微软发布紧急带外更新:修复SSL/TLS握手失败的问题
微软刚刚推出了非安全的紧急带外更新(OOB)KB5020387,修复在部分客户端和服务器平台上 SSL/TLS 握手失败的问题。在受影响的设备上,当与服务器的连接出现问题时,用户将在应用程序中看到 S……
Web应用国密改造方案
最新发布的信息系统密码应用基本要求(GB/T 39786-2021)中,对密码技术应用的要求分为四大类,分别是:物理和环境的安全、设备和计算的安全、网络和通信的安全、应用和数据的安全。在“网络和通信的……
详解IPSec VPN和SSL VPN特点,各有千秋
VPN(Virtual Private Network)虚拟专用网,指在公共网络(如Internet)上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司,尤其跨越国家的公司,可以通过VPN接入总部……
OpenSSL修复可被黑客攻击的服务器崩溃高危漏洞
ArsTechnica 报道称,OpenSSL 是被许多网站和加密电子邮件服务提供商所广泛采纳的软件库,但不久前,其曝出了一个可能导致服务器被攻击崩溃的高危安全漏洞。据悉,OpenSSL 提供了久经考……
一文读懂HTTPS以及SSL单向验证和双向验证
简述 本文主要介绍HTTPS以及SSL单向验证和双向验证。 HTTPS介绍 HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立安全信道,加密数据包。……
面临淘汰的10项安全技术
如果你在计算机安全领域有足够长时间,你肯定看到过各种各样安全技术。现在这个时候,我们可以开始预测哪些技术将会继续改进,哪些技术早晚会过时。攻击和技术的变化速度意味着所谓的尖端防御技术最终将会消失。
伪造的Windows Live服务SSL证书允许攻击者发动中间人攻击
微软正忙着封杀 live.fi和www.live.fi的一个假的SSL证书,该证书可被攻击者发动中间人攻击。证书发行方Comodo已经撤销了该证书。
利用sslstrip和ettercap突破ssl嗅探密码
本教程是使用黑帽大会上Moxie Marlinspike发布的一款叫sslstrip的工具,配合ettercap进行arp欺骗,可以突破经过ssl加密的协议(如https等,一种被动使用https协议的会受到攻击),进行局域网arp嗅探获得口令等信息。
针对SSL的中间人攻击演示和防范
中间人攻击(Man-in-the-Middle Attack, MITM)是一种由来已久的网络入侵手段,并且在今天仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。
基于RDP的SSL中间人攻击
本文通过演示在RDP会话期间劫持的按键发送信息,向读者演示了为什么用户忽略那些基于SSL的RDP连接的证书警告可能导致中间人(MiTM)攻击,并总结了一些关于如何避免成为这种攻击的受害者的建议。
SSL:今天拦截明天解密
数百万网站和数十亿网民都依靠SSL保护敏感数据如密码、信用卡号码和个人信息的传输,但最近泄漏的机密文档显示,美国国家安全局(NSA)会记录大量互联网流量,储存加密数据以用于以后的密码分析。
HTTPS页面打不开的解决方法
今天在游侠的某个QQ群中有朋友提到: 看问题: 1、Windows 7系统+IE9+VPN站点(SSL VPN),打不开 2、同样的SSL VPN,Windows XP+IE8可以打开 游侠突然想到了……
微软将要求安全证书最低必须是1024位
微软在下个月10月9日发布例行更新时将要求数字证书有更高的安全标准。微软将要求数字证书的RSA密钥长度不能低于1024位。在自动更新之后,IE将不能加密访问任何密钥低于1024位的网站。 如果密钥长度……
美国安全公司为客户提供“万能”SSL数字证书
批评人士最近呼吁各大 IT 企业撤销对美国证书授权机构 (CA) 和安全公司 Trustwave 签发的 SSL 证书的信任 - 该公司刚刚承认了自己在完全肯定证书会被客户用于假冒不属于该客户的网站并实施中间人攻击的情况下,仍然为客户签发了证书。
Trustwave 为该客户 (具体买主并未公开) 提供的是所谓的 “中间级证书”: 这一证书允许客户为互联网上的任何服务器签发被各种
Trustwave 为该客户 (具体买主并未公开) 提供的是所谓的 “中间级证书”: 这一证书允许客户为互联网上的任何服务器签发被各种
互联网上14%的SSL认证都不安全 MD5成罪魁祸首
针对SSL认证加密技术被攻破的消息,英国网络服务机构Netcraft又发现,互联网上14%的使用MD5算法进行加密的SSL认证都存在安全漏洞,足以引起黑客的浓厚兴趣。其实早在2004年就有了针对MD5的第一次破解,并成功使用同一个数字签名制造了两条不同的消息。2007年,破解技术更加高级,理论上已经能够让研究人员得到任何想要的两条消息。
Netcraft经过调查后发现,目前有13.5万个有效的第三方数字认证使用MD5算法,占互联网上所有认证的大约14%,这其中有12.8万个(95%)来自RapidSSL(Equifax),另外7000个来自Thawte和Verisign,不过Netcraft指出,后两家公司的大多数数字认证使用的都是SHA-1算法,而这种加密技术现在看起来还是安全的。
Netcraft经过调查后发现,目前有13.5万个有效的第三方数字认证使用MD5算法,占互联网上所有认证的大约14%,这其中有12.8万个(95%)来自RapidSSL(Equifax),另外7000个来自Thawte和Verisign,不过Netcraft指出,后两家公司的大多数数字认证使用的都是SHA-1算法,而这种加密技术现在看起来还是安全的。
