欧洲立法准备拦截和监视加密的 HTTPS 连接，且不允许反制

欧洲的立法者预计将通过数字身份规则 eIDAS 2.0 的立法。它的要求之一是，浏览器制造商必须信任政府批准的证书颁发机构（CA），并且不实施超出欧洲电信标准协会规定范围的安全控制。但是，如果浏览器制造商怀疑或检测到滥用（例如流量拦截），则不得采取反制措施来取消对这些 CA 证书的信任。Mozilla 说，这使得任何欧盟成员国的政府都能签发用于拦截和监视的网站证书，这些证书可以用来对付每一个欧盟公民。Mozilla、谷歌和 EFF 等均对这一条表示了关切和担忧。

消息来源：The Register

老王点评：你为什么有这样的错觉？

苹果称 MacBook Pro 上 的 8GB 内存相当于 PC 的 16 GB 内存

苹果 MacBook Pro 标准型号过去十年配备的内存一直是 8GB，上个月，苹果推出的售价 1599 美元的 M3 MacBook Pro 仍然只有 8GB 的统一内存，而且是由 CPU、GPU 和神经网络加速器共享的。相比之下，Windows 笔记本基本上都是 16GB 或 32GB。一位苹果高管在接受采访时表示，MacBook Pro 上 的 8GB 统一内存相当于 PC 的 16GB 内存，“将我们的内存与其他系统的内存进行比较实际上是不对等的，因为我们对内存的使用效率很高，我们使用内存压缩，而且我们拥有统一的内存架构。”所谓统一内存，指的是苹果 M 系列的 Mac 的内存封装在处理器的片上系统芯片旁边，并与之直接连接，而不是焊接到主板上或使用 SODIMM 模块连接。

消息来源：The Register

老王点评：虽然我感觉也够了，但是这其实是狡辩，而且增加内存的苹果电脑会贵很多。

为了帮你选购更好的产品，Mozilla 推出首个 AI 大模型

今年早些时候，Mozilla 收购了一家利用人工智能和机器学习识别虚假和欺骗性产品评论的初创公司 Fakespot。在此基础上，Mozilla 开始测试其第一个大型语言模型 Fakespot Chat，购物者可以向该聊天机器人询问他们正在考虑的产品，就像你在现实世界中的实体店购物时向销售人员寻求帮助一样。该技术利用人工智能和机器学习对产品评论进行分类，去伪存真，回答用户的问题。该功能可以通过 Fakespot 分析器使用，也可以通过浏览器扩展在亚马逊网站的产品上使用。

消息来源：Tech Crunch

老王点评：我怎么觉得 Mozilla 有点不务正业呢？

中国人工智能产业几乎没有受到芯片出口管制的影响

由于受到美国的芯片出口管制，英伟达已经为中国市场创造了其芯片的变种。相比起最新的芯片，英伟达 3 月份宣布的 H800 在执行一些人工智能任务可能需要多花费 10% 到 30% 的时间，一些成本可能翻倍。但即使放慢速度的芯片对中国企业来说也是一种进步。据腾讯估计，使用 H800 的系统将把训练其最大的人工智能系统的时间减少一半以上。美国出口管制政策部分是为了避免中国完全放弃美国的芯片，而加倍自己的芯片开发努力。这可能会限制用于军事研究的超级计算机，但受限的芯片对人工智能任务来说影响不大。

消息来源：路透社

老王点评：所以，如果中国的人工智能不能追上去，不能只埋怨硬件不行了。

Chrome 将放弃用锁图标代表 HTTPS 状态

自 1990 年代以来，Web 浏览器就使用锁图标来代表连接是安全的并经过了加密。而如今的 95% 的页面采用了 HTTPS，即便是钓鱼网站也大多使用它，也会显示锁图标。谷歌在 2021 年进行的研究发现，只有 11% 的用户能正确理解其意义。因此，锁图标并不代表一个网站是安全的，只是表明传输内容的连接是加密的。谷歌将用一个更中立的，与设置相关的 “ 调整 Tune ” 图标取代锁图标，它不代表该网站是值得信赖的。新图标计划在 2023 年 9 月初发布的 Chrome 117 中推出。

消息来源：Chromium

老王点评：确实，HTTPS 已经成了默认，那这个按钮就有失原意了。

IBM CEO 说远程工作者的晋升将受到影响

他说，他没有强迫公司的任何远程员工进入办公室，但他警告说，那些不这样做的人 “将很难得到晋升，特别是进入管理岗位”。他将该公司的返回办公室政策描述为 “我们鼓励你来，我们期待你来，我们希望你来。” 他说，每周三天是他们鼓励的数字。大约 80% 的 IBM 员工至少有一部分时间在家工作。

消息来源：彭博社

老王点评：现在还有多少人在家远程工作？

回音

• 在 #959 期报道过，3 月 Steam 平台用户语言统计出现了异常：简体中文用户占有率突然之间爆炸式增长，从 25.35% 增至 51.63%。4 月，Steam 用户语言统计恢复了 正常，简体中文用户减少为 25.03%。

20 个企业控制了一半的域名解析

据分析，来自 20 个域名的 255 台 DNS 服务器控制了 52% 的域名解析，100 个域名的 DNS 服务器控制了 75% 的域名解析，6000 个域名的 DNS 服务器控制了 99% 的域名解析。控制域名解析的前 20 个域名来自互联网巨头，其中 15 个是美国科技巨头，如 GoDaddy、谷歌、Cloudflare 和亚马逊。其中 34% 的域名解析的 IP 地址属于 Cloudflare 的自治系统 AS13335。

消息来源：Netmeister

老王点评：互联网其实不是去中心化的，而是分布式的。

Mastodon 的安全性并不可靠

自从 Twitter 被收购后，Mastodon 引来了大量注意，用户数量激增，两周内总用户达到 870 万。有安全专家发现多个存在安全漏洞的 Mastodon 实例。Mastodon 项目缺乏专门的安全团队，甚至软件也没有自动更新或检查更新的功能。

消息来源：Ars Technica

老王点评：随着用户增多，安全问题就成了大问题，好在 Mastodon 本身并不收集太多用户数据。

Let's Encrypt 签发了逾三十亿证书

目前全球有数以百万计的网站依赖 Let's Encrypt 作为安全保障。其 2022 年年度报告中称，截至 2022 年 11 月 1 日，它为超过 3.09 亿个域名提供了证书，仅 2022 年增加了逾 3300 万个域名。Let's Encrypt 在 2017 年 6 月签发了第一亿个证书。三年后的 2020 年 2 月签发了第 10 亿个证书。

消息来源：Let's Encrypt

老王点评：Let's Encrypt 功莫大焉，要是一直由 CA 公司把持 SSL 证书的签发，HTTPS 的普及可能会慢得多。

在本杂志 2022 年 4 月号中，我们了解了不同类型的 SSL 证书及其应用。本文介绍如何手动更新现有 SSL 证书，以使其保持最新的安全要求。

当访问者与你的网站互动并分享信用卡号码等关键细节时，他们相信他们的信息已得到保护，不会被滥用。因此，你有责任尊重这种信任并为你网站上的所有访问者提供全面保护。不这样做不仅会使你失去客户的忠诚度，而且还可能使你陷入法律困境。在许多情况下，无法保护客户数据免遭泄露、盗窃或滥用的网站被迫支付巨额罚款，同时也失去了声誉。

SSL 证书如何保护客户的数据？

保护敏感客户信息的最佳方法之一是使用 SSL（安全套接字层）证书保护你的站点。用不涉及技术细节的话来说，SSL 证书对 Web 服务器和访问者浏览器之间的通信进行加密，从而使黑客或威胁参与者在技术上不可能窃取传输中的数据。 SSL 建立了一个安全的握手过程来解密加密的信息，这个过程太复杂了，人类甚至软件都无法破解。（LCTT 校注：此处言过其实，SSL 加密传输的信息并不是绝对不可截获和破解的，比如中间人攻击等。）

为什么需要更新 SSL 证书？

虽然 SSL 证书提供了防止数据盗窃或滥用的安全性，但你需要定期更新它以确保最有效的安全性以抵御最新的威胁。本文将列出以正确方式更新 SSL 证书的分步说明。

更新 SSL 证书有很多好处：

• 及时更新验证你的网站的身份。
• 获得更新的安全性。
• 一年有效期促进定期更新/升级保护范围的健康实践，从而消除与过时版本相关的风险。

注意：最佳做法是选择一种自动续订方式，以减轻你记住续订日期或手动执行相关步骤的压力。

有点跑题了，构建你自己的 SSL 证书的纯开源方式

是的，这绝对是真的！通过一些简化和紧凑的步骤，你实际上可以从头开始构建自己的 SSL 证书！虽然整个过程超出了本文的范围，但这里有一些可用于创建 SSL 证书的关键开源组件和工具。

• OpenSSL：这是实现 TLS 和加密库的高度可信的工具。
• EasyRSA：此命令行工具使你能够构建 PKI CA 并有效地管理它。
• CFSSL：Cloudflare 终于为 PKI 和 TLS 构建了一个多用途、多功能的工具。
• Lemur：由 Netflix 开发的还不错的 TLS 生成器。

如何更新你的 SSL 证书

虽然 SSL 更新的一般过程保持不变，但可能会有一些细微的调整和变化，具体取决于你的特定 SSL 提供商。

更新过程遵循三个主要步骤：CSR（证书签名请求）生成、证书激活，最后是证书安装。

生成 CSR： 对于 cPanel 托管面板，你可以单击“ 安全 Security ”选项卡并搜索 SSL/TLS 选项。它将显示一个页面，在 CSR 选项下方有一个链接。这里可以帮助你为所需的域名生成新的 CSR。

系统将询问你详细的联系信息，以确认你是真正的域所有者。填写表格后，你将获得证书重新激活所需的 CSR 代码。

激活 SSL 证书： 在你的仪表板中，你可以快速查看拥有的 SSL 证书、域和其他数字基础设施产品。单击该按钮开始 SSL 续订过程。输入之前生成的 CSR，确认信息的准确性。你现在可以验证 SSL 续订过程。

验证 SSL 证书： 系统将再次提示你确认域所有权 —— 输入与域相关的电子邮件；在需要安装证书的 Web 服务器上上传文件；借助 CNAME 记录验证 SSL 证书等等。虽然有多种选择，但最好和最简单的方法是通过电子邮件进行验证。输入与该域关联的电子邮件后，你将收到一封包含特定链接的电子邮件，然后是另一封邮件，其中包含带有 .crt 扩展名的新证书文件。

安装 SSL 证书： 你的主机托管商将为你提供与支持团队沟通的方式，以安装更新文件，或为你提供有关如何通过 cPanel 手动执行此操作的详细说明。请记住，不同的主机提供不同的续订方式。也就是说，如果你是非技术人员，那么联系支持团队将是你的最佳选择。

如需手动更新，请访问 cPanel 的 “SSL/TLS” 页并找到 “ 管理 SSL 站点 Manage SSL sites ”选项。它包含了你拥有的整个域列表。对应每个域名，你可以看到证书更新选项。

在旁边的页面中，使用“ 按域自动填写 Autofill by Domain ”选项输入“ 私钥 Private Key ”的详细信息。在 “ 证书 Certificate ” 选项下，填写你的 .crt 文件的详细信息。离完成就剩一步了。只需单击显示“ 安装证书 Install Certificate ”的按钮。

除了保存用户的关键数据和敏感信息外，SSL 证书还通过重申你网站上共享的数据是安全的来建立信任。由于谷歌认为 SSL 认证是一种健康的做法，因此它也会对你的 SEO 产生积极影响。但是，要继续享受此证书的最佳安全性，你需要定期更新它。这可以确保你的网站根据最新的安全要求，充分防止数据传输中的攻击。

via: https://www.opensourceforu.com/2022/07/manual-renewal-of-ssl-certificates-a-simple-guide/

作者：Jitendra Bhojwani 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 5.18 再次尝试默认启用 -Werror

去年，在 Linux 5.15 中，内核尝试默认启用 -Werror，将所有编译器警告视为错误。其动机是为了确保编译器警告被开发人员认真对待，并让新代码不会引入任何新的警告。这一变化给 Linux 内核带来了很多构建时的痛苦，因此这次努力以失败而告终。在今天结束 Linux 5.18 合并窗口前，又送来了一批 “x86/紧急” 更新，其中默认启用了 Linux x86/x86\_64 上的 CONFIG\_WERROR 开关。

老王点评：想必经过了几个版本的准备，这次可能能够顺利执行下去。

微软开始通过 HTTPS 连接提供 Windows 更新

据消息，有人在试图下载微软 Windows 的一个更新时发现，更新文件包的 URL 从 HTTP 换成了 HTTPS。之前，用户可能遇到的一个问题是，他们无法再在浏览器中下载更新，因为微软只通过 HTTP 链接提供下载，而现代浏览器开始阻止 HTTP 下载链接，甚至微软自己的 Edge 浏览器最近也开始阻止从该公司的更新目录网站下载。

老王点评：这很令人意外，居然还一直在用 HTTP。

基于 Rust 的 Coreutils 实现发布新版本

据消息，Uutils 是一个基于 Rust 的 Coreutils 实现，它已经足够好，至少在基本功能方面 以及可以构成一个可工作的 Debian Linux 系统。上周末发布了一个新版本 0.0.13，为 cp、dd、df、split 和 tr 等工具带来了许多改进，以及增加了不同工具支持的各种参数以提高 GNU 兼容性。

老王点评：期待看到 Rust 逐渐取代这些用 C 语言开发的基础工具，所带来的安全和性能改进。

Linus Torvalds 在采访中再次提及一些观点

Linux 创始人参加了今年的北美开源峰会，并按惯例接受了采访，就一些经常被问到的问题发表了一些并不算新的观点：

• 在关于使用 Rust 编写 Linux 内核模块的讨论中，他说，从技术角度有没有意义不重要，重要的是要有趣。
• 他表示真的很喜欢 C 语言，它是一种伟大的语言，当然，他也承认 C 语言存在容易被所有人忽视的陷阱，并认为 Rust 可能真的是一种解决方案。
• 关于社区，他说，社区使 Linux 保持了活力，要不是社区，Linux 可能早被他扔在脑后了。

老王点评：这些观点我们都知道了，但是我们还是一次次不厌其烦的愿意听到 Linus 讲它们。这就是精神领袖。

上百万人遇到 Let's Encrypt 根证书到期问题

Let's Encrypt 之前使用的根证书于 9 月 30 日到期，可能受到证书过期影响的设备是那些不定期更新的设备。它早在 5 月就通知大家这一消息，并提供替代方案和变通办法，以确保设备在转换期间不受影响。周四晚上，至少有 200 万人在他们的手机、电脑或智能小工具上遇到了由于证书问题导致的一些互联网连接问题。数十种主要科技产品和服务受到证书过期的严重影响，如亚马逊、谷歌和微软的云计算服务；思科的 IT 和云安全服务；Shopify 的卖家无法登录；以及一些游戏和工作流平台等等。

老王点评：Let's Encrypt 几乎是以一己之力推动了 HTTPS 的普及，但是由于历史原因，其根证书的有效期并不很长，所以 Let's Encrypt 越成功，这种遗留问题就越大。

亚马逊、谷歌、微软和 IBM 等签署“可信云原则”

这些技术巨头联合起来建立了“可信云原则”，声称这是对保护客户权利的承诺。具体主要包括：除“特殊情况”外，政府应首先直接向企业客户而非云供应商索取数据；当政府试图直接从云服务供应商处获取客户数据时，客户应有权获得通知；云供应商应有明确的程序来质疑政府对客户数据的访问请求，包括通知相关数据保护机构，以保护客户的利益。此外，该原则还提出，政府应建立机制，提出并解决彼此之间的冲突，使云服务提供商在一国的合法合规性不等于在另一国的违法行为；政府应支持跨境数据流动。他们承诺支持允许政府通过遵守人权标准的透明程序索取数据的法律，支持在国家和国际层面改进规则和条例，以保护云客户的安全、隐私和安保以及他们对数据的所有权。

老王点评：这种业界共识需要更多方的参与，目前看起来想落地没那么多容易。