标签 SSL 下的文章

在本杂志 2022 年 4 月号中,我们了解了不同类型的 SSL 证书及其应用。本文介绍如何手动更新现有 SSL 证书,以使其保持最新的安全要求。

当访问者与你的网站互动并分享信用卡号码等关键细节时,他们相信他们的信息已得到保护,不会被滥用。因此,你有责任尊重这种信任并为你网站上的所有访问者提供全面保护。不这样做不仅会使你失去客户的忠诚度,而且还可能使你陷入法律困境。在许多情况下,无法保护客户数据免遭泄露、盗窃或滥用的网站被迫支付巨额罚款,同时也失去了声誉。

SSL 证书如何保护客户的数据?

保护敏感客户信息的最佳方法之一是使用 SSL(安全套接字层)证书保护你的站点。用不涉及技术细节的话来说,SSL 证书对 Web 服务器和访问者浏览器之间的通信进行加密,从而使黑客或威胁参与者在技术上不可能窃取传输中的数据。 SSL 建立了一个安全的握手过程来解密加密的信息,这个过程太复杂了,人类甚至软件都无法破解。(LCTT 校注:此处言过其实,SSL 加密传输的信息并不是绝对不可截获和破解的,比如中间人攻击等。)

为什么需要更新 SSL 证书?

虽然 SSL 证书提供了防止数据盗窃或滥用的安全性,但你需要定期更新它以确保最有效的安全性以抵御最新的威胁。本文将列出以正确方式更新 SSL 证书的分步说明。

更新 SSL 证书有很多好处:

  • 及时更新验证你的网站的身份。
  • 获得更新的安全性。
  • 一年有效期促进定期更新/升级保护范围的健康实践,从而消除与过时版本相关的风险。
注意:最佳做法是选择一种自动续订方式,以减轻你记住续订日期或手动执行相关步骤的压力。

有点跑题了,构建你自己的 SSL 证书的纯开源方式

是的,这绝对是真的!通过一些简化和紧凑的步骤,你实际上可以从头开始构建自己的 SSL 证书!虽然整个过程超出了本文的范围,但这里有一些可用于创建 SSL 证书的关键开源组件和工具。

  • OpenSSL:这是实现 TLS 和加密库的高度可信的工具。
  • EasyRSA:此命令行工具使你能够构建 PKI CA 并有效地管理它。
  • CFSSL:Cloudflare 终于为 PKI 和 TLS 构建了一个多用途、多功能的工具。
  • Lemur:由 Netflix 开发的还不错的 TLS 生成器。

如何更新你的 SSL 证书

虽然 SSL 更新的一般过程保持不变,但可能会有一些细微的调整和变化,具体取决于你的特定 SSL 提供商。

更新过程遵循三个主要步骤:CSR(证书签名请求)生成、证书激活,最后是证书安装。

生成 CSR: 对于 cPanel 托管面板,你可以单击“ 安全 Security ”选项卡并搜索 SSL/TLS 选项。它将显示一个页面,在 CSR 选项下方有一个链接。这里可以帮助你为所需的域名生成新的 CSR。

系统将询问你详细的联系信息,以确认你是真正的域所有者。填写表格后,你将获得证书重新激活所需的 CSR 代码。

激活 SSL 证书: 在你的仪表板中,你可以快速查看拥有的 SSL 证书、域和其他数字基础设施产品。单击该按钮开始 SSL 续订过程。输入之前生成的 CSR,确认信息的准确性。你现在可以验证 SSL 续订过程。

验证 SSL 证书: 系统将再次提示你确认域所有权 —— 输入与域相关的电子邮件;在需要安装证书的 Web 服务器上上传文件;借助 CNAME 记录验证 SSL 证书等等。虽然有多种选择,但最好和最简单的方法是通过电子邮件进行验证。输入与该域关联的电子邮件后,你将收到一封包含特定链接的电子邮件,然后是另一封邮件,其中包含带有 .crt 扩展名的新证书文件。

安装 SSL 证书: 你的主机托管商将为你提供与支持团队沟通的方式,以安装更新文件,或为你提供有关如何通过 cPanel 手动执行此操作的详细说明。请记住,不同的主机提供不同的续订方式。也就是说,如果你是非技术人员,那么联系支持团队将是你的最佳选择。

如需手动更新,请访问 cPanel 的 “SSL/TLS” 页并找到 “ 管理 SSL 站点 Manage SSL sites ”选项。它包含了你拥有的整个域列表。对应每个域名,你可以看到证书更新选项。

在旁边的页面中,使用“ 按域自动填写 Autofill by Domain ”选项输入“ 私钥 Private Key ”的详细信息。在 “ 证书 Certificate ” 选项下,填写你的 .crt 文件的详细信息。离完成就剩一步了。只需单击显示“ 安装证书 Install Certificate ”的按钮。

除了保存用户的关键数据和敏感信息外,SSL 证书还通过重申你网站上共享的数据是安全的来建立信任。由于谷歌认为 SSL 认证是一种健康的做法,因此它也会对你的 SEO 产生积极影响。但是,要继续享受此证书的最佳安全性,你需要定期更新它。这可以确保你的网站根据最新的安全要求,充分防止数据传输中的攻击。


via: https://www.opensourceforu.com/2022/07/manual-renewal-of-ssl-certificates-a-simple-guide/

作者:Jitendra Bhojwani 选题:lkxed 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

SUSE 正在开发“可适应的 Linux 平台”

据消息,SUSE Linux Enterprise(SLE)15 已经发布了四年了。SUSE 正在开发“可适应的 Linux 平台”(ALP)作为他们的下一代企业级 SUSE 操作系统,在技术和设计上将会有“彻底的改变”。SUSE 称,ALP 将在开放的环境下开发,不会像过去那样,在内部拼凑碎片,然后分享到外部。此外,ALP 将分成两部分:一个较小的硬件使能部分,即一种“宿主机操作系统”;和一个基于容器(和虚拟机)的提供和支持应用程序的层。

老王点评:这个变化值得关注,似乎是一个不错的设计

检查 SSL 证书的免费服务 SSLPing 宣布关闭

据消息,提供检查 SSL 证书和已知漏洞的 SSLPing 服务宣布,无法维持下去了,立即终止服务。其原因是各种积累的技术债,多台服务器存在故障或潜在故障,软件系统存在解决不了的问题。此外,通过用户的捐赠订阅只能提供 1/4 的服务器托管费用。该服务发布于 2016 年 3 月,有 500 多个注册用户,监控着 12500 多个 TLS 服务器。它是轻量级的,而且是无广告的。

老王点评:你所使用的免费服务,其实只是有人替你买单,而一旦无力支持它就会消亡。

AI 驱动的浏览器扩展可以帮你自动关掉 Cookie 弹窗

据消息,当面对欧洲法律和其他立法要求的 Cookie 弹窗时,许多用户只是简单地点击“接受所有”,尽管不必要的 Cookie 可能会损害隐私。而一些网站专门把它们设计得很棘手,使拒绝 Cookie 比接受更难。据统计,用户平均需要点击 12 次才能禁用非必要的 Cookie。研究人员开发了一个名为 CookieEnforcer 的浏览器扩展,采用了一个机器学习模型,可检测弹窗位置、预测拒绝按钮、并替代用户点击拒绝。这都是在后台完成的,完全不影响用户。不过该扩展目前还没有公开提供。

老王点评:这真是魔高一尺道高一丈,对抗都需要用 AI 了。

微软推出中国特供版的“微软电脑管家”

微软专门针对国内用户发布了一款“微软电脑管家”的软件。官方介绍称:“微软电脑管家聚合了微软 Windows 系统强大的底层研发能力,搭配微软独有反病毒引擎,全面构建您的电脑防护体系。主打低占用、不打扰、干净、不捆绑的产品特点,为用户提供电脑体检、反病毒、主页反劫持、电脑垃圾清理等功能。”不过,虽然该软件的开发商是世纪互联的子公司北京蓝云公司,但是微软表示该软件隶属于微软

老王点评:真是熟悉的配方。

波士顿动力的机器人从 DHL 获得 1500 万美元的工作机会

去年 3 月,波士顿动力公司公布了其第二款商业机器人 Stretch。该机器人建立在箱子搬运概念之上,旨在将该公司的先进机器人技术带入仓库/物流环境中。最近,波士顿动力公司 宣布,物流巨头 DHL 已经承诺与其达成一项为期多年、价值 1500 万美元的合作,它将在未来三年为 DHL 物流中心带来一支机器人队伍,首先它将负责从卡车上自动卸货,随后还将增加更多的任务,以进一步实现包裹处理过程的自动化。

老王点评:看来以后这种体力活都是机器人的了。

Let's Encrypt 错误签发数百万张证书

Let's Encrypt 工程师称在 2022 年 1 月 26 日 00:48 UTC 部署修复程序时发现,所有通过 TLS-APLN-01 质询颁发和验证的证书都是错误的,需在 5 天内让错误证书失效,计划 从 1 月 28 日 16:00 UTC 开始吊销错误证书。但并非所有证书都受此问题影响,预计不到 1% 的活跃证书受此问题,影响当前已经向相关用户发送邮件通知。

老王点评:保险起见,无论是否收到邮件,还是重新签发一下比较好。

通过理解安全证书来保护你的 Linux 邮件服务。

通常,不管你是通过 简单邮件传输协议 Simple Mail Transport Protocol (SMTP)或者 互联网消息访问协议 Internet Message Access Protocol (IMAP)或 邮局协议 Post Office Protocol (POP)发送或者接受邮件,邮件服务默认都是以无保护的明文来传输数据。近来随着数据加密成为越来越多程序的共识,你需要 安全套接层 Secure Sockets Layer / 传输层安全性 Transport Layer Security (SSL/TLS)的安全证书来保护你的邮件服务。

首先,快速回顾一下邮件服务和协议的基本流程。邮件通过 SMTP 从 TCP 端口 25 发出。这个协议依靠 DNS 邮件交换服务器 Mail eXchanger (MX)记录的地址信息来传输邮件。当邮件到达邮件服务器后,可以被以下两种服务中的任意一种检索:使用 TCP 端口 143 的 IMAP,或者使用 TCP 端口 110 的 POP3(邮局协议第 3 版)。然而,以上服务都默认使用明文传输邮件和认证信息。这非常的不安全!

为了保护电子邮件数据和认证,这些服务都增加了一个安全功能,使它们可以利用 SSL/TLS 证书对数据流和通讯进行加密封装。SSL/TLS 是如何加密数据的细节不在本文讨论范围,有兴趣的话可以阅读 Bryant Son 关于互联网安全的文章了解更多细节。概括的说,SSL/TLS 加密是一种基于公钥和私钥的算法。

通过加入这些安全功能后,这些服务将监听在新的 TCP 端口:

服务默认 TCP 端口SSL/TLS 端口
SMTP25587
IMAP143993
POP3110995

生成 SSL/TLS 证书

OpenSSL 可以生成免费的 SSL/TLS 证书,或者你也可以从公共 证书颁发机构 Certificate Authoritie (CA)购买。过去,生成自签发证书十分简单而且通用,但是由于安全被日益重视,大部分的邮件客户端是不信任自签发证书的,除非手动设置。

如果你只是自己使用或者做做测试,那就使用自签发证书省点钱吧。但是如果很多人或者客户也需要使用的话,那最好还是从受信任的证书颁发机构购买。

不管是哪种情况,开始请求新证书的过程是使用 Linux 系统上的 OpenSSL 工具来创建一个 证书签发请求 Certificate Signing Request (CSR):

$ openssl req -new -newkey rsa:2048 -nodes -keyout mail.mydomain.key -out mail.mydomain.csr

这个命令会为你想保护的服务同时生成一个新的 CSR 文件和一个私匙。它会询问你一些证书相关的问题,如:位置、服务器的 完全合规域名 Fully Qualified Domain Name (FQDN)、邮件联系信息等等。当你输入完这些信息后,私钥和 CSR 文件就生成完毕了。

如果你想生成自签发证书

如果你想要生成自签发证书的话,在运行以上 CSR 命令之前,你必须先创建一个自己的根 CA。你可以通过以下方法创建自己的根 CA。

$ openssl genrsa -des3 -out myCA.key 2048

命令行会提示你输入一个密码。请输入一个复杂点的密码而且不要弄丢了,因为这将会是根 CA 私钥的密码,正如其名称所示,它是你的证书中所有信任关系的根。

接下来,生成根 CA 证书:

$ openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

在回答完一些问题后,你就拥有一个有效期为 5 年的根 CA 证书了。

用之前生成的 CSR 文件,你可以请求生成一个新证书,并由您刚才创建的根 CA 签名。

$ openssl x509 -req -in mail.mydomain.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out mail.mydomain.pem -days 1825 -sha256

输入你的根 CA 私钥的密码来创建和签署证书。

现在你有了配置电子邮件服务以增强安全性所需的两个文件:私匙文件 mail.mydomain.key 和公开证书文件 mail.mydomain.pem

如果你愿意购买证书

如果你愿意从机构购买证书,则需要上传 CSR 文件到证书颁发机构的系统中,它将会被用于生成 SSL/TLS 证书。证书可作为文件下载,比如 mail.mydomain.pem。很多 SSL 机构也需要你下载一个中间证书。如果是这样的话,你必须把这个两个证书合并成一个,这样电子邮件服务就可以将这两个证书结合起来处理。可以使用以下命令把你的证书和第三方中间证书合并在一起:

$ cat mail.mydomain.pem gd_bundle-g2-g1.crt > mail.mydomain.pem

值得一提的是 .pem 文件后缀代表 隐私增强邮件 Privacy-Enhanced Mail

现在你就有全部的设置邮件服务安全所需文件了:私匙文件 mail.mydomain.key 和组合的公开证书文件 mail.mydomain.pem

为你的文件生成一个安全的文件夹

不管你是的证书是自签发的或者从机构购买,你都需要生成一个安全的,管理员拥有的文件夹用于保存这两个文件。可以使用以下命令来生成:

$ mkdir /etc/pki/tls
$ chown root:root /etc/pki/tls
$ chmod 700 /etc/pki/tls

在复制文件到 /etc/pki/tls 后,再次设置这些文件的权限:

$ chmod 600 /etc/pki/tls/*

配置你的 SMTP 和 IMAP 服务

接下来,让 SMTP 和 IMAP 服务使用新的安全证书。我们用 postfixdovecot 来作为例子。

用你顺手的编辑器来编辑 /etc/postfix/main.cf 文件。添加以下几行:

smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/pki/tls/mail.mydomain.pem
smtpd_tls_key_file = /etc/pki/tls/mail.mydomain.key

自定义选项

以下选项可以启用或禁用各种加密算法,协议等等:

smtpd_tls_eecdh_grade = strong
smtpd_tls_protocols= !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_protocols= !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_security_level=may
smtpd_tls_ciphers = high
tls_preempt_cipherlist = yes
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
smtpd_tls_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

编辑 /etc/dovecot/dovecot.conf 文件,添加以下三行:

ssl = required
ssl_cert = </etc/pki/tls/mail.mydomain.pem
ssl_key = </etc/pki/tls/mail.mydomain.key

添加下列更多选项来启用或禁用各种加密算法、协议等等(我把这些留给你来理解):

ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:ALL:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SSLv2
ssl_prefer_server_ciphers = yes
ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1
ssl_min_protocol = TLSv1.2

设置 SELinux 上下文

如果你的 Linux 发行版启用了 SELinux,请为你的新证书文件设置正确的 SELinux 上下文。

对于 Postfix 设置 SELinux:

$ chcon -u system_u -t cert_t mail.mydomain.*

对于 Dovecot 设置 SELinux:

$ chcon -u system_u -t dovecot_cert_t mail.mydomain.*

重启这些服务,并与你相应更新过的电子邮件客户端配置连接。有些电子邮件客户端会自动探测到新的端口,有些则需要你手动更新。

测试配置

openssl 命令行和 s_client 插件来简单测试一下:

$ openssl s_client -connect mail.mydomain.com:993
$ openssl s_client -starttls imap -connect mail.mydomain.com:143
$ openssl s_client -starttls smtp -connect mail.mydomain.com:587

这些测试命令会打印出很多信息,关于你使用的连接、证书、加密算法、会话和协议。这不仅是一个验证新设置的好方法,也可以确认你使用了适当的证书,以及在 postfix 或 dovecot 配置文件中定义的安全设置正确。

保持安全!


via: https://opensource.com/article/20/4/securing-linux-email

作者:Marc Skinner 选题:lujun9972 译者:Acceleratorrrr 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

你的浏览器里的锁的图标的后面是什么?

Lock

每天你都会重复这件事很多次,访问网站,网站需要你用你的用户名或者电子邮件地址和你的密码来进行登录。银行网站、社交网站、电子邮件服务、电子商务网站和新闻网站。这里只在使用了这种机制的网站中列举了其中一小部分。

每次你登录进一个这种类型的网站时,你实际上是在说:“是的,我信任这个网站,所以我愿意把我的个人信息共享给它。”这些数据可能包含你的姓名、性别、实际地址、电子邮箱地址,有时候甚至会包括你的信用卡信息。

但是你怎么知道你可以信任这个网站?换个方式问,为了让你可以信任它,网站应该如何保护你的交易?

本文旨在阐述使网站变得安全的机制。我会首先论述 web 协议 http 和 https,以及 传输层安全 Transport Layer Security (TLS)的概念,后者是 互联网协议 Internet Protocol (IP)层中的加密协议之一。然后,我会解释 证书颁发机构 certificate authority 和自签名证书,以及它们如何帮助保护一个网站。最后,我会介绍一些开源的工具,你可以使用它们来创建和管理你的证书。

通过 https 保护路由

了解一个受保护的网站的最简单的方式就是在交互中观察它,幸运的是,在今天的互联网上,发现一个安全的网站远远比找到一个不安全的网站要简单。但是,因为你已经在 Opensource.com 这个网站上了,我会使用它来作为案例,无论你使用的是哪个浏览器,你应该在你的地址栏旁边看到一个像锁一样的图标。点击这个锁图标,你应该会看见一些和下面这个类似的东西。

Certificate information

默认情况下,如果一个网站使用的是 http 协议,那么它是不安全的。为通过网站主机的路由添加一个配置过的证书,可以把这个网站从一个不安全的 http 网站变为一个安全的 https 网站。那个锁图标通常表示这个网站是受 https 保护的。

点击证书来查看网站的 CA,根据你的浏览器,你可能需要下载证书来查看它。

Certificate information

在这里,你可以了解有关 Opensource.com 证书的信息。例如,你可以看到 CA 是 DigiCert,并以 Opensource.com 的名称提供给 Red Hat。

这个证书信息可以让终端用户检查该网站是否可以安全访问。

警告:如果你没有在网站上看到证书标志,或者如果你看见的标志显示这个网站不安全——请不要登录或者做任何需要你个人数据的操作。这种情况非常危险!

如果你看到的是警告标志,对于大多数面向公众开放的网站来说,这很少见,它通常意味着该证书已经过期或者是该证书是自签名的,而非通过一个受信任的第三方来颁发。在我们进入这些主题之前,我想解释一下 TLS 和 SSL。

带有 TLS 和 SSL 的互联网协议

TLS 是旧版 安全套接字层协议 Secure Socket Layer (SSL)的最新版本。理解这一点的最好方法就是仔细理解互联网协议的不同协议层。

IP layers

我们知道当今的互联网是由 6 个层面组成的:物理层、数据链路层、网络层、传输层、安全层、应用层。物理层是基础,这一层是最接近实际的硬件设备的。应用层是最抽象的一层,是最接近终端用户的一层。安全层可以被认为是应用层的一部分,TLS 和 SSL,是被设计用来在一个计算机网络中提供通信安全的加密协议,它们位于安全层中。

这个过程可以确保终端用户使用网络服务时,通信的安全性和保密性。

证书颁发机构和自签名证书

证书颁发机构 Certificate authority (CA)是受信任的组织,它可以颁发数字证书。

TLS 和 SSL 可以使连接更安全,但是这个加密机制需要一种方式来验证它;这就是 SSL/TLS 证书。TLS 使用了一种叫做非对称加密的加密机制,这个机制有一对称为私钥和公钥的安全密钥。(这是一个非常复杂的主题,超出了本文的讨论范围,但是如果你想去了解这方面的东西,你可以阅读“密码学和公钥密码基础体系简介”)你要知道的基础内容是,证书颁发机构们,比如 GlobalSign、DigiCert 和 GoDaddy,它们是受人们信任的可以颁发证书的供应商,它们颁发的证书可以用于验证网站使用的 TLS/SSL 证书。网站使用的证书是导入到主机服务器里的,用于保护网站。

然而,如果你只是要测试一下正在开发中的网站或服务,CA 证书可能对你而言太昂贵或者是太复杂了。你必须有一个用于生产目的的受信任的证书,但是开发者和网站管理员需要有一种更简单的方式来测试网站,然后他们才能将其部署到生产环境中;这就是自签名证书的来源。

自签名证书是一种 TLS/SSL 证书,是由创建它的人而非受信任的 CA 机构颁发的。用电脑生成一个自签名证书很简单,它可以让你在无需购买昂贵的 CA 颁发的证书的情况下测试一个安全网站。虽然自签名证书肯定不能拿到生产环境中去使用,但对于开发和测试阶段来说,这是一种简单灵活的方法。

生成证书的开源工具

有几种开源工具可以用来管理 TLS/SSL 证书。其中最著名的就是 openssl,这个工具包含在很多 Linux 发行版中和 MacOS 中。当然,你也可以使用其他开源工具。

工具名描述许可证
OpenSSL实现 TLS 和加密库的最著名的开源工具Apache License 2.0
EasyRSA用于构建 PKI CA 的命令行实用工具GPL v2
CFSSL来自 cloudflare 的 PKI/TLS 瑞士军刀BSD 2-Clause Simplified License
Lemur来自 网飞 Netflix 的 TLS 创建工具Apache License 2.0

如果你的目的是扩展和对用户友好,网飞的 Lemur 是一个很有趣的选择。你在网飞的技术博客上可以查看更多有关它的信息。

如何创建一个 Openssl 证书

你可以靠自己来创建证书,下面这个案例就是使用 Openssl 生成一个自签名证书。

1、使用 openssl 命令行生成一个私钥:

openssl genrsa -out example.key 2048

2、使用在第一步中生成的私钥来创建一个 证书签名请求 certificate signing request (CSR):

openssl req -new -key example.key -out example.csr -subj "/C=US/ST=TX/L=Dallas/O=Red Hat/OU=IT/CN=test.example.com"

3、使用你的 CSR 和私钥创建一个证书:

openssl x509 -req -days 366 -in example.csr -signkey example.key -out example.crt

了解更多关于互联网安全的知识

如果你想要了解更多关于互联网安全和网站安全的知识,请看我为这篇文章一起制作的 Youtube 视频。

你有什么问题?发在评论里让我们知道。


via: https://opensource.com/article/19/11/internet-security-tls-ssl-certificate-authority

作者:Bryant Son 选题:lujun9972 译者:hopefully2333 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let's Encrypt 发布了自己的证书透明度(CT)日志 Oak,它欢迎其他 CA 递交证书日志。该项目得到了 Sectigo 的赞助。证书透明度是一个记录和监视证书签发的系统,有助于改进 CA 生态系统和 Web 安全,因此迅速成为关键的互联网基础设施。

Let's Encrypt 决定创建和运作自己的 CT 是出于多个理由:首先是 CT 与该组织让互联网变得更安全和尊重隐私的使命相一致,它相信透明能增强安全,能让人做出深思熟虑的决定;

其次是运作一个日志有助于控制其命运,Google Chrome 要求所有的新签发证书递交到两个不同的日志系统,

因此 Let's Encrypt 的运营必须要有多个日志选项;第三是它每天签发超过 100 万个证书,它想要设计一个能优化处理大量证书日志的系统。

来源:solidot.org

更多资讯

两家提供勒索软件解决方案的公司被发现是支付赎金

对于遭到勒索软件攻击的企业和机构,是向攻击者支付赎金还是寻找其它解决方案?支付赎金被认为会鼓励攻击者,被认为是不道德的。但其他解决方案可能会需要花更长的时间耗费更多金钱。

来源: solidot.org

详情: http://t.cn/EKjCif9

美国联邦通信委员会计划为运营商提供更多权力来打击自动骚扰电话

美国联邦通信委员会主席 Ajit Pai 希望为移动电话公司提供更大的权力来阻止不受欢迎的自动骚扰电话。这项提议如果获得通过,将允许无线运营商默认为客户阻止这些自动骚扰电话。公司还允许消费者自己阻止来自未知号码的呼叫。

来源: cnBeta.COM

详情: http://t.cn/EKjCaDT

CEO 透露:Coinbase 现管理着 10 亿美元的加密货币资产

在周三举办的 CoinDesk Consensus 2019 大会上,Coinbase CEO Brian Armstrong 表示:尽管推出仅 12 个月,该交易所目前还是托管了 10 亿美元的加密货币资产(AUM)。在现场讨论环节,当《华尔街日报》记者 Paul Vigna 向 Armstrong 询问有关加密货币行业的机构参与状况,他答道:“从 12 个月前开始,我们管理的加密货币资产刚刚超过了 10 亿美元”。

来源: cnBeta.COM

详情: http://t.cn/EKjCCIo

「净网 2019」4 万余条公民信息被窃取,怀化公安跨省抓获黑客

“我真没想到这触犯了法律”周某做梦也没有想到,因为自己一时炫技竟惹上了牢狱之灾。5 月 15 日晚,怀化市公安局鹤城分局网安大队民警将涉嫌侵犯公民个人信息及破坏计算机信息系统的违法犯罪嫌疑人周某从深圳带回怀化。周某因涉嫌窃取怀化市某高校学生信息数据 46767 条,目前已被刑事拘留。

来源: 怀化网警巡查执法

详情: http://t.cn/EKjCOrq

(信息来源于网络,安华金和搜集整理)