近日,不少雲廠商的都面臨著允許簽發未經授權的Let"s Encrypt證書的控訴。雖說問題出在雲廠商,但Let"s Encrypt毅然決然地禁用了相應的驗證方法。
問題的核心在於,這些服務供應商允許用戶上傳證書,然後系統將自動向具有相應伺服器名稱的TLS請求提供服務。ACME SNI驗證方法使用以.acme.invalid結尾的臨時證書。
在問題被曝光後,Let"s Encrypt立即禁用了TLS-SNI-01驗證方法。Let"s Encrypt隨後決定,除了少數特例,它將永久禁用。據悉,較新的TLS-SNI-02方法也很脆弱。考慮到這個問題的新的TLS-SNI-03方法正在開發中,目前用戶應該切換到HTTP或DNS驗證方法。
rustls的作者提供了一些比較OpenSSL和rustls的性能的基準數據。
CT天文台為證書透明度日誌中的數據提供了Web界面。
Google現在提供了一個支持DNS-over-HTTPS協議草案的伺服器。
1個月,報告嵌入在軟體中的證書問題, 現在已經有更多的案例被發現:Comodo,Intel和UnionPay都有類似的問題。
蘇黎世的真實世界加密會議包括HACL(正式驗證NSS加密),TLS標準化過程,TLS 1.3部署TLS生態系統問題等等。
Mozilla宣布Firefox中的所有新Web功能都需要安全上下文(即HTTPS或本地主機連接)。
信託商店天文台為瀏覽器和操作系統的各種根商店提供的證書提供下載鏈接。
一些頂級域名已被添加到HSTS預載入列表:.bank和.insurance。 使用HSTS預載入列表的瀏覽器將始終通過HTTPS載入使用這些TLD的域。
OpenStreetMap默認使用HTTPS。
Scott Helme寫了一篇帶有挑釁性標題的博客文章:「我們需要更多的HTTPS釣魚網站!」
NSS 3.35已經發布,更改包括支持最新的TLS 1.3草案,並正式驗證ChaCha20和Poly1305的實施。
OpenSSL宣布了其開發結構的變化,特別是關於郵件列表和GitHub的使用。
賽門鐵克未能更新其中一個HTTPS證書; 訪問者之一的子域因此收到證書到期錯誤消息。
CNN現在默認使用HTTPS。
Chrome取消了對證書中CN欄位的支持。因為它們已被棄用了很多年,但由於企業設備傾向於使用過時的技術,並且往往仍然獨家使用CN領域,所以仍然有可能通過企業策略重新獲得支持,該選項將在Chrome 66中刪除。
Wired指出,Tinder的數據連接沒有完全用HTTPS保護。
DigiCert宣布將從2月1日開始將所有證書記錄到證書透明,並將添加SCT。 Chrome將在四月份要求CT日誌記錄和SCT以獲得新證書。
一篇論文討論了X.509證書後量子簽名的影響。
標題為「為什麼APT不使用HTTPS?」的網頁認為Debian軟體包管理器不使用HTTPS,主要是因為APT總是驗證簽名。
最新的Java更新包括一些TLS更新,包括對TLS會話散列,擴展主密鑰擴展和協商有限域Diffie-Hellman參數的支持。
在CA /瀏覽器論壇的討論爆發了哪些版本的基線要求和論壇的章程目前是有效的辯論。
TLS 1.3正處於終審階段,這意味著我們很快可以看到最終的TLS1.3 RFC。但這不是我們第一次聽說TLS 1.3在終審了。花了這麼長時間,鍋不能全讓標準本身背,而是生態系統的問題。
微軟宣布將在三月份要求Office 365使用TLS1.2。 對TLS 1.0和1.1的支持將被禁用。
DigiCert提出了與不包括域名所有權的任何技術檢查可疑域驗證方法的一些問題。 這導致了關於貶低這種驗證方法的更長時間的討論。但Entrust表示強烈反對,並希望保持原有的有問題的驗證方法或是非常長的轉換周期。
