获取到了9个非法SSL证书。这些证书均伪造成来自七个域名,其中包括 Google.com、 Yahoo.com、Skype.com、login.live.com以及addons.mozilla.org等。据悉,这些非法证书可能被用来进行钓鱼攻击,目前,相关机构正在对该事件进行调查。微软发布了编号KB2524375的紧急安全更新,将新近冒出的多个欺骗性数字安全证书挡在门外,涉及业内多家大型互联网站。微软在安全公告中表示,隶属于受信任根证书颁发机构(TRCAS)的Comodo于本月16日通知微软,有九个安全数字证书是在第三方机构未提供充分身份认证的情况下签署的,可能会被不法分子通过IE浏览器针对网民发动内容欺骗、钓鱼攻击、中间人攻击(MIMT)等等。这批证书涉及的网站有:login.live.commail.google.comwww.google.comlogin.yahoo.com (三个证书)login.skype.comaddons.mozilla.orgComodo已经撤回了这些数字证书,并列在了其证书吊销列表(CRL)中。开启了在线证书状态协议(OCSP)的浏览器能够很快辨别这些证书的真伪,然后阻挡它们。KB2524375安全更新涉及操作系统:Windows XP SP3Windows XP Professional x64 Edition SP2Windows Server 2003 SP2Windows Server 2003 x64 Edition SP2Windows Server 2003 with SP2 for Itanium-based SystemsWindows Vista SP2Windows Vista x64 Edition SP2Windows Server 2008 for 32-bit Systems SP2Windows Server 2008 for x64-based Systems SP2Windows Server 2008 for Itanium-based Systems SP2Windows 7 for 32-bit Systems SP1Windows 7 for x64-based Systems SP1Windows Server 2008 R2 for x64-based Systems SP1Windows Server 2008 R2 for Itanium-based Systems SP1用户现在就可以通过Windows Update自动更新(安装后无需重启系统),或者在微软支持网站上下载,地址为:http://support.microsoft.com/?kbid=2524375
有黑客通过攻击某个SSL证书发行机构
时间: 2024-09-19 09:13:51
有黑客通过攻击某个SSL证书发行机构的相关文章
12306的SSL证书为何不受信任?
中介交易 SEO诊断 淘宝客 云主机 技术大厅 今年1月9日,小年夜(1月28日)的火车票开售,12306网站当日点击量高达144亿次.然而,这同时意味着,"IE已阻止该网站内容"."该内容没有签署有效的安全证书"等情况,在这天购票者打开12306时至少出现了上亿次. 原本每年只需要支付数千元就可以使用的国际标准网络安全SSL证书,不知何故,始终没能在12306上被使用,而根据记者的调查,12306提供的根证书"SRCA"(中铁CA)是其自行发布
Nginx 配置SSL 证书 + 搭建 HTTPS网站的方法
一.HTTPS 是什么? 根据维基百科的解释: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定.HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输.HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混. HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,HTTPS 网站已不再是
微软非法SSL证书引发“钓鱼”攻击解决方法介绍
最近,微软在TechNet上公布了一则对于非法发放的SSL证书警告,称SSL证书有可能引起攻击者采用欺骗内容执行钓鱼攻击或者"中间人"攻击.目前,SSL证书被发放到live.fi. 这一事件将影响包括Win7/Win8.1以及WP8.1在内的所有Windows系统.不过用户也不必担心,微软已经着手更新全部Windows操作系统的证书信任列表(CTL),目前该事件风险等级较低. 微软在其官方说明中提到:一项关于撤销证书的自动更新已经启动,涉及WindowsVista.Windows7
免费SSL工具有漏洞 黑客可获取任何域名的SSL证书
荷兰安全公司CompuTest的安全研究员Thijs Alkemade在以色列公司StarCom创建的发布免费SSL证书的工具StartEncrypt中发现多个设计和执行缺陷. StarCom受到Let's Encrypt项目的启发,在6月4日推出StarEncrypt项目.想要部署免费StartSSL证书的用户只需下载一个Linux客户端并将其上传 到服务器即可.这个客户端会执行一个域名验证流程,通知StartSSL服务,随后为运行在服务器上的域名发布并安装一个"扩展验证"SSL证书
网络安全法解读之网络数据安全与SSL证书
网络数据及其安全问题解读 网络数据是指什么? 今年6月1日正式生效实施的<中华人民共和国网络安全法>第七十六条规定:"网络数据,是指通过网络收集.存储.传输.处理和产生的各种电子数据." 对于普通用户,浏览的网页.输入的数据等线上操作,均会涉及较大数据量.对于企业,企业信息.用户信息等,也都是需要保护的重要数据.而一旦数据无法得到保护,造成信息隐私泄露,损失将难以估量. <中华人民共和国网络安全法>第三章三十七条至三十八条,第四章四十一条至四十四条,就分别对关键
Android APP之WebView校验SSL证书的方法
Android系统的碎片化很严重,并且手机日期不正确.手机根证书异常.com.google.android.webview BUG等各种原因,都会导致WebViewClient无法访问HTTPS站点.SSL错误的处理方式十分关键,如果处理不当,可能导致中间人攻击,黑客窃听数据,进而引发安全事故. 严谨地处理onReceivedSslError尤为重要.请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说
泛域名ssl证书搭建全攻略
无忧在线项目管理(www.5upm.com)是禅道开发团队给大家提供的一款在线的项目管理服务,它提供了禅道软件专业版本的功能,同时内置了subversion和git的源码托管服务,这样创业型团队或者跨地域团队就可以异地办公,实现跨地域的协同管理. 在实际运营无忧在线过程中,安全是很多客户比较关心的问题.对于这个问题我们通过很多种手段来加以解决,比如操作系统层面,应用程序层面等等.最近无忧在线项目管理又上线了https访问功能,进一步加强了无忧在线的安全性. 下面是笔者配置无忧在线https访
阿里云和腾讯云免费SSL证书
阿里云部署SSL证书 http://www.cnblogs.com/sslwork/p/5984167.html 查找中间证书 为了确保兼容到所有浏览器,我们必须在阿里云上部署中间证书,如果不部署证书,虽然安装过程可以完全也不会报错,但可能导致Android系统,Chrome 和 Firefox等浏览器无法识别.请到 中间证书下载工具,输入您的Server.cer,然后下载中间证书,请将中间证书保存为Chain.cer. 服务器证书和中间证书连接 首先我们需要将中间证书Chain.cer加入到服
HTTPS 免费证书,免费 ssl 证书,FreeSSL.org 申请多种免费证书
随着互联网的日益发展,它已经深入的人们生活的方方面面,可以说我们已经离不开互联网了.面对人类如此的依赖,互联网安全愈发的重要,个人隐私也愈发的需要保护起来.如何才能提高我们上网的安全呢?如何保护我们上网的隐私?如何防止被黑客劫持?等等,许多安全因素需要考虑到. 在大厂 Google chrome 标记网站是否安全和 Apple ATS 政策,还有微信小程序的推动下,HTTPS 逐渐进入了大家的视线,它让大家认识到互联网加密的必要性和急迫性.并且随着近段时间<网络安全法>的发布,让人们更加重视到