https

证书相关问题以及修复建议

使用了不可信的证书证书由正规机构签发,拥有完整证书链,并且根证书在系统和浏览器中可信。证书签发过程可查,可追踪。怎么解决证书不可信?申请或购买正规证书提供商的证书。证书链不完整证书与上级签发证书组成的可信链,是浏览器检查网站是否可信的关键,不完整的证书链有一定概率导致浏览器判定网站为不可信。怎么解决证书链不完整?证书链下载  https://myssl.com/chain_download.html输入域名或者上传证书文件,下载补全的证书链信息使用了Symantec旧PKI平台在2016年6月1日前签发的证书关于Symantec旧平台签发的证书升级提示说明 https://blog.myssl.com/symantec-update-tip/使用了不符合CT政策的证书Chrome 证书透明度(CT)相关政策 https://blog.myssl.com/chrome-certificates-transparency-ct-policy/

  • koco.zhang
2 min read
tls漏洞

常见漏洞以及修复方法

Drown漏洞  "DROWN"全称是 Decrypting RSA with Obsolete and Weakened Necryption,是指"利用过时的脆弱加密算法来对RSA算法进破解",主要针对SSLv2协议漏洞来对TLS进行跨协议攻击。  "DROWN攻击"主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。  "DROWN"使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持SSLv2,但web服务不支持,那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。如何预防DROWN漏洞?这里建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。建议在每台服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。

  • koco.zhang
7 min read
ct

Apple 证书透明度(CT)相关政策

TLS 服务器身份验证证书必须符合 Apple 的证书透明性(CT)策略,才能在 Apple 平台上被评估为受信任的。如果证书不符合 Apple 的政策,则会导致 TLS 连接失败,这可能会中断应用程序与 Internet 服务的连接或 Safari 的无缝连接能力。在 2021 年第一季度,Apple 提出了自己的证书透明度日志计划。政策要求加入 Apple 证书透明度日志计划,日志必须满足以下所有要求:日志实例必须按照 RFC6962 中的规定来实施 CT。

  • koco.zhang
3 min read
安全漏洞

CVE-2020-0601 | Windows CryptoAPI (Crypt32.dll)欺骗漏洞

2020年1月14日微软发布了CVE-2020-0601漏洞公告,此漏洞为Windows加密库中的一个关键的漏洞,Windows CryptoAPI(Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。 攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件看似来自受信任的合法来源。美国国家安全局(NSA)已将CVE-2020-0601披露给了Microsoft 。

  • Jin
    Jin
5 min read

升级你的系统至 TLS 1.2 协议或更高版本

2020年,四大主流浏览器计划不再支持 TLS 1.0 和 1.1。这些旧版本容易受到攻击和利用,不再具备实用性。通过与 Mozilla 的合作,在你使用的系统中至少有一个仅使用 TLS 1.0 或 1.1,你可以在下面找到它们。 一旦浏览器终止对这些旧协议的支持,该系统将无法建立HTTPS 连接。现在请尽快启用或升级到 TLS 1.2 或 1.3,以防止中断、停机和用户不满的事件发生。

  • Hana.Lv
2 min read
ct

Chrome 证书透明度(CT)相关政策

证书透明度(CT)是一种设计用于修复SSL/TLS证书生态体系中几个结构缺陷的协议。RFC 6962描述到,它提供一个公开的、只具备附加属性的数据结构,它可以记录由证书颁发机构(CA)颁发的证书。 通过记录证书,大众可以查看由给定CA颁发的证书,这使得网站运营商能够检测到何时为他们的域名颁发了证书,允许他们检查未授权的发行。它还允许浏览器和根存储,以及广大社区,检查CA颁发的证书,并确保CA遵守他们所期望的或公开的实践。 在过去的几年中,Chrome逐渐的对越来越多的公开可信证书要求证书透明度。

  • Hana.Lv
3 min read

如何配置 MySSL 企业版外链报告 Header

img{ width: 100%; padding-left: 0%; } 随着 MySSL 企业版的开发进度的推进,我们最近上线了 HTTPS 外链监控的功能。下面是该功能相关使用说明。 进入 MySSL 企业版: 你会获取到类似:https://2d89e693d66a49d6993df623e272311f.myssl-uri.com/api/csp-report 类似的 URL。这是我们为你分配的专属不安全外链的上报地址。 你拿到该地址需要做的是,将该地址添加到服务器的 header 处。 配置规则 在添加之前,你需要了解内容安全策略的配置规则: Content-Security-Policy:

  • henry
4 min read
symantec

关于Symantec旧平台签发的证书升级提示说明

早些时候,DigiCert完成对了Symantec网站安全和公钥基础设施(PKI)业务的收购,成为了SSL/TLS与PKI全球领先的数字证书提供商。同时,DigiCert签署了一项Sub CA协议,将Symantec升级到DigiCert的PKI可信平台上,且表示将于2017年12月1日验证并升级所有Symantec证书,其详细时间表如下图所示。 从上图中我们可以了解,对于2016年6月1号之前使用Symantec旧平台签发的证书,最终替换时间为3月15日。对于2016年6月1日后签发的证书,最终替换日期为9月13日。 对于还没有替换且尚在有效期内的证书,我们通过Chrome浏览器访问时将被拦截,并显示如下图所示错误。 对于使用该证书的站点,我们将其评级降至E,并提示升级。 注意 距离2016年6月1日后使用Symantec旧平台签发证书的替换时间只有两个月了,使用该类证书的站点,在MySSL.com检测时,我们会给出如下图所示提示,如果您正好在使用该类证书,请尽快更新替换。 检测 您也可以使用我们的Symantec

  • Jin
    Jin
2 min read
pci-dss

更严格的PCI DSS合规标准

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。 早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。 随着时间的临近,我们提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。 解决方案

  • Jin
    Jin
2 min read
https

HTTPS安全与兼容性配置指南

自从MySSL推出之后,很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让我们非常诧异,难道是这些个网站不注重安全么?如果说百度不注重用户的隐私安全,那还能说得过去,毕竟在搜索的时候没啥重要信息。但是淘宝这种电商不应该不会不重视网站的安全性。那又是什么原因让这些网站造成了这种情况呢?通过仔细的观察报告结果和查询资料发现,这些网站这样做的原因是为了更好的兼容性。

  • jerry
5 min read
https

MySSL App上线啦!!!

就在这个月我们的MySSL iOS版App正式上线了,在App Store直接搜索MySSL或者点这里就可以直接下载。iOS版App主要解决了iOS端Safari与Chrome上难已查看证书的问题。 如下图所示,在你使用Safari浏览网页时直接点击分项按钮就可以使用该App查看该网页的HTTPS安全评估结果。 当然,初次安装你可能在扩展栏里没有看到MySSL,只要你往后拖拽点击更多就会发现我们的扩展。如果经常使用,可以将MySSL扩展像我一样,拖到靠前位置,方便使用。 这里可能需要注意第一次使用APP的时候,你需要进MySSL App中同意使用网络。 在Chrome上查看只比Safari多一步,点击右上角菜单栏我们就可以看到分享按钮了。

  • Jin
    Jin
1 min read
https

OCSP Must-Staple

当我们的证书被CA签署出来之后,因为一些特殊的情况(私钥泄露、用户放弃等等)我们需要去吊销该张证书,那该证书被吊销后,浏览器如何去判断出该证书是否已经被吊销了呢?毕竟,证书中是没有吊销信息的。检测证书吊销的情况一般由两种,分别是CRL和OCSP。现在的浏览器一般都是使用OCSP的方式查询证书是否已经被吊销。但这两种方式都有缺陷。

  • jerry
3 min read