标签 https 下的文章

Let’s Encrypt 将于 2018 年 1 月开始发放通配证书。通配证书是一个经常需要的功能,并且我们知道在一些情况下它可以使 HTTPS 部署更简单。我们希望提供通配证书有助于加速网络向 100% HTTPS 进展。

Let’s Encrypt 目前通过我们的全自动 DV 证书颁发和管理 API 保护了 4700 万个域名。自从 Let's Encrypt 的服务于 2015 年 12 月发布以来,它已经将加密网页的数量从 40% 大大地提高到了 58%。如果你对通配证书的可用性以及我们达成 100% 的加密网页的使命感兴趣,我们请求你为我们的夏季筹款活动(LCTT 译注:之前的夏季活动,原文发布于今年夏季)做出贡献。

通配符证书可以保护基本域的任何数量的子域名(例如 *.example.com)。这使得管理员可以为一个域及其所有子域使用单个证书和密钥对,这可以使 HTTPS 部署更加容易。

通配符证书将通过我们即将发布的 ACME v2 API 终端免费提供。我们最初只支持通过 DNS 进行通配符证书的基础域验证,但是随着时间的推移可能会探索更多的验证方式。我们鼓励人们在我们的社区论坛上提出任何关于通配证书支持的问题。

我们决定在夏季筹款活动中宣布这一令人兴奋的进展,因为我们是一个非营利组织,这要感谢使用我们服务的社区的慷慨支持。如果你想支持一个更安全和保密的网络,现在捐赠吧

我们要感谢我们的社区和我们的赞助者,使我们所做的一切成为可能。如果你的公司或组织能够赞助 Let's Encrypt,请发送电子邮件至 [email protected]

via: https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html

作者:Josh Aas 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

在 Mozilla 宣布计划阶段性废弃 SHA-1 算法签名的证书一年后,SHA-1 的使用量得到了显著下降。据 Firefox 的数据看,使用量从去年的 50% 降至今年三月的 3.5%,而到这个月仅占到加密流量的 0.8%。

Mozilla 最近宣布,从 Firefox 51 开始,该浏览器将对 SHA-1 签名的证书显示“不可信的连接”错误信息。Firefox 51 将发布于 2017 年 1 月,Mozilla 最初计划于 2017 年初拉黑 SHA-1 证书。

Mozilla 率先推动了 SHA-1 废弃

在去年秋天荷兰和法国的大学研究人员们发现可以非常容易地破解 SHA-1 加密后, Mozilla 率先推动了 SHA-1 废弃的活动。

在 Mozilla 制定了其阶段性废弃 SHA-1 算法的时间表之后,谷歌微软也跟着做了相同的决定,这些计划得到了 NIST 的支持。从 2016 年元旦开始,浏览器厂商们就禁用了之后新签发的 SHA-1 签名的 SSL/TLS 证书。

SHA-1 废弃基本上完成了

即便是有一些例外,甚至还有一些争议,但是在多数情况下,CA 厂商们都遵从了此次 SHA-1 禁用行动,SHA-1 市场份额的降低表明了他们的工作成果。

如今,之前签发的使用 SHA-1 签名的旧证书仍然被标为可信,但是从 2017 年元旦开始,浏览器厂商们就会将这类证书标为不可信,无论其签发日期是何时。

Mozilla 的加密工程师 J.C. Jones 说,特殊情况下,比如在内部站点或其它封闭性网络内,如果 SHA-1 证书是由手动导入的根证书签发的,Firefox 不会显示该警告。

在 2015 年底,Facebook 和 Cloudflare 提议允许 CA 厂商们为那些不支持 SHA-2 和其它算法的老浏览器签发 SHA-1 证书,但是这个倡议基本上没得到响应,尽管这有一定的意义。

Mozilla 宣布计划将在明年发布的 Firefox 52 中支持 TLS 1.3,TLS 1.3 是当前仍在开发中的 TLS 安全协议的最新版本。

之前,Mozilla 已经在六月中发布的 Firefox 49 的开发版本中添加了对 TLS 1.3 的支持,当然,由于该协议还在开发阶段,所以基本上还没有支持它的网站,因此该特性并未默认启用(需要通过 about:config 来启用)。

在一篇公告中,Mozilla 首席工程师兼 互联网架构委员会 Internet Architecture Board (IAB)成员 Martin Thomson 说,Firefox 52 将是第一个为所有用户启用 TLS 1.3 支持的稳定版 Firefox 浏览器。

TLS 1.3 协议得到了 Mozilla、Chrome、Edge 等主流浏览器的欢迎

TLS 协议是 HTTPS 网站工作的基础,它负责用户浏览器和 Web 服务器之间的建立加密通讯的安全操作。TLS 1.3 当前仍是 IETF 的草案,这里可以查看该草案。

“TLS 1.3 移除了陈旧和不安全的加密基元,它采用现代化的分析技术使之更安全,更保密,它将保护更多的数据,也会比 TLS 1.2 更快,” Thomson 解释说,“TLS 1.3 提供了一个 0-RTT 模式,消除了握手往返的延迟。”

他还说,Mozilla 计划使用 TLS 1.3 规范的第 16 个草案,但是会随时更新使用最新的草案,直到部署最终版本。

此外,9 月份时,CloudFlare 宣布在他们的服务器上添加了 TLS 1.3 的支持。而其他主流浏览器厂商,比如微软和谷歌也分别宣布在 Edge 和 Chrome Canary 中支持 TLS 1.3。

今天, Let's Encrypt 项目正式发布了!结束了自去年十二月进入的 Beta 测试期,现在成为了一个“稳定的”产品了。

该项目启动于 2012 年,共有四位发起人,两位来自 Mozilla 基金会,一位来自密歇根州立大学,另外一位来自 电子前沿基金会 Electronic Frontier Foundation 。该项目的目标是为大量的网站提供简单而免费签发 SSL/TLS 证书的方式。

该项目起步很慢,但是在 Cisco、 Akamai 等公司以及 ISRG 加入后发展迅速。由此,它得到了越来越多的公司支持,并在 2015 年初发布了一个 Alpha 测试,并于 2015年末开放了 Beta 测试

Let's Encrypt 当前已经保护了 380 万个 HTTPS 域名

今年三月,该项目达成了其最大的里程碑,EFF 宣布它已经签发了 100 万个证书,保护了 250 万个域名。

而在这次正式发布时,据官方数据,Let's Encrypt 已经签发了 170 万个证书,保护了 380 万个域名。

title=

由于 Let's Encrypt 让安装 X.509 TLS 证书变得非常简单,所以这个数量增长迅猛,特别是在他们和 Automattic 达成合作之后。在前几天 Automattic 和 Let's Encrypt 宣布合作之后, Automattic 说其旗下的 WordPress.com 上的博客只需要轻轻点击几下就可以安装 Let's Encrypt 证书,从而将其内容转移到了 HTTPS 上。

未来的资金充裕

在这次官方发布时,Let's Encrypt 的支持者们 Akamai 和 Cisco 也续费了他们的白金会员身份,而且一续费就是三年,以确保这个项目将来有足够充足的资金。

除了 Akamai 和 Cisco ,Let's Encrypt 也增加了新的黄金赞助商 Gemalto 以及白银赞助商 HP Enterprise, Fastly, Duda 和 ReliableSite.net 等。

支持 HSTS 比你想象的更容易。

由于服务器管理员没能正确设置 HTTP Strict Transport Security (HSTS),现今大量的 HTTPS 流量都能被轻松劫持。

HSTS 是一个被当前大多数 Web 浏览器所支持的 Web 安全策略,它可以帮助 Web 管理员保护他们的服务器和用户避免遭到 HTTPS 降级、中间人攻击和 Cookie 劫持等 HTTPS 攻击的危害。

95% 的 HTTPS 连接处于风险中

据最近的 Netcraft study 报告数据显示,当前多达 95% 的服务器所运行的 HTTPS 没有正确地设置 HSTS 或其它配置,以至于将 HTTPS 连接暴露于上述攻击风险之中。

更值得注意的是,Netcraft 在三年前进行的同样扫描,不正确配置的 HSTS 比例仍同现在一样。这表明 Web 管理员们并没有学会或被告知如何正确地设置 HSTS。

针对这些不安全的站点的最容易的攻击场景是 HTTPS 降级攻击,攻击者可以选择多种方式来迫使一个看起来安全的 HTTPS 连接根本不使用数据加密或使用更弱的算法,这样攻击者就可以进行数据窃取了。

据安全研究人员称,在这 95% 的没有正确设置 HSTS 的站点中,有很多银行和金融机构的网站。

你可以通过下面一行配置激活你的 HSTS

不需要费脑筋,你只需要将下述的一行配置添加到你的 HTTPS 服务器配置中即可实现 HSTS。

Strict-Transport-Security: max-age=31536000;

这一行可以让服务器告诉浏览器仅通过 HTTPS 连接来访问其内容,其策略有效期为长达一年的最大有效时间。

当上述配置生效后,即便用户在他的浏览器中输入 URL 时写了 “http://”前缀,浏览器仍将会自动切换“https://”。

更多关于 HTTPS 及 HSTS 的技术实现细节,请参阅以下文章:

低成本的 DROWN 攻击能在数小时内完成数据解密,该攻击对采用了 TLS 的邮件服务器也同样奏效。

一个国际研究小组于周二发出警告,据称逾 1100 万家网站和邮件服务采用的用以保证服务安全的 传输层安全协议 TLS,对于一种新发现的、成本低廉的攻击而言异常脆弱,这种攻击会在几个小时内解密敏感的通信,在某些情况下解密甚至能瞬间完成。 前一百万家最大的网站中有超过 81,000 个站点正处于这种脆弱的 HTTPS 协议保护之下。

这种攻击主要针对依赖于 RSA 加密系统)的 TLS 所保护的通信,密钥会间接的通过 SSLv2 暴露,这是一种在 20 年前就因为自身缺陷而退休了的 TLS 前代协议。该漏洞允许攻击者可以通过反复使用 SSLv2 创建与服务器连接的方式,解密截获的 TLS 连接。

via: https://www.linux.com/news/software/applications/889455--more-than-11-million-https-websites-imperiled-by-new-decryption-attack

作者:ArsTechnica 译者:Ezio 校对:martin2011qi, wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5