标签： SSL

微软刚刚推出了非安全的紧急带外更新（OOB）KB5020387，修复在部分客户端和服务器平台上 SSL/TLS 握手失败的问题。在受影响的设备上，当与服务器的连接出现问题时，用户将在应用程序中看到 SEC_E_ILLEGAL_MESSAGE 错误。 微软解释道：“我们解决了可能影响某些类型的安全套接字层 (SSL) 和传输层安全 (TLS) 连接的问题。这些问题可能会导致握手失败。对于开发人员而言...

最新发布的信息系统密码应用基本要求（GB/T 39786-2021）中，对密码技术应用的要求分为四大类，分别是：物理和环境的安全、设备和计算的安全、网络和通信的安全、应用和数据的安全。在“网络和通信的安全”方面，要求采用密码技术保证通信过程数据的机密性、完整性、通信主体身份真实性等安全目标。网络通信层面的国密算法改造不仅仅是单一的信息系统改造，而是需要实现从客户端、服务端到数字证书的生态改造，涉及...

VPN（Virtual Private Network）虚拟专用网，指在公共网络（如Internet）上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司，尤其跨越国家的公司，可以通过VPN接入总部网络。VPN利用了现有的公共网络资源，从而节省了公司租用运营商跨省、跨海专线的费用。分支机构网络通过VPN接入总部后，就好比与总部网络接入同一个局域网，可访问总部网络能访问的各项资源。另外，为保证数据...

ArsTechnica 报道称，OpenSSL 是被许多网站和加密电子邮件服务提供商所广泛采纳的软件库，但不久前，其曝出了一个可能导致服务器被攻击崩溃的高危安全漏洞。据悉，OpenSSL 提供了久经考验的加密功能，且实现了基于 TLS 的安全传输协议。作为接替 SSL 安全套接层的后继协议，其用于在互联网服务器和最终用户客户端之间的数据流加密。 TLS 应用程序的开发者们，可借助 OpenSSL ...

  简述 本文主要介绍HTTPS以及SSL单向验证和双向验证。 HTTPS介绍 HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立安全信道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的安全性与完整性。 HTTP介绍 HTTP是超文本传输协议，是一个基于请求与响应、无状态的、应用层的协议，常基于TCP/IP协议传...

如果你在计算机安全领域有足够长时间，你肯定看到过各种各样安全技术。现在这个时候，我们可以开始预测哪些技术将会继续改进，哪些技术早晚会过时。攻击和技术的变化速度意味着所谓的尖端防御技术最终将会消失。

微软正忙着封杀 live.fi和www.live.fi的一个假的SSL证书，该证书可被攻击者发动中间人攻击。证书发行方Comodo已经撤销了该证书。

本教程是使用黑帽大会上Moxie Marlinspike发布的一款叫sslstrip的工具，配合ettercap进行arp欺骗，可以突破经过ssl加密的协议(如https等，一种被动使用https协议的会受到攻击），进行局域网arp嗅探获得口令等信息。

中间人攻击（Man-in-the-Middle Attack, MITM）是一种由来已久的网络入侵手段，并且在今天仍然有着广泛的发展空间，如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。

本文通过演示在RDP会话期间劫持的按键发送信息，向读者演示了为什么用户忽略那些基于SSL的RDP连接的证书警告可能导致中间人(MiTM)攻击，并总结了一些关于如何避免成为这种攻击的受害者的建议。

数百万网站和数十亿网民都依靠SSL保护敏感数据如密码、信用卡号码和个人信息的传输，但最近泄漏的机密文档显示，美国国家安全局（NSA）会记录大量互联网流量，储存加密数据以用于以后的密码分析。

今天在游侠的某个QQ群中有朋友提到： 看问题： 1、Windows 7系统+IE9+VPN站点（SSL VPN），打不开 2、同样的SSL VPN，Windows XP+IE8可以打开 游侠突然想到了前一段公司内部邮件中，提到了微软的KB2661254补丁，大意是：该补丁对HTTP SSL证书最小密钥长度做了限制，不再允许小于1024bit的证书连接，可能导致部分设备无法使用IE登录。 微软对KB...

微软在下个月10月9日发布例行更新时将要求数字证书有更高的安全标准。微软将要求数字证书的RSA密钥长度不能低于1024位。在自动更新之后，IE将不能加密访问任何密钥低于1024位的网站。 如果密钥长度低于1024 位，CA服务将不能启动，操作系统将可能屏蔽ActiveX控件，用户将不能安装应用程序，Outlook 2010将不能加密或签名邮件，以及通过SSL/TLS与Exchange服务器通信。微...

　　批评人士最近呼吁各大 IT 企业撤销对美国证书授权机构 （CA） 和安全公司 Trustwave 签发的 SSL 证书的信任 - 该公司刚刚承认了自己在完全肯定证书会被客户用于假冒不属于该客户的网站并实施中间人攻击的情况下，仍然为客户签发了证书。
　　
　　Trustwave 为该客户 （具体买主并未公开） 提供的是所谓的 “中间级证书”: 这一证书允许客户为互联网上的任何服务器签发被各种

　　针对SSL认证加密技术被攻破的消息，英国网络服务机构Netcraft又发现，互联网上14％的使用MD5算法进行加密的SSL认证都存在安全漏洞，足以引起黑客的浓厚兴趣。其实早在2004年就有了针对MD5的第一次破解，并成功使用同一个数字签名制造了两条不同的消息。2007年，破解技术更加高级，理论上已经能够让研究人员得到任何想要的两条消息。

　　Netcraft经过调查后发现，目前有13.5万个有效的第三方数字认证使用MD5算法，占互联网上所有认证的大约14％，这其中有12.8万个(95％)来自RapidSSL(Equifax)，另外7000个来自Thawte和Verisign，不过Netcraft指出，后两家公司的大多数数字认证使用的都是SHA-1算法，而这种加密技术现在看起来还是安全的。