Chrome CT 政策

Chrome 证书透明度(CT)相关政策

img{ width: 80%; padding-left: 0%; } 证书透明度(CT)是一种设计用于修复SSL/TLS证书生态体系中几个结构缺陷的协议。RFC 6962描述到,它提供一个公开的、只具备附加属性的数据结构,它可以记录由证书颁发机构(CA)颁发的证书。 通过记录证书,大众可以查看由给定CA颁发的证书,这使得网站运营商能够检测到何时为他们的域名颁发了证书,允许他们检查未授权的发行。它还允许浏览器和根存储,以及广大社区,检查CA颁发的证书,并确保CA遵守他们所期望的或公开的实践。 在过去的几年中,Chrome逐渐的对越来越多的公开可信证书要求证书透明度。 1.自2015年1月1日 Chrome已经要求所有EV证书都要通过证书透明度来公开。未正确公开的证书将被剥夺其EV状态(绿色状态栏的EV指示),但不会向不遵守规定的网站的访问者显示警告。 2.

  • Hana.Lv
3 min read

MySSL企业版如何进行认领域名

域名认领作用 若您需要对 MySSL.com 上域名的查询信息进行隐藏,则您需要在 EE.MySSL.com 对所查询的域名进行认领,认领成功以后,您可以对已认领的域名在 MySSL.com 中的显示状态进行设置。 域名认领规范 首先请确保您可以对需要认领的域名进行域名解析,因为在认领过程中,我们会对域名的所有权进行验证,若所有权验证失败,将无法成功认领域名;目前我们尚未支持对副域名的认领,若您需要对副域名进行隐藏,则只需要将主域进行认领,便可统一设置该主域名下所有域名的显示状态。 域名认领流程 1、在输入框中填写需要认领的域名,点击域名认领。 2、屏幕上会弹出您需要进行域名解析的信息(若您不小心将对话框关掉,稍后可在认领详情中获取到记录信息并继续进行认证)

  • allens
2 min read

如何配置 MySSL 企业版外链报告 Header

img{ width: 100%; padding-left: 0%; } 随着 MySSL 企业版的开发进度的推进,我们最近上线了 HTTPS 外链监控的功能。下面是该功能相关使用说明。 进入 MySSL 企业版: 你会获取到类似:https://2d89e693d66a49d6993df623e272311f.myssl-uri.com/api/csp-report 类似的 URL。这是我们为你分配的专属不安全外链的上报地址。 你拿到该地址需要做的是,将该地址添加到服务器的 header 处。 配置规则 在添加之前,你需要了解内容安全策略的配置规则: Content-Security-Policy:

  • henry
4 min read
symantec

关于Symantec旧平台签发的证书升级提示说明

早些时候,DigiCert完成对了Symantec网站安全和公钥基础设施(PKI)业务的收购,成为了SSL/TLS与PKI全球领先的数字证书提供商。同时,DigiCert签署了一项Sub CA协议,将Symantec升级到DigiCert的PKI可信平台上,且表示将于2017年12月1日验证并升级所有Symantec证书,其详细时间表如下图所示。 从上图中我们可以了解,对于2016年6月1号之前使用Symantec旧平台签发的证书,最终替换时间为3月15日。对于2016年6月1日后签发的证书,最终替换日期为9月13日。 对于还没有替换且尚在有效期内的证书,我们通过Chrome浏览器访问时将被拦截,并显示如下图所示错误。 对于使用该证书的站点,我们将其评级降至E,并提示升级。 注意 距离2016年6月1日后使用Symantec旧平台签发证书的替换时间只有两个月了,使用该类证书的站点,在MySSL.com检测时,我们会给出如下图所示提示,如果您正好在使用该类证书,请尽快更新替换。 检测 您也可以使用我们的Symantec

  • Jin
    Jin
2 min read
pci-dss

更严格的PCI DSS合规标准

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。 早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。 随着时间的临近,我们提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。 解决方案

  • Jin
    Jin
2 min read
https

HTTPS安全与兼容性配置指南

自从MySSL推出之后,很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让我们非常诧异,难道是这些个网站不注重安全么?如果说百度不注重用户的隐私安全,那还能说得过去,毕竟在搜索的时候没啥重要信息。但是淘宝这种电商不应该不会不重视网站的安全性。那又是什么原因让这些网站造成了这种情况呢?通过仔细的观察报告结果和查询资料发现,这些网站这样做的原因是为了更好的兼容性。

  • jerry
5 min read
https

MySSL App上线啦!!!

就在这个月我们的MySSL iOS版App正式上线了,在App Store直接搜索MySSL或者点这里就可以直接下载。iOS版App主要解决了iOS端Safari与Chrome上难已查看证书的问题。 如下图所示,在你使用Safari浏览网页时直接点击分项按钮就可以使用该App查看该网页的HTTPS安全评估结果。 当然,初次安装你可能在扩展栏里没有看到MySSL,只要你往后拖拽点击更多就会发现我们的扩展。如果经常使用,可以将MySSL扩展像我一样,拖到靠前位置,方便使用。 这里可能需要注意第一次使用APP的时候,你需要进MySSL App中同意使用网络。 在Chrome上查看只比Safari多一步,点击右上角菜单栏我们就可以看到分享按钮了。

  • Jin
    Jin
1 min read
https

OCSP Must-Staple

当我们的证书被CA签署出来之后,因为一些特殊的情况(私钥泄露、用户放弃等等)我们需要去吊销该张证书,那该证书被吊销后,浏览器如何去判断出该证书是否已经被吊销了呢?毕竟,证书中是没有吊销信息的。检测证书吊销的情况一般由两种,分别是CRL和OCSP。现在的浏览器一般都是使用OCSP的方式查询证书是否已经被吊销。但这两种方式都有缺陷。

  • jerry
3 min read
ssl

MySSL相关术语

EV EV证书(Extended Validation Certificate)是一种根据一系列特定标准颁发的X.509电子证书,根据要求,在颁发证书之前,证书颁发机构(CA)必须验证申请者的身份。不同机构根据证书标准发行的扩展验证证书并无太大差异,但是有时候根据一些具体的要求,特定机构发行的证书可以被特定的软件识别 OV OV证书(Organization Validation SSL),指需要验证网站所有单位的真实身份的标准型SSL证书,此类证书不仅能够起到网站信息加密的作用,而且能向用户证明网站的真实身份。 DV DV证书(Domain Validation SSL),指需要验证域名的有效性。该类证书只提供基本的加密保障,不能提供域名所有者的信息。 HPKP 公钥固定,

  • jerry
20 min read
最佳实践

HTTPS 安全最佳实践(三)之服务器软件

我们在最佳实践文章中建议大家如何去配置协议和密码套件,但是如果服务器软件(nginx、apache等)所使用的ssl协议库存在SSL漏洞,或者不支持那些现代化的密码套件和特性,那么无论你如何去修改配置都无法改善现在的安全问题。 所以我们在配置前,或者发现按照推荐配置进行了调整《SSL/TLS安全评估报告》还是无法满足要求,那么可以检查下所使用的OpenSSL等加密库是否版本过低。 如何检查OpenSSL版本 nginx nginx -V nginx version: nginx/1.10.2 built by gcc 4.8.5 20150623 (Red Hat 4.

  • jerry
2 min read
最佳实践

HTTPS 安全最佳实践(二)之安全加固

当你的网站上了 HTTPS 以后,可否觉得网站已经安全了?这里 提供了一个 HTTPS 是否安全的检测工具,你可以试试。 本篇正文讲述的是 HTTP 安全的最佳实践,着重在于 HTTPS 网站的 Header 的相关配置。 1 连接安全性和加密 1.1 SSL/TLS 传输层安全(TLS)及其前身安全套接字层(SSL),通过在浏览器和 web 服务器之间提供端到端加密来促进机密通信。没有 TLS,就谈不上什么安全。

  • henry
12 min read
最佳实践

HTTPS 安全最佳实践(一)之SSL/TLS部署

SSL/TLS 是一种简单易懂的技术,它很容易部署及运行。但想要部署的安全通常是不容易的。这也使系统管理员和开发者不得不去了解 SSL 和 TLS 相关的技术,掌握如何配置一个安全的 web 服务器或应用。无疑会耗费很大的精力去看相关的技术文档,乏味且宽泛。 本篇文档的目的在于如何让系统管理员或开发者用尽可能少的时间部署一个安全的 web 站点或应用,即 SSL 和 TLS 部署最佳实践。 1 证书和私钥 在TLS中,所有的安全性都从服务器的密码标识开始;需要一个强大的私钥来防止攻击者进行模拟攻击。同样重要的是要有一个有效的和强大的证书,这将授予私有密匙作为一个特定主机名的权利。没有这两个基本的构建块,就没有其他东西可以安全了。 1.

  • henry
25 min read