|
|
不像Mozilla,谷歌預(yù)期sha - 1錯(cuò)誤引起的HTTPS交通檢測(cè)系統(tǒng) 灰鴿子下載,灰鴿子。
谷歌計(jì)劃僅禁止SHA-1-signed證書(shū)是在1月1日發(fā)布的公共證書(shū)頒發(fā)機(jī)構(gòu)
1.jpg (46.36 KB, 下載次數(shù): 499)
下載附件
2016-1-9 10:08 上傳
本周早些時(shí)候,Mozilla被迫放寬禁止新sha - 1數(shù)字證書(shū),因?yàn)榇伺e完全切斷一些Firefox用戶從網(wǎng)絡(luò)加密�。看來(lái)谷歌看到的問(wèn)題�。
而不是禁止所有數(shù)字證書(shū)簽發(fā)sha - 1和1月1日之后,谷歌計(jì)劃只有“untrust”那些來(lái)自公共證書(shū)頒發(fā)機(jī)構(gòu)。
這個(gè)決定考慮,一些公司可能仍然在他們的網(wǎng)絡(luò)使用內(nèi)部自發(fā)的sha - 1證書(shū),或者一些殺毒軟件和安全設(shè)備將繼續(xù)檢查HTTPS通信時(shí)生成這樣的證書(shū)�。
中間人HTTPS通信攔截隱私擁護(hù)者通常是不贊成,因?yàn)樗蚱屏擞脩艉头⻊?wù)器之間的信任。
因?yàn)?如果做不正確,會(huì)讓用戶嚴(yán)重的攻擊�。然而,它有一些可接受的使用。
例如,一些公司可能會(huì)安裝HTTPS交通檢測(cè)設(shè)備在網(wǎng)絡(luò)邊界,確保不泄露敏感的企業(yè)數(shù)據(jù)加密流量�。
許多殺毒軟件檢查HTTPS使用中間人,直接在計(jì)算機(jī)上本地交通技術(shù)以檢測(cè)是否為惡意軟件通過(guò)這種連接�。
這樣的應(yīng)用程序和系統(tǒng)對(duì)用戶和網(wǎng)站之間的流量通過(guò)創(chuàng)建新證書(shū)這些連接使用自有ca(認(rèn)證機(jī)構(gòu))�。根證書(shū)的ca在默認(rèn)情況下都是不可信的,所以他們需要手動(dòng)部署在電腦和設(shè)備的流量被攔截,這樣用戶的瀏覽器會(huì)信任模擬網(wǎng)站與他們簽署的證書(shū)。
sha - 1,一個(gè)老齡化的散列算法,在理論上被淘汰的過(guò)程,因?yàn)樗侨菀资艿焦?可能導(dǎo)致偽造的數(shù)字證書(shū),這只是一個(gè)時(shí)間問(wèn)題有人收益的能力�。
因此,CA /瀏覽器論壇,一組證書(shū)頒發(fā)機(jī)構(gòu)和瀏覽器制造商,集指南的發(fā)行和使用數(shù)字證書(shū),決定新SHA-1-signed證書(shū)不應(yīng)發(fā)表在1月1日,2016年。
sha - 1證書(shū)在這個(gè)日期之前至少將繼續(xù)被信任,直到7月1日,2016年,根據(jù)不同的瀏覽器,但不遲于2017年1月1日�。
Mozilla決定停止信任在Firefox sha - 1證書(shū),發(fā)表在1月1日之后。乍一看,這不該有太大影響,因?yàn)樾湃喂瞔a不應(yīng)該發(fā)行新證書(shū)后,日期�。
然而,瀏覽器制造商沒(méi)有考慮這一事實(shí)有些HTTPS檢驗(yàn)系統(tǒng)和應(yīng)用程序可能會(huì)繼續(xù)生成sha - 1證書(shū)替代真正的網(wǎng)站。因?yàn)樗_(kāi)始收到報(bào)告用戶的這種系統(tǒng)可以不再訪問(wèn)HTTPS網(wǎng)站,即使他們真正證書(shū)簽署了更安全的SHA-2函數(shù)�。
Mozilla決定解除禁止sha - 1,至少暫時(shí)在Firefox 43.0.4,周三公布的。
“最新版本的Firefox還可以重新開(kāi)啟支持sha - 1證書(shū),以確保我們可以更新用戶背后中間人設(shè)備,并使我們更好地評(píng)估有多少用戶會(huì)受到影響,”該公司在一篇博客文章中說(shuō)�。“TLS中間人系統(tǒng)的供應(yīng)商應(yīng)該努力更新他們的產(chǎn)品使用更新的摘要算法�。”
谷歌還計(jì)劃禁止sha - 1證書(shū)后1月1日開(kāi)始的下一個(gè)穩(wěn)定版Chrome,48個(gè)版本�。
然而,該公司12月在博客中表示,這只會(huì)禁止證書(shū)滿足三個(gè)標(biāo)準(zhǔn):簽署了sha - 1,1月1日或之后的發(fā)行和鏈回公共CA。
“注意,網(wǎng)站使用sha - 1新證書(shū)鏈當(dāng)?shù)匦湃五^(而不是公共ca)將繼續(xù)沒(méi)有證書(shū)錯(cuò)誤,”該公司表示�。
因?yàn)樽杂懈鵆A證書(shū)所使用的類似中間人HTTPS檢查系統(tǒng)不是“公共”CAs,用戶應(yīng)該不會(huì)受到影響。
這可能是一個(gè)解決方案對(duì)Mozilla也當(dāng)它決定恢復(fù)禁令 灰鴿子使用教程�。 |
|
加載中...
發(fā)表于 2016-1-9 10:08:57
QQ好友和群
收藏
發(fā)表于 2016-1-9 10:08:58