谷歌和火狐浏览器正在采取新的措施让用户小心有安全漏洞的网站,在最新的更新版本Chrome
56和Firefox 51中,当用户在不安全的 HTTPS
网页中提交敏感信息时,就会收到警告。此前的测试版已经加入了此类警告,现在更新版本将使更大数量的用户收到安全警告。在这周推出的Firefox
51中,当用户进入要求提交密码的网页时,就会出现新一个带有红色斜线的锁的图标,提示用户网站有风险。

澳门葡萄京官方网站 1

2016年是HTTPS加密的普及元年,各大浏览器和操作系统实施新政,加大对HTTPS的支持力度,并逐步取消对HTTP明文协议及过时安全算法的支持。

而在Chrome
56中,不止是密码,还有当网页要求提交信用卡信息等敏感信息时也会出现警告。

2017年Chrome和火狐浏览器逐步升级对HTTP页面的“不安全”警告,并计划在2018年再次扩大警告范围,Safari也加入了警告HTTP页面“不安全”的行列。全球互联网HTTPS加密流量不断攀升,预计2018年HTTPS加密的普及量将再次提升。

1月

谷歌的安全工程师Emily
Schechter称:“调查显示用户经常不会察觉到那些显示网络不安全的警告图标,而且当警告频繁出现时往往更加无视它们。在今后的更新中,我们会继续加强对不安全网页的警告提示,并努力将所有不安全HTTPS网页都加上标识。”

1月

微信小程序正式上线,服务端请求必须HTTPS

1月9日凌晨微信小程序正式上线,首批上线的小程序有三百多家。微信要求服务端请求必须通过HTTPS加密进行网络通信,不满足条件的域名和协议无法请求。

纽约时报等多个国外新闻网站启用HTTPS加密

1月10日纽约时报宣布开始在NYTimes.com启用HTTPS,为了保护读者的隐私,并确保网站内容的真实性。

谷歌Chrome56发布,正式将HTTP页面标记“不安全”

1月,Google发布了Chrome
56正式版本,将含密码或信用卡信息传输的HTTP页面标记“不安全”。

FireFox 51正式版发布:包含密码的HTTP网页将被标识为不安全

从1月开始,在收集密码但不使用HTTPS的网页中,Firefox
51版本浏览器地址栏将显示带红色删除线的灰色锁图标;此外,输入框也会显示相同的灰色锁图标,并附提示消息“此连接不安全,在此输入的登录名可能会被盗用”。

部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划

澳门葡萄京官方网站 2

2月

使用HTTPS连接的密码输入页面增至70%

Firefox检测到2016年1月至今,通过HTTPS完全安全登录的页面百分比已从近40%增加到近70%,HTTPS页面总数也增加了10%。

美国政府网站新政:对新注册的.gov域名强制执行HTTPS

美国政府总务管理局(GSA)将把新发布的行政部门.gov域名及其子域名自动提交给网络浏览器强制实施HTTPS,使安全通信成为联邦web服务的默认配置

谷歌首次成功实现SHA-1碰撞攻击

2月23日谷歌宣布,谷歌研究人员和阿姆斯特丹CWI研究所合作发布了一项新的研究,详细描述了成功的SHA1碰撞攻击,他们称之为“SHAttered”攻击。

Mozilla原计划2016年1月1日起 Firefox
43开始拒绝新颁发的SHA-1证书,但由于不少设备与平台未能及时跟进,仍有部分用户受此影响,无法访问使用SHA-1新证书的HTTPS网站,Mozilla暂时恢复支持脆弱的SHA-1算法,直到找到解决方案避免一些副作用。

澳门葡萄京官方网站 3

3月

CA/B Forum新规:SSL证书最长有效期将变更为2年

CA/B论坛第193号投票将对所有公开信任的SSL证书的最大生命周期设置新限制,新的证书有效期为825天——即2年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。

CA/B Forum 批准证书颁发机构授权(CAA)提案

在RFC6844中规定的证书颁发机构授权(CAA)是一项旨在改善PKI生态系统强度的提议,它通过新的控件来限定哪些CA,使之可以向特定的域名颁发证书。CA/B论坛投票批准了将CAA作为其证书颁发标准的基本要求之一。这项措施将在2017年9月正式生效。

还没部署HTTPS?谷歌Chrome将为所有 HTTP网站打红叉

稿源:cnBeta.com

4月

国际互联网协会要求G20支持互联网全面加密

国际互联网协会在一篇博文中向20国集团(G20)的领导人表示,加密本是保护在线交易和通信的安全方式。国际互联网协会的首席执行官凯瑟琳-布朗认为,只有互联网够强大、够安全,数字经济才会继续蓬勃发展。

1月25日,在Usenix Engima
2016安全大会上,Google展示了未使用HTTPS加密的《纽约时报》官网在Chrome浏览器里的样子,地址栏里的网址前面出现了一个红叉。

5月

Chrome将“强制证书透明度要求”推迟至2018年

Google的Chrome浏览器将通过强制要求所有希望被信任的SSL证书实现CT记录来解决这个问题。但是强制性证书透明度合规的日期已经推迟了6个月

  • 从今年10月到2018年4月。

火狐浏览器将对”使用非HTTPS提交密码”进行警告

6月

Chrome 67中呈现API将仅支持HTTPS

谷歌工程师宣布将在2018年第二季度发布的Chrome
67中禁止一切使用不安全来源的呈现API(Presentation API)。

1月28日,Mozilla博客中宣布Firefox开发版46开始,将对”使用HTTP提交密码的页面”进行警告。

7月

微软建议用户禁用TLS 1.0及1.1

为了鼓励使用一流的加密技术,微软将在今年夏天在Windows Server 2008中为TLS
1.2提供支持。在Windows操作系统的最新版本Windows Server
2012及以上版本中,TLS 1.2在默认情况下是系统的首选协议版本。

地理定位API未使用HTTPS加密 Chrome 50版不支持连接

8月

Firefox 55 要求所有“地理位置服务”使用HTTPS

8月发布的Firefox
55将会完全禁用HTTP的地理位置服务,也就是还没用上HTTPS加密的地理位置服务将没有询问用户位置的权限,用户甚至都不知道该网站询问过位置信息。

1月谷歌宣布,从谷歌Chrome
50版本开始,地理定位API没有使用HTTPS加密的web应用,将无法正常使用。根据谷歌发布的日历,50版本应该会在2016年4月的最后一周发布。

9月

HTTP又被弃!微信公众号API仅支持HTTPS调用

微信公众平台发布公告,要求开发者尽快将现有通过HTTP方式调用的服务切换为HTTPS调用,平台将于2017年12月30日停止对HTTP调用的支持。

Google要求45个顶级域名使用HSTS HTTPS加密连接

Google正在继续推动通用加密,要求所有45个顶级域名(TLD)在其控制下进行安全连接,TLD是URL(.com,.org等)的最后一部分。为了确保其所有45个TLD,Google将使用HSTS或HTTPS加密连接。

3月

10月

Chrome 62将所有需输入数据的HTTP页面标为“不安全”

Chrome将进一步扩大HTTP页面“不安全”警告的展示范围。Chrome
62版本起,所有需要输入数据的HTTP页面以及“隐身模式”下的所有HTTP页面都将显示“不安全”警告。

谷歌Chrome宣布明年放弃HPKP机制

谷歌安全团队Chris
Palmer在安全论坛中宣布“HPKP已死”,谷歌将在预计明年5月发布的Chrome
67版本中,放弃对HPKP(HTTP公钥钉)的支持。

谷歌HTTPS透明度报告:逾75%服务器请求使用HTTPS加密

11月

我国SM2与SM9数字签名标准正式成为国际标准

10月30日至11月3日,第55次ISO/IEC信息安全分技术委员会(SC27)会议在德国柏林召开。我国SM2与SM9数字签名算法一致通过为国际标准,正式进入标准发布阶段。

谷歌在其透明度报告中增加了一个新板块——超文本传输安全协议(HTTPS)的实施情况,专注于介绍谷歌自主网站和各大热门网站的HTTPS加密部署情况。谷歌称,在发送到公司服务器的请求中,超过75%使用了HTTPS加密连接。

12月

Chrome 63的安全新特性,TLS 1.3终于要来了!

经过漫长的等待,TLS 1.3终于准备好发布了。Chrome
63中的重大安全变化是对TLS 1.3的支持。TLS 1.3是人们期待已久的TLS
1.2继任者,它应该会比它的前任版本更好地提高安全性和性能。

火狐浏览器Firefox准备将所有HTTP页面标记为不安全

Firefox Nightly
59版本包含一个隐藏首选项,启用后将在所有HTTP页面上显示上述删除线锁定图标。

微软准备在Office 365中强制使用TLS 1.2

12月19日,微软官方宣布准备在2018年3月1日起,在Office 365中强制使用TLS
1.2。这意味着,所有客户端-服务器和浏览器-服务器之间必须使用TLS
1.2或以上协议版本,才能正常连接到Office 365的服务。

苹果Safari技术预览版46添加HTTP安全警告

Safari正在加入Firefox和Chrome的行列,针对HTTP页面向用户发出警告。当用户使用不安全页面进行密码或信用卡表单等信息交互时,智能搜索字段(地址栏)中就会显示安全警告。

如果您希望了解更多关于HTTPS与SSL证书相关的信息,请联系沃通WoTrus(WoSign)

网址:www.wosign.com

电话:0755-86008688

沃通原创整理,转载请注明出处

国内搜索引擎进入全站HTTPS加密时代

国内最大的搜索引擎百度在2015年5月实现了全站HTTPS加密,细心的朋友可能也已经发现,搜狗搜索与360搜索不知何时也悄悄开启了全站HTTPS加密,预示我国搜索引擎行业将进入全站HTTPS加密时代。

OpenSSL曝出新型漏洞”DROWN”,沃通发布安全建议

外国研究人员发现OpenSSL出现新的安全漏洞”DROWN”,该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。

百度站长平台链接提交工具升级,JS代码推送支持HTTPS网页

百度站长平台发布公告称,已对链接提交工具进行升级。升级后,JS自动推送工具可支持HTTPS页面的自动推送。

5月

应对谷歌Chrome新策略,尽快支持ALPN

Chrome 浏览器将会在2016年5月31 号切换协商协议,预计在Chrome 51
中移除对NPN的支持,仅支持ALPN。

6月

Diffie-Hellman算法发明者获颁2015图灵奖

著名的Diffie-Hellman算法发明者Marty Hellman和Whitfield
Diffie获得2015年图灵奖,美国计算机协会(ACM)于6月11日在加利福尼亚州旧金山市举办年度颁奖典礼。

最后期限:2016年底苹果iOS
App强制使用HTTPS

6月14日在WWDC
2016开发者大会上,苹果宣布了一个最后期限:2017年1月1日起,苹果App
Store中的所有App都必须启用 App Transport Security(ATS)安全功能。

重用加密随机数引发的Forbidden Attack

据外媒报道,某国际安全小组1月份的全网扫描发现,Visa旗下部分HTTPS网站存在漏洞,可以让黑客注入恶意代码,而不被浏览器发现,受影响的服务器共184台。

7月

英国政府网站启用HTTPS HSTS
DMARC安全保护

从10月1日开始,英国所有的政府服务网站都将需要确保他们使用HTTPS加密和HSTS保护,避免遭到降级攻击(某些攻击试图采用切换用户的方式去访问HTTP协议站点)。

谷歌发起证书透明度,提高HTTPS网站安全性

2013年,谷歌发起了这一名为证书透明度(Certificate
Transparency,简称CT)的项目。这一项目的目标是提供一个开放的审计和监控系统,可以让任何域名所有者或者CA确定证书是否被错误签发或者被恶意使用,从而提高HTTPS网站的安全性。

【8月SSL快讯】谷歌浏览器推新安全图标;Android
N不再信任用户添加的CA列表

SSL全球快讯:谷歌浏览器推新安全图标;谷歌域名启用HSTS协议;CloudFlare弹性SSL存安全风险;Android
N默认不再信任用户添加的CA列表。

8月

北美流量之王Netflix宣布将使用HTTPS加密流视频

Netflix 在保护内容安全一直都不遗余力,除了利用 DRM
避免盗版之外,他们最近又多加一重保障,就是正式通过HTTPS加密来提供串流服务。

Google.com支持HSTS,强制HTTPS访问

谷歌宣布域名Google.com支持HSTS机制,帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本,强制客户端(如浏览器)使用HTTPS与服务器创建连接。

YouTube宣布已完成97%的链接HTTPS加密

YouTube官方博客宣布,YouTube已经完成97%
的连接HTTPS加密,另外3%是因为一些设备不完整支持现代HTTPS,它计划未来逐步淘汰不安全的HTTP连接

9月

谷歌Chrome56正式将HTTP页面标记“不安全”

9月8日谷歌宣布,从2017年1月(Chrome56)开始,正式将某些HTTP页面标记“不安全”,比如含密码或信用卡信息传输的HTTP页面,而未来的长期计划是将所有HTTP页面都标为不安全。

iOS 10使用HTTPS进行更新升级

9月13日发布的iOS
10,苹果最终使用HTTPS加密连接进行安全升级。此前,更新升级都是通过HTTP发往终端设备,网络攻击者可能拦截和操纵更新文件。

10月

谷歌要求2017年所有SSL证书支持CT证书透明

10月25日谷歌在公开邮件组发布公告,2017年10月后签发的所有公开信任的网站SSL证书将遵守Chrome的证书透明度政策,以获得Chrome的信任。

11月

谷歌:HTTPS加密日趋普及,互联网比一年前更安全

谷歌在新发表的《透明度报告》中指出,相当多数量的网站已经转向HTTPS加密协议。“在桌面用户浏览的网页中,逾半数通过HTTPS传输;HTTPS网页占到用户上网时长的三分之二。”

微信小程序要求HTTPS请求,如何选择SSL证书?

微信11月3日宣布开始公测,官方需求文档要求后台使用HTTPS请求进行网络通信,不满足条件的域名和协议无法请求。

Google将在Chrome56中停止支持SHA-1

谷歌在之前发布的一些Chrome版本中已逐渐弃用对SHA-1的支持。而在近日发布的报告中,谷歌已最终确认将在2017年1月末完全停止支持SHA-1。

微软edge和IE11明年二月停止支持SHA-1

Microsoft确认,2017年2月14日是其Microsoft Edge和Internet Explorer
11浏览器停止支持SHA-1的截止日期。在该日期之后,浏览器不会加载仍在运行SHA-1证书的网站,并向用户显示证书无效的警告。

12月

倒计时11天,苹果iOS强制HTTPS迫在眉睫

苹果将关闭HTTP的大门,如果您的iOS APP还在使用HTTP明文连接,将无法通过App
Store审核,影响应用上架!
沃通新证书产品支持苹果iOS系统和safari浏览器,满足ATS安全设置要求。

WordPress将从2017年开始要求用户使用HTTPS

12月1日WordPress发布了一个决定,将在2017年要求主机具有HTTPS可用功能。正如JavaScript,平滑的用户体验是很有必要的,SSL可能会成为用户下一个需要面对的“障碍”。

TLS1.3进入最后阶段

TLS协议的下一个版本TLS1.3进入最后阶段接近完成。TLS1.3是一种新的加密协议,它既能提高各地互联网用户的访问速度,又能增强安全性。

如果说2016年仍是HTTP向HTTPS迁移的平滑过渡期,那么2017年这样的过渡期将正式结束,可以预见在行业趋势的推动下,2017年将是HTTPS加密普及的顺风年,HTTPS加密将获得更加广泛应用。