SSL 证书服务，这就是 Let's Encrypt 项目。

Let's Encrypt 项目是由 互联网安全研究小组 ISRG，Internet Security Research Group 主导并开发的一个新型 数字证书认证机构 CA，Certificate Authority 。该项目旨在开发一个自由且开放的自动化 CA 套件，并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。

网站的完全加密是非常有必要的，这样每个人都可以随意在网上畅游而不用担心他们的活动被监视、拦截和修改。

Let’s Encrypt 的做法与一般的 CA 服务商不同。他们为那些需要加密的网站提供了免费、易用的获取和管理证书的服务，而且在全球的每一个国家都可以使用。这些服务可以帮助人们或组织战胜来自经济、技术和培训方面的障碍，在互联网上安全地通讯。

仅仅在 Let’s Encrypt 运营了 10 个月之后，加密的页面数量就有了快速提升！这里面，Let’s Encrypt 项目居功甚伟，采用加密 Let’s Encrypt 的页面 90% 都是之前从未进行过加密的。

然而，互联网上还有超过一半的页面仍然没有加密。所以 Let’s Encrypt 还任重而道远，为了达成让互联网全都变成加密的这一目标，他们需要你的帮助！因此 Let’s Encrypt 在众筹网站 generosity.com 上发起了众筹，募集更多的运营资金，以期做的更好！

如果您能捐助他们，您就为建立一个更安全的互联网埋下了一块基石。您所捐赠的每一块钱，都可以帮助 Let’s Encrypt 为所有用户创建一个尊重隐私的互联网体验。

他们划定了几个从 $25 到 $42000 不等的捐赠级别，并且为了感谢您的支持，会提供给您一些有趣的礼品以示谢意：

第一个级别 $25，您将收到一声感谢！

第二个级别 $50，您将收到一些精美的贴纸，可以贴在你的保险杠、水杯或者其它的什么地方。

第三个级别是 $100，他们叫这个“To Encryption and Beyond!”，礼品是这些漂亮的、合身的 T恤。

如果您捐赠了 $250，您将同时收到 T 恤和贴纸。

更高额度的捐赠就不在这里一一列出了，富有爱心的土豪可以移步这个众筹网站去看看。

如果您暂时手头比较紧张，你还有其它的几种方式支持：

• 分享这篇文章或其中的视频到你常用的社交媒体中。
• 转发这个的捐赠计划。
• 参与他们的社区论坛。
• 帮助他们找到 bug 以便可以修复它。

关于 Let's Encrypt 的更多信息，您可以访问其官网： https://letsencrypt.org/ ；如何使用他们的服务，你可以参考这篇文章。

继 Mozilla 做出对 沃通 （ WoSign ） 的处罚决定之后，谷歌也跟随了这一做法，从 Chrome 56 开始，不再信任沃通及被其收购的 StartCom 于 2016 年 10 月 21 日之后所颁发的证书。

此前， 苹果已经率先于 9 月 30 日将沃通的根证书从证书存储库中移除了。虽然沃通及其被其秘密收购的 StartCom 均存在不同程度的 CA 违规问题，但是苹果和 Mozilla 在最近的操作中都只对沃通采取了处罚，而谷歌的处置则更进一步，也同时对 StartCom 进行了同等处罚。

谷歌在其通告中说：

谷歌已经查明了沃通和 StartCom 这两个 CA 没有维持对其作为 CA 的高标准预期，因此根据我们的根证书策略，谷歌 Chrome 将不再信任它们。这个观点类似于苹果和 Mozilla 的根证书计划发出的最近公告。

在 2016 年 8 月 17 日，谷歌接到了 GitHub 安全团队的通告，称沃通在没有得到他们授权的情况下签发了一个 GitHub 的证书。这促使 GitHub 安全团队和 Mozilla 合作对沃通进行了调查，发现了沃通的若干违规签发证书的问题。该调查表明沃通有意地规避了浏览器限制（即对 SHA-1 签名证书的失效计划）和对 CA 的要求。更进一步的，还发现了另外一家 CA 公司 StartCom 也被沃通秘密收购，这违反了对 CA 公司被收购需要披露信息的要求。而且，沃通公司还替换了原 StartCom 的基础设施、人员、政策和签发系统。面对这种情况，沃通和 StartCom 管理层还尝试误导社区这两个公司之间的收购事实和关系。

谷歌于 10 月 31 日发布了 Chrome 56 的 Dev 渠道版本。谷歌决定从该版本的 Chrome 开始，不再信任沃通和 StartCom 于 2016 年 10 月 21 日之后签发的证书。在这个日期之前签发的证书依旧信任，但是之后，除非他们遵循 Chrome 的证书透明策略，将只能对其已有客户的域名签发。按照计划，Chrome 56 将于 2017 年 1 月正式发布稳定版，因此在此之前，使用这两个 CA 所签发证书的网站应该尽快迁移到其它被 Chrome 信任的 CA 所签发的证书下。

沃通和 StartCom 的客户会发现他们的证书在 Chrome 56 中不再有效。并且，更严厉的是，谷歌还说：

在接下来的 Chrome 版本中，还会进一步减少对这两个 CA 签发的证书的支持，直到最终完全移除对这两个 CA 的信任！

并且称：

沃通和 StartCom 的任何试图规避处罚的做法都将导致这两个 CA 被马上全部移除！

沃通的证书在国内使用比较多，而 StartCom 的 StartSSL 证书则在全球范围内有广泛的使用，尤其是它的免费证书有很多个人网站在使用。鉴于 Chrome 在浏览器市场上已经占据了一半左右的份额，因此其带来的影响将是毁灭性的。

目前，主流浏览器里面，Mozilla 的 Firefox 、苹果的 Safari 和谷歌的 Chrome 都已经做出了相应的反应，但是我们目前还没见到微软对此的跟进和表态。似乎微软在 CA 策略方面一向比较散漫，因此，IE 和 Edge 浏览器的反应或许还需要一段时间，抑或不会采取措施。

据 Net Market Share 的数据，全球的 Linux 桌面用户的份额已经连续四个月超过了 2% 。

我们之前报道过，今年六月份时 Linux 桌面的市场份额首次突破了 2%，并于次月达到了历史最高点 2.33%。

那些将 Linux 作为主要桌面的用户们为这个份额做出了贡献。显然，从 这个图表的趋势来看，使用 Linux 作为桌面的用户越来越多了。

不过，不同的分析公司由于采样范围和分析方法的不同，其报告的数据、图表会有些不同，但是从总体的趋势来看，都是呈现向上增长的。

Net Market Share 的报告是基于全球 4 万个网站的访客得出的，4 万个网站也是一个比较大的数量了，当然，与整个互联网相比还是较小。

事实上，我们并不能真正摸清 Linux 具体的市场份额，因为有太多的发行版、内核版本和浏览器了，而且有些专门在隐私保护方面做了不少的工作，因此这部分我们的采集不到的。

在当今这个信息时代，安全是最重要的。恐怕没有人会希望自己的重要数据落入到坏人的手里。但是即便是无安全防护的硬件同样面临不少威胁，而大多数时候人们还只是对软件采取安全防护措施。ORWL 就是来改变这件事的。

ORWL 是什么？

ORWL 宣称是社区里“造得最安全的家用电脑”。 它是一台小型的飞碟形计算机，在设计上全面考虑了物理安全性。物理安全很重要，因为一旦有人获得了从物理上访问你的计算机的途径，那么就 Game Over 了，这是信息安全专业人员中的一个老生常谈。

ORWL 的基本规格包括英特尔 Skylake M3 处理器、USB-C 和微型 HDMI 接口、8GB 内存、120G 固态硬盘、蓝牙、Wifi 和 NFC 技术。目前它支持的操作系统有 Ubuntu 16.04、Qubes OS，以及 Windows 10 等，开箱即用。你只需要有一个显示器，键盘和鼠标就可以开始使用它了。

ORWL 是开源的

ORWL 是完全开源的。这意味着，如果有人想设计一台自己的计算机或者对 ORWL 作出改进的话，原理图和设计文件、软件、固件、所有东西都是可以获取的。

ORWL 是如何工作的？

ORWL 使用自加密固态硬盘（SSD）。一个安全微控制器集成到其主板上来产生和存储加密密匙。一旦核实了系统的完整性和已验证用户，它就使用密匙来解密固态硬盘（SSD）。无论对 ORWL 进行任何类型的篡改，密匙都会立即删除固态硬盘（SSD）上的无用数据

为了完成身份验证，ORWL 有一个使用和智能卡类似技术的密匙卡。它使用 NFC 技术来验证用户，同时使用蓝牙来检测用户是否在当前使用范围内。如果用户不在附近（不在使用范围内），ORWL 将会自动锁定。

整个 ORWL 系统被包裹在一个到处伴有压力开关的活动翻盖网格里。安全微控制器持续监控专用惯性测量部件，活动翻盖网格，内部温度和电源输入电压，以用于检测篡改。这将防止访问内部组件，比如试图破坏翻盖将会触发安全微控制器从而删除加密密匙。此外，出于安全考虑，动态随机存储器（DRAM）也焊有外壳。

这并不是全部安全防护措施，ORWL 还有更多详细的措施来确保设备绝对的物理安全性，包括冷启动防护，直接存储器访问（DMA）攻击防御等。

更多信息可以在 ORWL 引导页找到。这儿是一个关于它如何工作的快速视频。

ORWL 是信息安全的最终答案吗？

令人沮丧的是，ORWL 并不是信息安全的最终答案。ORWL 只能为计算机提供物理安全，尽管这很强大并且看起来 极酷 （ totally ninja ） ，但是还有许多来自其他方面的攻击会损坏你的系统。然而，ORWL 确实从整体上提高了计算机的安全性。

你认为 ORWL 怎么样？通过评论让我们知道你的想法。

via: https://itsfoss.com/orwl-physically-secure-computer/

作者：Munif Tanjim 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Mozilla 对沃通（WoSign）的处罚终于落定。

前一段时间，Mozilla 就沃通 CA 违规的问题，于 8 月 24 日发起了针对沃通 CA 的调查，并发布了一个问题列表。之后在 10 月 5 日， Mozilla、奇虎 360 、StartCom 和沃通在伦敦举行了闭门商谈，讨论下一步行动。

10 月 20 日，Mozilla 公布了对沃通 CA 的最终处理意见：

• 它不再信任在 10 月 21 日之后签发的沃通 CA 证书

• 从 Firefox 51 （预计将在 2017 年 1 月 23 日发布）起，移除之前预置的 4 个沃通根证书：

  1. CN=CA 沃通根证书, OU=null, O=WoSign CA Limited, C=CN
  2. CN=Certification Authority of WoSign, OU=null, O=WoSign CA Limited, C=CN
  3. CN=Certification Authority of WoSign G2, OU=null, O=WoSign CA Limited, C=CN
  4. CN=CA WoSign ECC Root, OU=null, O=WoSign CA Limited, C=CN

但是从这 4 个根证书签发的所有代码签名证书、客户端证书、签名平台（WoSignDoc）均不受任何影响。10 月 21 日（包括 21 日）之前签发的所有 SSL 证书也都不受任何影响，都能正常被 Mozilla 的火狐浏览器信任。

预计 Mozilla 的这一决定也有可能被其它主流浏览器所接纳。

此外，Mozilla 提出了六点操作要求：

1. 提供实施整改计划列表，确保将来不会违例 Mozilla 的 CA 证书策略和 CA/Browser 论坛的基准要求。
2. 实施整改，并更新其 CP/CPS 来完整描述其改进过程。CP/CPS 必须明确申明禁止倒填超过一天前的证书。
3. 对所做的整改，提供来自 Mozilla 所认可的 WebTrust 鉴证机构的面向公众的认证。该审计可能需要作为年度 WebTrust CA 审计的一部分。
4. 提供审计认证，对全部业务进行审计，确认合规 CA/Browser 论坛的基准要求。该审计可能需要作为年度 WebTrust CA 审计的一部分。
5. 提供审计认证，对 CA 的签发基础设施可以顺利完成执行完整的安全审计。
6. 所有签发的证书 100% 嵌入证书透明度（CT）信息，嵌入的 SCT 至少有一条来自谷歌，一条来自谷歌之外。

2017 年 6 月 1 日后，在满足 Mozilla 提出的上述 6 点操作要求后，沃通 CA 可以重新走正常申请 Mozilla 根认证流程，重新申请新的根证书预置。

沃通对此表示遗憾， 并宣布：

1. 将更新数字证书商店Buy网站，从10月22日起，所有从沃通4个根证书下签发的所有收费SSL证书全部一折销售；免费SSL证书继续停止开放；
2. 将增加一个产品选项，用户可以选购从新的沃通（WoSign）中级根证书下签发的支持所有浏览器（包括火狐浏览器）的SSL证书，在过渡期八折优惠。此中级根证书将由全球信任的其他CA根证书签发，支持所有浏览器和所有新老终端设备。此项产品升级计划一个月内完成并为广大用户提供证书服务；
3. 将积极按照Mozilla提出的6点要求进行操作，争取在2017年6月1日之后，尽快完成新根证书在各个浏览器系统的预置工作；
4. 已经并继续对所有系统进行全面的安全审计并加固升级改造，同时完善各种内控管理制度，组建国际标准研究团队和内审团队，确保所有系统100%符合国际标准，所有业务操作严格按照国际标准要求操作，加强员工严格按照标准操作的执行力度，违者将受到严厉惩处。

（题图来自：deviantart.net）