该公告是苹果公司赛门铁克CA不信任计划的补充

苹果公司已经明确了赛门铁克CA不信任计划,其中有即将到来的7月20日的最后期限。2016年6月1日至2017年12月1日期间签发的任何Symantec
CA SSL证书如果未发布到证书透明度日志,将不受信任。

这仅适用于Symantec CA证书,对于SSL /
TLS生态系统的其余部分,Apple的CT截止日期仍为10月15日。除了浏览器中的Web内容之外,该要求不会影响SSL
/ TLS用例。 受影响的申请将包括:

  • macOS High Sierra

  • macOS应用程序

  • iOS 11

  • iOS应用

  • Safari浏览器

这不太可能产生重大影响,因为不信任将主要影响已经被谷歌Chrome浏览器和Mozilla
Firefox处罚的证书。
此外,赛门铁克此前与谷歌的混战之后,已经要求记录它发布的证书了。

尽管如此,网站所有者仍希望仔细检查他们的Symantec
CA SSL证书,以免他们被四大网络浏览器之一取消信任。

澳门新葡萄京所有网站 1

苹果全球开发者大会上宣布了LibreSSL、TLS 1.3
Beta版、新的证书吊销检查机制。

如何判断我的SSL证书是否已经过CT记录?

证书透明度是一个行业的事情,最终用户无需做任何事情来记录自己的证书。
CA必须这样做。 但是,有两种方法可以检查并查看是否已记录您颁发的SSL证书。
第一种方法是检查浏览器中的证书详细信息。

  1. 访问你的网站

  2. 单击浏览器地址栏中的挂锁图标

  3. 查找可以查看证书或证书详细信息的位置

  4. 查找字符串:’1.3.6.1.4.1.11129.2.4.2′

如果找到它,则表示您的证书已被记录。
所有CT记录的证书的OID都相同。 现在,浏览器以不同的方式显示此信息。
例如,Safari将其显示为:

澳门新葡萄京所有网站 2

Firefox将其称为对象标识符。

澳门新葡萄京所有网站 3

Google会让您浏览其菜单,从“更多工具”部分选择开发人员工具,然后导航到安全性,您可以通过单击“主要来源”查看证书详细信息。

澳门新葡萄京所有网站 4

如果您正在使用Microsoft
Edge,或者只是不想在浏览器中点击,还有另一种方法可以检查。
您还可以使用Symantec的CryptoReport:

转到Symantec CryptoReport。
输入您的网址。
检查:“Certificate Transparency: Embedded in
certificate”(证书透明度:嵌入证书)
如果该行存在,则说明已录入CT!

如果不是,并且您使用的是2016年6月1日至2017年12月1日期间颁发的Symantec
CA品牌SSL证书,则需要立即重新颁发或更换您的SSL证书。
您的替代品将来自DigiCert,后者现已收购赛门铁克CA,并在过去9个月中一直在努力更换数百万受影响的证书。

(文/开源中国)    

2017年Chrome和火狐浏览器逐步升级对HTTP页面的“不安全”警告,并计划在2018年再次扩大警告范围,Safari也加入了警告HTTP页面“不安全”的行列。全球互联网HTTPS加密流量不断攀升,预计2018年HTTPS加密的普及量将再次提升。

澳门新葡萄京所有网站 5

1月

微信小程序正式上线,服务端请求必须HTTPS

1月9日凌晨微信小程序正式上线,首批上线的小程序有三百多家。微信要求服务端请求必须通过HTTPS加密进行网络通信,不满足条件的域名和协议无法请求。

纽约时报等多个国外新闻网站启用HTTPS加密

1月10日纽约时报宣布开始在NYTimes.com启用HTTPS,为了保护读者的隐私,并确保网站内容的真实性。

谷歌Chrome56发布,正式将HTTP页面标记“不安全”

1月,Google发布了Chrome
56正式版本,将含密码或信用卡信息传输的HTTP页面标记“不安全”。

FireFox 51正式版发布:包含密码的HTTP网页将被标识为不安全

从1月开始,在收集密码但不使用HTTPS的网页中,Firefox
51版本浏览器地址栏将显示带红色删除线的灰色锁图标;此外,输入框也会显示相同的灰色锁图标,并附提示消息“此连接不安全,在此输入的登录名可能会被盗用”。

上周苹果公司召开了年度全球开发者大会。会上的重大消息之一就是苹果的High
Sierra for macOS、iOS11、tvOS11和watchOS4等新版操作系统的发布。

2月

澳门新葡萄京所有网站,使用HTTPS连接的密码输入页面增至70%

Firefox检测到2016年1月至今,通过HTTPS完全安全登录的页面百分比已从近40%增加到近70%,HTTPS页面总数也增加了10%。

美国政府网站新政:对新注册的.gov域名强制执行HTTPS

美国政府总务管理局(GSA)将把新发布的行政部门.gov域名及其子域名自动提交给网络浏览器强制实施HTTPS,使安全通信成为联邦web服务的默认配置

谷歌首次成功实现SHA-1碰撞攻击

2月23日谷歌宣布,谷歌研究人员和阿姆斯特丹CWI研究所合作发布了一项新的研究,详细描述了成功的SHA1碰撞攻击,他们称之为“SHAttered”攻击。

苹果公司花费了一些工夫讨论他们各平台加密库和SSL/TLS支持的改善情况。

3月

CA/B Forum新规:SSL证书最长有效期将变更为2年

CA/B论坛第193号投票将对所有公开信任的SSL证书的最大生命周期设置新限制,新的证书有效期为825天——即2年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。

CA/B Forum 批准证书颁发机构授权(CAA)提案

在RFC6844中规定的证书颁发机构授权(CAA)是一项旨在改善PKI生态系统强度的提议,它通过新的控件来限定哪些CA,使之可以向特定的域名颁发证书。CA/B论坛投票批准了将CAA作为其证书颁发标准的基本要求之一。这项措施将在2017年9月正式生效。

下面,我们对所有这些改变做了一个概述,其中的大部分已在“你的App与不断进步的网络安全标准”会议上宣布过。

4月

国际互联网协会要求G20支持互联网全面加密

国际互联网协会在一篇博文中向20国集团(G20)的领导人表示,加密本是保护在线交易和通信的安全方式。国际互联网协会的首席执行官凯瑟琳-布朗认为,只有互联网够强大、够安全,数字经济才会继续蓬勃发展。

新的证书报错界面

5月

Chrome将“强制证书透明度要求”推迟至2018年

Google的Chrome浏览器将通过强制要求所有希望被信任的SSL证书实现CT记录来解决这个问题。但是强制性证书透明度合规的日期已经推迟了6个月

  • 从今年10月到2018年4月。

High Sierra系统的证书查看器和Safari浏览器,重新设计了证书报错界面。

6月

Chrome 67中呈现API将仅支持HTTPS

谷歌工程师宣布将在2018年第二季度发布的Chrome
67中禁止一切使用不安全来源的呈现API(Presentation API)。

在Safari浏览器中,新的报错页面被设计为,通过给出一段简明的英文来解释问题,而没有使用像“协议”或“签名”这样的术语。这与Chrome浏览器的界面有些类似。

7月

微软建议用户禁用TLS 1.0及1.1

为了鼓励使用一流的加密技术,微软将在今年夏天在Windows Server 2008中为TLS
1.2提供支持。在Windows操作系统的最新版本Windows Server
2012及以上版本中,TLS 1.2在默认情况下是系统的首选协议版本。

澳门新葡萄京所有网站 6

8月

Firefox 55 要求所有“地理位置服务”使用HTTPS

8月发布的Firefox
55将会完全禁用HTTP的地理位置服务,也就是还没用上HTTPS加密的地理位置服务将没有询问用户位置的权限,用户甚至都不知道该网站询问过位置信息。

ssl changes in high sierra and iOS 11

9月

HTTP又被弃!微信公众号API仅支持HTTPS调用

微信公众平台发布公告,要求开发者尽快将现有通过HTTP方式调用的服务切换为HTTPS调用,平台将于2017年12月30日停止对HTTP调用的支持。

Google要求45个顶级域名使用HSTS HTTPS加密连接

Google正在继续推动通用加密,要求所有45个顶级域名(TLD)在其控制下进行安全连接,TLD是URL(.com,.org等)的最后一部分。为了确保其所有45个TLD,Google将使用HSTS或HTTPS加密连接。

证书查看器会进一步显示更详细的信息。在下面的截屏中,你可以看到,屏幕上显示了一个警告,具体说明了该信任错误的详细内容。在这个例子中,该错误提示“此证书无法核实”,是因为该证书是通过SHA-1进行签名的。

10月

Chrome 62将所有需输入数据的HTTP页面标为“不安全”

Chrome将进一步扩大HTTP页面“不安全”警告的展示范围。Chrome
62版本起,所有需要输入数据的HTTP页面以及“隐身模式”下的所有HTTP页面都将显示“不安全”警告。

谷歌Chrome宣布明年放弃HPKP机制

谷歌安全团队Chris
Palmer在安全论坛中宣布“HPKP已死”,谷歌将在预计明年5月发布的Chrome
67版本中,放弃对HPKP(HTTP公钥钉)的支持。

澳门新葡萄京所有网站 7

11月

我国SM2与SM9数字签名标准正式成为国际标准

10月30日至11月3日,第55次ISO/IEC信息安全分技术委员会(SC27)会议在德国柏林召开。我国SM2与SM9数字签名算法一致通过为国际标准,正式进入标准发布阶段。

ssl changes in high sierra and iOS 11

12月

Chrome 63的安全新特性,TLS 1.3终于要来了!

经过漫长的等待,TLS 1.3终于准备好发布了。Chrome
63中的重大安全变化是对TLS 1.3的支持。TLS 1.3是人们期待已久的TLS
1.2继任者,它应该会比它的前任版本更好地提高安全性和性能。

火狐浏览器Firefox准备将所有HTTP页面标记为不安全

Firefox Nightly
59版本包含一个隐藏首选项,启用后将在所有HTTP页面上显示上述删除线锁定图标。

微软准备在Office 365中强制使用TLS 1.2

12月19日,微软官方宣布准备在2018年3月1日起,在Office 365中强制使用TLS
1.2。这意味着,所有客户端-服务器和浏览器-服务器之间必须使用TLS
1.2或以上协议版本,才能正常连接到Office 365的服务。

苹果Safari技术预览版46添加HTTP安全警告

Safari正在加入Firefox和Chrome的行列,针对HTTP页面向用户发出警告。当用户使用不安全页面进行密码或信用卡表单等信息交互时,智能搜索字段(地址栏)中就会显示安全警告。

如果您希望了解更多关于HTTPS与SSL证书相关的信息,请联系沃通WoTrus(WoSign)

网址:www.wosign.com

电话:0755-86008688

沃通原创整理,转载请注明出处

改进后的证书吊销检查机制

苹果公司发布了一种新的适用于其所有平台的证书吊销检查方法。它还未取得适宜的名字,不过它与Mozilla的OneCRL运行方式相类似。

ssl changes in high sierra and iOS 11

澳门新葡萄京所有网站 8

苹果公司的方法是,先扫描证书透明系统日志来发现他们的平台所信任的证书。然后再从证书颁发机构查询已发现的证书吊销状态。已吊销证书的所有相关信息都被捆绑在一起,在静默状态下每隔一段时间会被自动分发给客户端设备(如Macbooks和iPhones)。

当建立一个TLS连接后,客户端会进行检查,验证证书在中央列表中是否被标记为吊销。如果证书被标记为吊销,那么客户端将会执行一个活动的OCSP检查,来确定这条信息是否准确。一旦确认,客户端就会知道该证书已被吊销,然后就会拒绝建立连接。如果服务器提供一个绑定的OCSP响应,那么它将会用这个响应来进行确认,而不需要执行活动的检查。

如果证书在中央列表中没有被标记为吊销,那么OCSP就不会被使用。

为LibreSSL而放弃OpenSSL

在High
Sierra系统中,苹果公司已经将SSL库从OpenSSL0.9.8zh转换到LibreSSL2.2.7了。LibreSSL是OpenSSL的一个分支,受OpenBSD支持。

“安全传输”是苹果公司自己为SSL/TLS开发的API,但其首先应用于他们自己的软件。LibreSSL也将作为第三方软件的SSL库。

任何一次苹果全球开发者大会都未声明这一点,但这被High
Sierra系统beta版用户发现了。

扩展ATS豁免

Chris
Wood是苹果公司的“安全传输”项目工程师,他谈到App传输安全的应用。Wood解释说,开发人员向苹果公司反馈说,过渡期比预想的要长,收到这一反馈后,苹果公司正在扩大对ATS豁免的支持。

Wood强调,苹果公司仍然会全力推动经由ATS的HTTPS,开发人员在努力进行向HTTPS的正确过渡时,他们对这些豁免的信任应是暂时的。

新苹果操作系统现在会对以下框架支持ATS豁免:AVFoundation、WebView和Webkit。豁免对本地网络连接(Ip地址和不合格的主机名)将会是可配置的。

豁免可以被限制在一个特定的域名,或是整个app中。我们还有一个办法来确认你是否想要对一个主机名的证书进行证书透明检查。

TLS 1.3 Beta版

TLS最新版1.3还没有被国际互联网工程任务组确定下来。High Sierra和iOS
11系统支持TLS
1.3的一个规范草案,该草案较最终版本将十分接近。这使得开发人员在TLS
1.3正式确定前就已经开始对其进行测试了。

Chris Wood强调了TLS
1.3中更短的握手时间。他分享了苹果公司的分析数据,数据显示,在蜂窝网络上建立的TLS连接中有10%花费了800毫秒或更长时间,而在Wifi网络上建立的TLS连接中有10%花费了500毫秒或更长时间。而由于TLS
1.3具有更高效的握手方案,这个时间可以减少三分之一。

你需要从这个链接下载一个配置文件并进行安装,然后就可以在iOS
11系统中启用TLS 1.3了(需要苹果开发人员账号)。

通过以下终端命令,就可以在macOS High Sierra系统中启用TLS 1.3草案:

defaults write /Library/Preferences/com.apple.networkd
tcp_connect_enable_tls13 1

结束对SHA-1和2048位以下的私钥的支持

苹果公司的平台马上就可以迎合行业标准对老化的散列算法和加密方法的弃用要求了。

以SHA-1算法和/或使用2048位以下私钥签名的证书将不再被High Sierra、iOS
11、watchOS 4或tvOS 11系统信任。

对这一改变还有一些豁免。通过移动设备管理机制或由Safari、Mail、Keychain
Access分发的证书可以继续使用这些弱散列和密钥。客户端证书也没有受到影响。

SHA-1签名的根证书也未受影响,因为这些证书的签名验证机制并不相同。使用2048位以下密钥的根证书在2015年已从苹果平台移除。

这些要求不应该引起对那些使用现代CA签名证书的任何担忧。SSL行业标准已经禁止这些弱应用一段时间了。

开发人员将可以通过一个唯一的错误代码识别这个问题:“InvalidCertChain
”。在URLSession/URLConnection中会返回这一错误代码。因为苹果公司正准备完全放弃对这种情况的支持,所以解决这一错误的唯一的方法就是替换你的证书。

RC4和3-DES将会被移除

“安全传输”的工程师Bailey
Basile强调,“在将来”,RC4和3-DES这两个老化的密码算法,会被苹果公司的所有平台弃用。虽然还没有给出准确日期,但开发人员应该开始逐渐远离这两种很久以来即被公众所知的弱密码了。

Basile还建议避免在CBC模式中使用AES。他建议的密码套件是AES-GCM或ChaCha20-Poly1305。