误解七:HTTPS无法缓存
许多人以为,出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。
微软的IE项目经理Eric Lawrence写道:
“说来也许令人震惊,只要HTTP头允许这样做,所有版本的IE都缓存HTTPS内容。比如,如果头命令是Cache-Control: max-age=600,那么这个网页就将被IE缓存10分钟。IE的缓存策略,与是否使用HTTPS协议无关。(其他浏览器在这方面的行为不一致,取决 于你使用的版本,所以这里不加以讨论。)”
Firefox默认只在内存中缓存HTTPS。但是,只要头命令中有Cache-Control: Public,缓存就会被写到硬盘上。下面的图片显示,Firefox的硬盘缓存中有HTTPS内容,头命令正是Cache-Control:Public。 Continue reading »
SSL协议由美国 NetScape公司开发的,V1.0版本从没有公开发表过;V2.0版本于1995年2月发布。但是,由于V2.0版本有许多安全漏洞,所以,1996年紧接着就发布了V3.0版本。
SSL协议 V2.0 主要安全漏洞:
(1) 同一加密密钥用于消息身份验证和加密。
(2) 弱消息认证代码结构和只支持不安全的MD5哈希函数。
(3) SSL握手过程没有采取任何防护,这意味着非常容易遭遇中间人攻击。
(4) 使用TCP连接关闭,以指示数据的末尾(没有明确的会话关闭通知)。这意味着截断攻击是可能的:攻击者只需伪造一个TCP FIN,使得接受方无法识别数据结束消息的合法性。
(5) 仅能提供单一服务和绑定一个固定域名,这与Web服务器中的虚拟主机标准功能有冲突,这意味着,许多网站都无法使用SSL。
因为SSL v2.0协议存在许多安全漏洞问题,容易遭遇中间人攻击和容易被破解。但是,由于许多系统和Web服务器都还支持SSL v2.0协议,所以为了增强用户浏览网页的安全,目前所有主流新版浏览器都已经不支持不安全的SSL v2.0协议。 Continue reading »
你的SSL 服务器是否存在着错误的配置和已知的漏洞?这些不安全的因素会给企业网络带来极大的安全风险。遵循下面这些技巧可以使你避免一些常见的SSL安全错误,让你远离风险。
1、禁用对SSLv2的支持。该版本的SSL协议在15多年前就被证明是不安全的,但如今有许多Web服务器仍在使用它。
禁用此协议用了不多少时间。例如,在Apache v2中,你需要对默认为配置进行改变:
将:SSLProtocol all
变为:SSLProtocol all -SSLv2
2、禁用对弱加密的支持。几乎所有的Web服务器都支持强加密算法(128位)或极强的加密算法(256位),但许多服务器还在支持弱加密,黑客们会利用这个漏洞来损害企业网络安全。我们没有理由支持弱加密,只需用很短的时间来配置服务器就可以禁用弱加密: Continue reading »
Report of incident on 15-MAR-2011
An RA suffered an attack that resulted in a breach of one user account of that specific RA.
This RA account was then used fraudulently to issue 9 certificates (across 7 different domains).
All of these certificates were revoked immediately on discovery.
Monitoring of OCSP responder traffic has not detected any attempted use of these certificates after their revocation.
Fraudulently issued certificates
9 certificates were issued as follows:
Domain: mail.google.com [NOT seen live on the internet]
Serial: 047ECBE9FCA55F7BD09EAE36E10CAE1E
Domain: www.google.com [NOT seen live on the internet]
Serial: 00F5C86AF36162F13A64F54F6DC9587C06
Domain: login.yahoo.com [Seen live on the internet]
Serial: 00D7558FDAF5F1105BB213282B707729A3
Domain: login.yahoo.com [NOT seen live on the internet]
Serial: 392A434F0E07DF1F8AA305DE34E0C229
Domain: login.yahoo.com [NOT seen live on the internet]
Serial: 3E75CED46B693021218830AE86A82A71
Domain: login.skype.com [NOT seen live on the internet]
Serial: 00E9028B9578E415DC1A710A2B88154447
Domain: addons.mozilla.org [NOT seen live on the internet]
Serial: 009239D5348F40D1695A745470E1F23F43
Domain: login.live.com [NOT seen live on the internet]
Serial: 00B0B7133ED096F9B56FAE91C874BD3AC0
Domain: global trustee [NOT seen live on the internet]
Serial: 00D8F35F4EB7872B2DAB0692E315382FB0
What didn’t Happen
Our CA infrastructure was not compromised.
Our keys in our HSMs were not compromised.
No other RA was compromised. No other RA user accounts were compromised.
What Happened
One user account in one RA was compromised.
The attacker created himself a new userID (with a new username and password) on the compromised user account. Continue reading »
2010年5月22日,Google宣布发布https (SSL)加密搜索 将
通过firefox的搜索框进行搜索时,仍然是http开头的地址, 此时我们可以通过firefox的一个转向扩展Redirector来实现自动转向.
Redirector是一个可以自动按照用户定义转向的Firefox扩展,支持通配符和正则两种自定义方式。结合Redirector,在进行Google搜索时,浏览器会自动转向https的加密搜索页面,避免隐私泄露给不信任的方面(当然Google还是会知道你的搜索记录的^_^ )。
使用方法:
到Redirector扩展页面下载安装,重启Firefox浏览器;
在Firefox底部状态栏上的Redirector图标上点击鼠标右键,弹出设置窗口,点击下方的”Add”,添加规则; Continue reading »
cnbeta 感谢藏乐的投递
今天偶然发现,Gmail的设置里面又多了个选项:浏览器连线,可以选择是否永远只使用https,尝试了一下,激活该选项后,进入Gmail都会强制切换https进行连接,该功能增强了访问的稳定性,确实方便了不少。
目前尚不清楚该功能为何时加入,应该又是属于部分用户测试,在Google groups中咨询了一下众多GFans,也只有寥寥几人看到了该功能。
什么是https?
来自维基百科:
https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。
它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。