Category Archives: Security

未來 CA 將會強制要求檢查 DNS CAA record

CA/Browser 通過提案,要求以後 CA 單位都要檢查 DNS CAA record 才能發放憑證 (RFC 6844 的「DNS Certification Authority Authorization (CAA) Resource Record」):「Ballot 187 - Make CAA Checking Mandatory」。 Certificate Authority Authorization (CAA) is a DNS Resource Record defined in RFC 6844 – https://datatracker.ietf.org/doc/rfc6844/ , published … Continue reading

Posted in Computer, DNS, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , | Leave a comment

未來 SSL Certificate 的最大有效時間將降到 825 天

CA/Browser Forum 通過了這項提案,將 SSL Certificate 的最大有效時間降到 825 天 (大約 27 個月):「Ballot 193 - 825-day Certificate Lifetimes」。 所以將會從本來的 39 個月降到 27 個月左右,所以現在買得到最長的 certificate 會有 3 年,以後會有 2 年: Recent Ballot 185 demonstrated a consensus among Forum members to reduce the maximum … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , | Leave a comment

Google 宣佈對 Symantec 發行的 SSL Certficiate 的不信任計畫

Google 的 Ryan Sleevi 宣佈了對 Symantec 所發佈的的 SSL Certificate 的不信任計畫:「Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates」。 這邊講「不信任計畫」,主要是因為 Google Chrome 不是打算移除,而是限制 Symantec 發出的 SSL certificate 的有效期限。這有種 too big to fail 的感覺... 以市占率來看,無論是「Usage of SSL certificate authorities for websites」這邊算出來的 … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Security, Software | Tagged , , , , , , , , | Leave a comment

Heroku 支援自動化 Let's Encrypt 了

本來 Heroku 提供的 SSL certificate 是要收費的,現在則是提供 Let's Encrypt 的免費版本,而且提供自動更新 (不過必須是收費的 Dynos):「Announcing Free and Automated SSL Certs For All Paid Dynos」。 Heroku has always made it easy to add SSL encryption to web applications — today’s release of ACM extends that … Continue reading

Posted in Cloud, Computer, Murmuring, Network, Security | Tagged , , , , , , , , , | Leave a comment

OpenSSL 將轉為 Apache 2.0 License

OpenSSL 最近打算把原本的 license 換成 Apache License, Version 2.0:「Licensing Update」。 主要的原因是希望相容於現有大多數的 open source project: OpenSSL Re-licensing to Apache License v. 2.0 To Encourage Broader Use with Other FOSS Projects and Products 但這非常詭異啊,舊的 license 最大的問題就是與 GPLv2 不相容,而預定要換的 AL 2.0 也還是不相容啊,搞屁啊。

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , , , , , , , , | Leave a comment

PHP 的 Unquoted Strings 將在 PHP 8 被移除

Twitter 上看到 PHP 的 unquoted string 被視為字串的功能將被移除:「PHP RFC: Deprecate and Remove Bareword (Unquoted) Strings」。 常見的情境是 $_GET[bar] 這樣的用法被視為與 $_GET["bar"] 相同... 超奇怪的功能,而現在這個功能已經投票通過,將會在 7.2 被列為 deprecated,到 8 就會拿掉。 這個功能本來是標示 E_NOTICE,但比較特別的是,雖然是列為 deprecated,PHP 7.2 預定會標示為 E_WARNING 而不是 E_DEPRECATED。主要是這次的兩個目標互相衝突 (可以參考原文),取比較有效的那個 (因為 PHP 8 就不會有這個問題了,所以 PHP 7.2 … Continue reading

Posted in Computer, Murmuring, Programming, Security | Tagged , , , , , , , | Leave a comment

Git 支援其他 Hash 演算法的進展

Git 用 SHA-1,而 SHA-1 又破的問題使得 Git 開始計畫其他 hash algorithm (「Google 與 CWI Amsterdam 合作,找到 SHA-1 第一個 collision」)。 在「"uchar [40]" to "struct object_id" conversion continues.」這邊可以看到一些動作,先把本來的 uchar[40] 換成一般性的 struct object_id。 Hacker News 上的「The beginning of Git supporting other hash algorithms」也有一些討論可以看。

Posted in Computer, Murmuring, Programming, Security, Software | Tagged , , , , | Leave a comment

檢查瀏覽器是否阻擋不安全的 SSL 連線

在這邊看到可以測試瀏覽器的 SSL 連線,網站在 https://badssl.com/dashboard/ 這邊: OOO, Chrome just added a dashboard to quickly test out whether your network connection's being ruined by inspection: https://t.co/1iVkGnat7A pic.twitter.com/s19RmdzlK5 — Eric Mill (@konklone) March 17, 2017 Google Chrome 都有過,但是 Firefox 與 IE11 都還可以連 dh1024... … Continue reading

Posted in Browser, Computer, Firefox, GoogleChrome, IE, Murmuring, Network, Security, Software, WWW | Tagged , , , , , | Leave a comment

EdgeCast 總算記得要推出 HTTP/2 了...

每次看到 EdgeCast 的業務都會抱怨一下,總算正式公佈了... EdgeCast 的 HTTP/2 預定在 2017/03/31 全面上線:「HTTP/2 Coming Soon to Our Customers with SSL Certificates!」。 由於是逐步上線,有些網站會在 3/31 前就生效 (像是 EdgeCast 的官網): The rollout of HTTP/2 will be gradual, and you may start to see some of your content … Continue reading

Posted in CDN, Cloud, Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , | Leave a comment

Ubuntu 12.04 的在 2017 年四月後的後續維護

雖然 Ubuntu 12.04 (Precise Pangolin,一般拿 Precise 當識別代碼) 將會在 2017/04/28 結束五年的維護,而官方也建議大家升級到 14.04 (Trusty Tahr) 或是 16.04 (Xenial Xerus),但總還是會有因為種種因素而升不動的系統... 因為升級有困難而還在使用 12.04 的使用者,Ubuntu 則是提供了商業的維護合約 Ubuntu Advantage:「Introducing Ubuntu 12.04 ESM (Extended Security Maintenance)」。 Desktop 版是 $125/year (最少 50 套),VM 是 $250/year (最少 10 套),Server … Continue reading

Posted in Computer, Linux, Murmuring, OS, Security, Software | Tagged , , , , , , , , | Leave a comment