行业新闻与博客
防弹 TLS 通讯# 46 TLS 1.0 和 1.1 结束
TLS 1.0 和 1.1 结束
四大浏览器供应商 - 谷歌,微软,Mozilla 和苹果 - 都宣布在 2020 年他们想要弃用旧的 TLS 协议版本 1.0 和 1.1。网站管理员应确保它们至少支持 TLS 1.2,或理想情况下支持最新版本TLS 1.3。
尽管 TLS 1.0 和 1.1 确实存在一些安全问题,但它们的严重性仍存在争议。TLS 1.0 容易受到 BEAST 攻击,但客户可以相对轻松地进行缓解。TLS 1.0 和 1.1 都使用不安全的哈希函数,如MD5 和 SHA1,这是 SLOTH 攻击中探索过的一个细节。
浏览器供应商仍然没有动态弃用 TLS 1.2 中仍然支持的弱密码模式 - 特别是具有 MAC-then-encrypt的CBC / HMAC 和静态 RSA 握手。但是,谷歌的公告表明将进一步弃用,并建议支持 AEAD 模式和 ECDHE 密钥交换。
值得注意的是,四家主要的浏览器供应商已经协调了他们弃用旧加密协议的努力。这可能是由于过去的讨论中,这种弃用遇到阻力,因为当一个浏览器供应商向前推进时,它可以使用户切换到另一个浏览器。虽然他们的时间表没有完全一致,但协调的弃用将使这些情景不再令供应商担忧。
短消息
- 在版本 70 中,Chrome 浏览器开始不信任赛门铁克证书。该功能已逐步推出,但尚未影响所有用户。与此同时,Mozilla推迟了赛门铁克的不信任,微软公布的时间表比其他浏览器供应商的时间长得多。
- 人们经常忘记续订他们的 HTTPS 证书。上个月发生在德国信息安全机构(BSI)和 Comodo 的证书搜索引擎 crt.sh 上。
- 让加密宣布它将在 2019 年 2 月结束对 TLS-SNI-01 验证方法的支持。这种方法存在一个重大的安全漏洞,并且与 FransRosén 于 1 月份发现的一些云托管服务的行为相结合。出于兼容性原因,在某些情况下,Let's Encrypt 仍然继续允许此验证方法。
- Michael Driscoll 创建了一个详细解释 TLS 握手的网页。
- 由于旧 TLS 协议版本的错误实现,TLS 1.3 一直受到许多部署问题的困扰。该协议本身试图解决其中许多问题,但有些仍然存在,正如 Chrome 开发人员 David Benjamin 在 TLS 工作组列表中指出的那样。思科已发布影响用户应尽快安装的更新。OpenSSL 1.1.1 的预发布导致兼容性问题,因此这些预发布的用户应切换到最终版本。Palo Alto Networks的设备也存在问题,但尚未为它们提供更新。
- 根据 Mozilla 的错误报告,云提供商使用 HTTP / 2 与 TLS 1.3 结合连接失败。原因是他们不接受 TLS 1.3 密码是安全的。这影响了一些Twitter用户。
- Mozilla 宣布在 Firefox Nightly 版本中支持 Encrypted SNI(ESNI)。
- 基于 HTTPS 的 DNS 已由IETF发布为 RFC 8484。
- 在 Ruby OpenSSL 模块的证书检查功能中发现了一个安全漏洞。
- 状态机错误导致 LibSSH 库的服务器部分出现严重漏洞。
- NSS发布了 3.40 版本。更改包括修复 FFDHE 和删除 Visa 证书颁发机构。
最近新闻
世界经济论坛推出加强反网络犯罪伙伴关系框架
2024年11月12日
欧盟通过重大危机模拟演习提升网络弹性
2024年11月12日
Microsoft Visio 文件被用于复杂的网络钓鱼攻击
2024年11月12日
Remcos RAT 新变种通过网络钓鱼攻击 Windows 用户
2024年11月12日
Lazarus Group 在新活动中利用 Google Chrome 漏洞
2024年10月28日
以 MacOS 为中心的勒索软件试图利用 LockBit 品牌
2024年10月28日
女性在数字信任方面面临不平等挑战,但正在取得进展
2024年10月28日
爱尔兰数据保护监管机构对 LinkedIn 罚款 3.36 亿美元
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服