https

SSL/TLS 加密新纪元 - Let's Encrypt

根据 Let’s Encrypt 官方博客消息，Let’s Encrypt 服务将在下周（11 月 16 日）正式对外开放。 Let’s Encrypt 项目是由互联网安全研究小组（ISRG，Internet Security Research Group）主导并开发的一个新型数字证书认证机构（CA，Certificate Authority）。该项目旨在开发一个自由且开放的自动化 CA 套件，并向公众提供相关的证书免费签发服务以降低安全通讯的财务、技术和教育成本。在过去的一年中，互联网安全研究小组拟定了 ACME 协议草案，并首次实现了使用该协议的应用套件：服务端 Boulder 和客户端 letsencrypt。 至于为什么 Let’s

Let's Encrypt 已被所有主流浏览器所信任

旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Lets Encrypt 已经得了 IdenTrust的交叉签名，这意味着其证书现在已经可以被所有主流的浏览器所信任。从这个里程碑事件开始，访问者访问使用了Lets Encrypt 证书的网站不再需要特别配置就可以得到 HTTPS 安全保护了。 Lets Encrypt 的两个中级证书 Lets Encrypt Authority X1 和 Lets Encrypt Authority X2 得到了交叉签名。Web 服务器需要在证书链中配置交叉签名，客户端会自动处理好其它的一切。 你现在可以在此体验一下使用新的交叉签名的中级证书所签发证书的服务器。 越来越多的重

为什么 Chrome 会说你的 SHA-2 证书链是“肯定不安全的”

假如你已经完全配好了你的 SSL：使用了强加密算法、禁用了废弃的协议，而且你提供了100% SHA-2的证书链。SSL Labs给了你一个 A+ 评分，shaaaaaaaaaaaaa.com也没发现你使用了 SHA-1。但是，有些情况下，当你访问你的网站时，Chrome 仍旧会在 URL 栏处显示一个红叉，并且说你的网站提供了 SHA-1 证书，是肯定不安全的（affirmatively insecure） 的： 这可能吗？不幸的是，有可能。你的服务器所发送的证书也许并不是你的浏览器所使用的。在迁移到 SHA-2 的过程中不应该是这样的，但是由于某些 CA 糟糕的做法和用户使用了老旧的软件，有时候

谷歌公布放弃 RC4 和 SSLv3 的详细计划

不出所料，这周谷歌正式宣布准备放弃支持流算法 RC4 和 SSLv3 协议，这二者都有悠久的被攻击历史。 该公司的一名安全工程师亚当.兰利周四在一篇博客中宣布了该计划。虽然没有一个具体的时间表，但是兰利坚称，谷歌会在适当的时段内在其所有的前端服务器、Chrome、Android、爬虫和 SMTP 服务器中放弃使用 RC4 和 SSLv3。 事实上，该公司宣布放弃RC4 和 SSLv3并不令人惊讶，国际互联网工程任务组（IETF）在今年夏天发布的一个互联网标准跟踪文档（Internet Standards Track document）中宣称了 SSLv3 的死亡，说它不够安全，而且说任何版本

增强 nginx 的 SSL 安全性

本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁；禁用协议上存在安全缺陷的 SSLv3 及更低版本，并设置更健壮的加密套件（cipher suite）来尽可能启用前向安全性（Forward Secrecy）；此外，我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置，并可以在 Qually Labs 的 SSL 测试中得到 A 级评分。 如果不求甚解的话，可以从 https://cipherli.st 上找到 nginx 、Apache 和 Lighttpd 的安全设置，复制粘帖即可。 本教程在 Digital Ocean 的 VPS 上测试

在 Apache、NGINX 和 Lighttpd 上启用 HTTP 公钥固定扩展（HPKP）

编者按：前段时间，Google 报告说 CNNIC 签发的一个中级 CA 签发了一个伪造的 Google 证书，从而导致 Google 和 Mozilla 在其产品中取消了对 CNNIC 后继签发的证书信任。 本文就来讲述一下，这种伪造证书是如何被 Google 发现的，其技术机制是什么？如何在网站服务器上实现伪造证书防御和报告机制。 公钥固定（Public Key Pinning）是指一个证书链中必须包含一个白名单中的公钥，也就是说只有被列入白名单的证书签发机构（CA）才能为某个域名*.example.com签发证书，而不是你的浏览器中所存储的任何 CA 都可以为之签发。本文讲述了这种机

如何配置使用 HTTP 严格传输安全（HSTS）

HTTP 严格传输安全（HSTS）是一种安全功能，web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯，而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过： Nginx1.1.19、 Lighttpd 1.4.28 和Apache 2.2.22 ，环境为 Ubuntu 12.04、 Debian 6 7 和 CentOS 6，只需要调整部分参数就可以工作在其它的发行版上。 什么是 HTTP 严格传输安全？ 引用自Mozilla Developer Network： 如果一个 web 服务器支持 HTTP 访问，并将其重定向到 HTTPS 访问的话，那么访问者在重定向前的初始