大事件一：所有新证书都要加入证书透明系统 谷歌开发人员Ryan Sleevi宣布，从2017年10月起，Chrome浏览器将要求所有新签发的HTTPS证书纳入其证书透明体系。证书透明系统是一个证书公共日志系统。这一计划将为证书系统带来透明度…

在去年9月的Google安全博客中，Google安全团队宣布：为了让用户更加方便了解他们与网站之间的连接是否安全，从2017年1月份正式发布的Chrome 56开始，Google将彻底把含有密码登录和交易支付等个人隐私敏感内容的HTTP页面…

OCSP 装订是OCSP（在线证书状态协议）检查证书的撤销状态的一种可选方案。它使证书颁发者承担为首次TLS握手提供附带（称为“装订”）时间戳的OCSP响应（由证书颁发机构签名）带来的资源消耗，这样客户就不需要联系证书颁发机构。证书持有者只…

去年10月24日，OpenSSL团队在其博客上公布了2016-2017年度项目路线图。在该博文中，RICH SALZ感谢开源爱好者在GitHub上对项目的跟进与完善，同时宣布OpenSSL下一个发布的版本中将包含TLS1.3，并且兼容目前版…

日前，一个叫做“影子经纪人”的神秘在线组织宣称从一个叫做“方程式组织”的黑客团队窃取了美国的“网络武器”。这些“网络武器”包括大约十几个据信被美国国家安全局（NSA）攻击过的漏洞。 Shellcode分析 Shellcode是当发现一个漏洞…

QIP.ru 是一家主要在俄罗斯本土运营的即时通讯服务提供商，但最近曝出了其 3300 万用户明文密码被黑客盗取的大事件。 外媒 SoftPedia 从网络安全初创企业 HEROIC 得到了一份样本数据，后者的主要业务是保护用户远离黑客攻击…

一家奥地利咨询公司SEC Consult的研究人员称，自从去年11月该公司开始关注以来，互联网上共用密钥和证书的网关、路由器、调制解调器和其他嵌入式设备的数量上升了40%。    这份星期二发布的名为《密钥之家》的报告警告，使用已知私钥的设…

在互联网时代，我们大多数人都被网络钓鱼攻击过，并且，网络钓鱼技术已经越来越复杂了。通常，攻击者会精心构造一个网站登录页面，让用户以为这个页面就是真的页面。然后用户输了自己的登录信息，这些信息就发送给攻击者。像这样盗取身份认证和个人信息的行为…

从数字签名使用对象的角度分，目前的数字证书类型主要包括：个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书。这些数字证书特点各有不同。 从数字证书的技术角度分，CA中心发放的证书分为两类：SSL证…

HTTP公钥固定（HPKP，见RFC7469）——一个给大家用来固定公钥的标准——也许已经死了。作为一个完全加密的、可靠的互联网支持者，我非常期待HPKP取得成功，但我担心它用起来太困难，也太危险，而且如果没有我们的维护，它什么也做不了。 …