TrustAsia的博客

不久前，独立软件开发人员 Tim Perry，用于拦截和调试 Web 流量的HTTP 工具包的创建者决定为他的产品添加代理支持，就像现在的许多软件一样，它是使用Node.js.ICYMINode.js是一个项目，它将 JavaScript 语言从您的浏览器中分离出来，并将其本身变成了一个成熟的应用程序开发系统，有点像 Java（顺便说一下，它与 JavaScript 无关，因为所有名称听起来很像）。除了使用谷歌 Chromium 项目的 V8 JavaScript 引擎的 JavaScrip

近日，ETSI（欧洲电信标准化协会）发布了 PSD2 eIDAS 标准 TS 119 495，该标准在 5 月的全体会议上最终确定。ETSI（欧洲电信标准化协会）是一个欧洲标准组织，在欧洲制定供全球使用的标准。自 2017 年 9 月以来一直致力于定义一套标准，以实现在eIDAS法规中定义的合格证书使用RTS的要求。为了允许第三方在PSD2下访问帐户，ASPSPs需要通过其eIDAS证书识别第三方(TPPs)，可颁发的证书有两种：印章合格证书 (QSEAL) 或高质量网站认证证书（.

漏洞和红队公司 Rapid7 的一名研究人员最近发现了数字家庭安全产品中的两个危险安全漏洞。第一个漏洞于 2021 年 5 月报告并被称为 CVE-2021-39276，这意味着知道您注册产品所用的电子邮件地址的攻击者可以有效地使用您的电子邮件作为密码向系统发出命令，包括将整个警报关闭。受影响的产品来自Fortress Security Store公司，该公司销售两种品牌的家庭安全设置，入门级S03 Wifi 安全系统，起价 130 美元，以及更昂贵的S6 Titan 3G/4G WiFi 安全系统

作为一个应用程序开发人员，在投入如此多时间和精力后，你绝对不会希望自己的辛苦成果被恶意篡改。为了确保应用程序或内容在没有安全漏洞或经过任何修改的情况下安全抵达终端用户，如何保证代码或文件的安全性，不被他人任意修改呢？答案是：代码签名证书它通过对程序代码的数字签名，来标识软件来源以及软件开发者的真实身份，为可信计算环境提供技术支撑，能有效保障软件在开发、构建、分发、维护过程中可信任、不被篡改...

5月30日，部分Roku流媒体频道停止工作，导致受影响的客户不知道发生了什么问题。Roku建议这些客户手动更新设备：“由于全球技术证书到期，因此Roku平台上某些依赖此证书链的传输频道可能无法正常工作。请立即从Roku安装手动软件更新。”当天，Stripe 和Spreedly 付款平台遇到了中断，并将其归咎于证书颁发机构（CA）根证书已过期。我们一直都知道SSL证书有一个过期日期，但今年发生的事情出乎意料！服务器向客户端（例如Web浏览器之类的应用程序或设备）提供SSL证书使...

互联网已经深入到每个人的日常生活，社交通讯、工作办公、线下购物、投资理财等都离不开互联网。网络信息化时代，数据的安全性关乎着企业的未来发展，企业网站尤其涉及用户隐私信息的企业网站，时刻面临着被网络攻击的潜在风险。企业网站保护用户隐私信息的方式有很多，其中给网站安装SSL证书是提升网站安全性的有效方法之一。HTTPS的使用率逐年持续增长，数据表明，截止到2020年3月，在Alexa所列举的排名前...

Web浏览器，相信对于每天上网的你来说都并不陌生，你知道目前全球最主流的浏览器厂商是哪四个吗？答案是：①谷歌（Chrome）②微软（IE和Edge）③苹果（Safari）④Mozilla（Firefox）在安全和隐私方面，这四大Web 浏览器厂商在今年初正式实行一个Real默契的决定，那就是从2020年3月起，停止支持TLS 1.1及TLS 1.0版本安全协议。...

5月4日（GMT）早上，Mozilla的Firefox用户怨声载道，大量用户打开浏览其发现扩展插件无法使用，手机版也是如此。有报道称，此现象是由于Firefox底层SSL根证书过期所导致的，但据我们了解，这是由于AMO使用的代码签名证书无效所导致的，Firefox私有中间证书过期致使代码签名证书无效，从而导致插件验证无法通过。Mozilla Add-ons，也称为AMO，是一个为Mozilla产品...

“不要因为一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。”6月10号，美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。几周前，Anti-Phishing Working Group发布了一份报告，称他们在2019年第一季度追踪的钓鱼网站中，58%使用HTTPS，甚至有些估计认为这个数字高达90%。我们很难不将其归因于免费的SSL证书。提...

伴随着互联网发展，大家都习惯了在浏览器地址里输入HTTP格式的网址。1989年，世界上第一个HTTP（HyperText Transfer Protocol超文本传输协议）诞生，早期HTTP设计出来只是为了考虑到用户的便利性，HTTP传输所有的数据都是以明文传输，信息数据在互联网中处于“0防护”状态，HTTP传输存在着非常严重的安全漏洞，这个最初的访问协议已经跟不上互联网时代发展的步伐了。...

数字证书，作为网络世界的身份证，提供了一种在Internet上验证通信实体身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。譬如，Web Server通过提供自己的数字证书来证明自己的身份，用户得以确认所访问的网站就是想要访问的网站，建立起通信双方的信任关系。数字证书应用除服务器证书外，还包括电子邮件证书，代码签名证书，文档签名证书等。保证证书的有效性对用户和企业来说都是至关重要的。...

袁国成：现在下午时间大家都比较累了，给大家带来一些干货。我今天分享的主题是关于HTTPS网站的安全评估与告警监测。以往我们在分享安全话题的时候，比较多的是关于网络安全的，针对HTTPS这块的话题可能讨论的比较少。我们这里先介绍一下亚数，我们在HTTPS这块的领域已经研究了十几年的时间，在今年的2月份我们Netcraft的一个数据统计机构里面统计，统计我们亚数的数字证书在国内的份额已经占据了...

该公告是苹果公司赛门铁克CA不信任计划的补充苹果公司已经明确了赛门铁克CA不信任计划，其中有即将到来的7月20日的最后期限。 2016年6月1日至2017年12月1日期间签发的任何Symantec CA SSL证书如果未发布到证书透明度日志，将不受信任。这仅适用于Symantec CA证书，对于SSL / TLS生态系统的其余部分，Apple的CT截止日期仍为10月15日。除了浏览器中...

Fortify是由证书颁发机构通过CA安全委员会赞助的开源应用程序，现在可用于Windows和Mac。 Fortify应用程序可供所有用户免费使用，可将用户的Web浏览器连接到用户本地计算机上的智能卡，安全令牌和证书。 这可以允许用户在其浏览器中生成X.509证书，从而取代了对已弃用的<keygen>功能的需求。在浏览器中生成证书Web Cryptography API（也...

 是时候更新你的浏览器啦！通过在2017年11月推出Firefox Quantum对其Firefox浏览器进行彻底改革，Mozilla试图重新建立Firefox作为浏览器领域的主导力量。 由于性能的显着提升，Firefox的重生受到了好评。 继续后Quantum版本的一系列变化，Mozilla在近日为所有主要平台发布了Firefox 61。支持TLS1.3Firefox61中最...

代码签名是一种当代标准做法，其中软件开发人员通过可信证书颁发机构的验证，并接收可用于签署脚本和可执行文件的证书和私钥。几乎每个设备，操作系统和网络浏览器都经过硬编码，以尽可能少地信任各种来源。 这完全是以安全的名义完成的。 当您编写一个软件并将其上传到互联网而不签名时，会在浏览器中触发任何试图下载该软件的警告。 警告将说明此下载源自未知来源，其内容无法信任。当您对一个软件进行代码签名时...

本文由Stephen Pinkerton发布在cloudflare博客最近，谷歌正式推出了Android 9 Pie，其中包括围绕数字便利，安全性和隐私的一系列新功能。 如果您在测试版或更新后调整了手机上的网络设置，您可能已经注意到Android现在支持新的私有DNS模式。此新功能简化了在Android上配置自定义安全DNS解析程序的过程，也就是说，您的设备与您访问的网站之间的各方无法...

在过去的五年中，互联网工程任务组（IETF），即定义互联网协议的标准机构，一直致力于标准化其最重要的安全协议之一的最新版本：传输层安全性（TLS）。 TLS用于保护Web（以及更多！），提供加密并确保每个HTTPS网站和API的真实性。 最新版本的TLS，TLS 1.3（RFC 8446）于本月10日发布。 这是该协议的第一次重大改革，带来了重大的安全性和性能改进。 本文转载自Cloudflare...

对于安全加密通信，传输层安全协议(SSL/TLS)的重要性不言而喻。如今的TLS协议不仅被用于传输层通讯，更作为一个标准的加密保护协议被广泛应用于 FTP, 电子邮件和VPN等领域，时刻保护着我们网络通信的安全。　　上周一个新的加密攻击被披露，它可以攻破加密的TLS流量，允许攻击者拦截并窃取以前认为安全可靠的数据。这两个被披露的新的TLS协议漏洞被命名为“Zombie POODLE”和“ GO...

10月17日，坐拥10亿用户的Chrome浏览器正式上线70版本。作为第一个采用TLS1.3正式版的Chrome版本，在安全新功能方面，Chrome 70进一步升级了HTTP页面“不安全”显示标识，即当用户输入数据时，HTTP 站点将显示一个红色的“Not Secure”（不安全）警告。此次更新是谷歌“HTTPS 100％”计划的一部分，其目标是所有网站都通过HTTPS加载到Chrome上，从而强...

如果你每天手机接不停一会儿贷款一会儿投资……数量远远超过正常电话时不要怀疑自己，你的个人信息就是 被！泄！露！了 大数据时代，社会信息化和网络化的发展导致数据爆炸式增长，大数据技术，悄然渗透到各个行业领域，发挥着重要作用。然而，数据信息在给我们生活带来便利的同时，个人信息泄露问题也日渐凸显，尤其是网络黑色产业链日益猖獗，让我们的个人信息形如裸奔，随之而来的安全事...

在经历两年的修补改进后，OpenSSL于近日发布了1.1.1版本并承诺至少投入5年的时间支持该版本。OpenSSL的Matt Caswell在博文中感谢了对OpenSSL近5000次的优化的两百多名志愿者，以及所有下载测试版本并提供反馈的各种用户。OpenSSL1.1.1的一大亮点无疑是TLS1.3。这个在一个月前由IETF发布为RFC8446的最新协议改写了以往的旧标准，其包含全新的...