4月 082017
 

” 之前谷歌,苹果和火狐都因为 StartCom 被沃通悄悄收购而撤销了信任。StartCom 在官网表示其会在 4 月 10 日使用新网站 https://www.startcomca.com/ 发行新的证书。问题是使用 Chrome,火狐或者苹果设备访问 https://www.startcomca.com/ 都会显示证书被吊销,而禁止访问。证书被吊销的警告比自签名证书的警告还要严重。因为自签名证书的警告用户可以忽略并继续浏览,而如果采用 StartCom 的证书,警告证书被吊销没有办法忽略,用户没有办法继续浏览。”

12月 032015
 

Let’s Encrypt项目从12月3日起开放Beta测试,也就是说感兴趣的网站管理员不再需要等待邀请了。Let’s Encrypt旨在让每个网站都能使用HTTPS加密,它签名的证书已被所有主流浏览器信任。但目前存在的一些问题使它推迟了正式推出的时间:只支持Linux,软件运行需要root权限,不支持nginx,子域名需要个别配置,在使用多台服务器的网站上设置过于复杂。

10月 212015
 

Oct 19, 2015 • Josh Aas, ISRG Executive Director
We’re pleased to announce that we’ve received cross-signatures from IdenTrust, which means that our certificates are now trusted by all major browsers. This is a significant milestone since it means that visitors to websites using Let’s Encrypt certificates can enjoy a secure browsing experience with no special configuration required.

Both Let’s Encrypt intermediate certificates, Let’s Encrypt Authority X1 and Let’s Encrypt Authority X2, received cross-signatures. Web servers will need to be configured to serve the appropriate cross-signature certificate as part of the trust chain. The Let’s Encrypt client will handle this automatically. Continue reading »

6月 292015
 

本月早些时候,微软悄悄推送了一批新的受信任根证书颁发机构。微软对此没有公开宣布,也没有在官方的 Microsoft Certificate Program 中列出新增加的根证书。新加入18个受信任根证书中,有的是毫无知名度的机构如RXC-R2,还有多个来自中国或在中国有子公司的:广东数字证书认证中心信鉴GDCA TrustAUTH R5 ROOT ,GlobalSign环玺GlobalSign Root CA – R6,沃通(WoSign) WoSign ECC和WoSign G2。

11月 192014
 

Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学研究人员宣布Let’s Encrypt CA项目,计划为网站提供免费SSL证书,加速将Web从HTTP过渡到HTTPS。

Let’s Encrypt CA项目计划从2015年夏天开始向任何需要加密证书的网站自动发行和管理免费证书。

部署HTTPS的最大障碍是HTTPS所需证书的复杂性、官僚主义和费用,Let’s Encrypt项目的目标是解决这些问题,将证书安装的时间减少到20到30秒。Let’s Encrypt CA将由非赢利组织Internet Security Research Group (ISRG)运营。

https://letsencrypt.org

LetsEncrypt

10月 022014
 

匿名用户 写道 “2014-10-2下午14点左右,发现无法登入microsoft账户。后在访问login.live.com发现证书错误,证书使用者和颁发者为:
CN = hotmai.com O = hotmail.com C = cn
有效期从‎2014‎年‎9‎月‎23‎日 19:34:03到‎2015年‎9‎月‎23‎日 19:34:03
公钥为30 81 89 02 81 81 00 9d 00 fb f7 e7 36 6c 25 78 c7 f1 4d 10 52 e6 26 24 c2 ae 23 74 ec dd 5c c7 56 c4 98 d8 08 94 8b 8b 37 72 07 69 5f 47 55 05 2b 44 3a db 7d 07 90 86 2a 51 5c da 50 2e 21 b1 2f 67 be 29 f7 8d 00 77 ed 6e 54 11 25 c0 7b 1b 4d 08 88 29 49 0f 4d 05 a7 f8 b7 9a b9 b9 dd c0 91 b4 75 d6 b7 5b e7 9f 5e ff 03 0b cc 6b 32 0f 80 8c 2f 71 e5 27 08 1c 7f 86 47 02 da ca 21 56 db 05 17 06 b7 ce 89 02 03 01 00 01
Netscape Comment为example comment extension
之后没几分钟又恢复。”

10月 012014
 

陈少举 写道 “去年一月份,GitHub遭受到的国家级的SSL中间人攻击,在今年八月份,教育网的Google IPv6访问也遭受到了同样的SSL中间人攻击。而在今天,Yahoo也遭受到了SSL中间人攻击。今天(2014-09-30)下午四点左右,GreatFireChina观察到Yahoo在中国大陆遭受到了SSL中间人攻击,浏览器发出了证书错误的警告。

 

可能由于流量过大导致SSL劫持设备资源消耗过于厉害,一些地区间歇性无法通过HTTPS访问Yahoo。在使用其他地区的VPS进行访问后,通过分析伪造的SSL证书,与之前Google IPv6所遭受的SSL攻击所使用的证书多处相似:使用相同的签名算法和签名哈希算法、颁发者均以 C=cn 结尾,有效期均为一年,公钥均为RSA 1024 Bits,并且 Netscape Comment 同为“example comment extension”。

而根据抓包结果,在遭受SSL中间人攻击时,使用的是TLSv1协议,但是未被SSL中间人攻击的情况下,应为TLSv1.2,这一点也和Google在教育网的IPv6地址遭受SSL中间人攻击的现象一致

截至到目前,此次SSL中间人攻击仅影响各个国家的Yahoo主站并未影响到包括登录(login.yahoo.com)、邮箱(mail.yahoo.com)等网址。”

9月 092014
 

随着Firefox 32的发布,Mozilla正式终止支持1024位CA证书。早在2011年美国国家标准技术研究所就建议企业升级到2048位或更长的密钥,尽管当时因式分解和破解1024位长的RSA密钥仍然需要大量的计算资源。除了Firefox外,Mozilla的邮件客户端Thunderbird也停止了对1024位密钥的支持。

有多少网站会受到影响?Rapid7的Project Sonar扫描了6500万证书,索引了约2000万网站,大约有107,535个网站的证书将会不被信任,但其中76,185个网站使用的证书已经过期了,任何浏览器都会发出警告。