沃通自從幾年前和StartCom一起被封殺了之後,還在繼續賣證書,甚至還推出了一個封閉式的電子郵件證書解決方案。
那麼,既然到目前為止,電腦仍然持續信任沃通所賣的證書,那這些證書是安全的嗎?
結論為 Yes;本文將就這個問題,從政治面、技術面探討這個問題。
筆記
針對某個主題的概略介紹,不會鉅細靡遺
HSTS是什麼 – HTTP Strict Transport Security
HSTS是一種安全性的政策,要求瀏覽器”一定”要使用Https,並且只能建立安全的Https連線;因應使用者看到警告總是會下意識地按下跳過,所以HSTS就是為了讓使用者跳不過去所設下的限制。
技術原因先不論(有興趣自己Wiki),網站啟用了HSTS之後,最大的差別在於說使用者無法自行忽略安全性警告,所以減低了中間人攻擊的風險;當然若是憑證過期或是錯誤,使用者也無法進入網站。
HSTS是儲存於瀏覽器中,所以就算網站關閉HSTS,使用者也會保存最長一年的紀錄;所以若是你啟用了HSTS,就應該要確保自己的網站Https是有效且正確的。
關於跳過這個的方式,請關注(就是點選瀏覽器,使其保持最上)並按下”badidea”,Chrome就會忽略HSTS了。
Facebook支援U2F拉~
今天逛到Gea-Suan Lin’s BLOG說Facebook支援U2F了,剛好手頭上有Yubikey 4,所以立馬來啟用了,不是我自豪,我的帳戶從沒有被駭成功過!
DNSSEC的工作原理
網域名稱系統 (DNS) 如同網際網路的電話簿;它告訴電腦要去哪裡存取資料。然而不幸的是,它接受任何位置的回應,不經過任何驗證。
電子郵件伺服器使用 DNS 路由它們的信件,這意味著它們在安全上處於弱勢。2014 年 9 月, CMU 的研究人員發現發送給Yahoo!、Gmail的郵件經過了不明的伺服器。攻擊者利用一個已經存於DNS系統幾十年的老漏洞—— 它並不會進行任何檢查就接受結果。
而解決這問題的最終方案是DNSSEC,它藉由提交驗證資訊在上級域名伺服器;例如當一個DNS要求解析blog.cloudflare.com時 .com 會負責驗證它是正確的被指向cloudflare,然後Cloudflare會負責驗證它正確地被指向blog。而 .com的驗證是交由根伺服器(事實上,所有頂級域都是由根伺服器解析)進行,這是通過了一個公開的安全審核(一般來說,我們無條件相信root伺服器),這是經過了DNSSEC簽約儀式(The DNSSEC Root Signing Ceremony)。
我要架設網站,有甚麼選擇?
要架設網站,有甚麼選擇呢?架設網站的目的各有所不同,有些人是要做部落格(像我這樣),也有人是要做購物網站….架站方案很多,要如何選擇呢?
可以跑網站的選擇很多,從自己的電腦開始的Xampp,一路上去是共享虛擬主機,然後是VPS,然後是實體主機;其他還有完全雲架構的AWS、Azure或是最新的Google CE。
VPN Gate server 伺服器 簡介
VPN Gate是一套極為優秀的VPN解決方案,它具有強大的VPN連線能力、高度安全與可靠、極高的性能、非常簡單的安裝與管理,他支援PPTP、L2TP、Open VPN以及經由443的SSL VPN;拜此所賜,提供了極佳的相容性與可靠度,甚至連NAT都可以穿透(Server穿透,非客戶端穿透),另外最重要的是,他是中文圖形介面,所以如果有需要VPN的話絕對是不二之選。
Startssl與mozilla的對決與後續發展
Startssl下面的憑證業務包含了電子郵件簽名、程式碼簽章、SSL憑證業務,另外之前有的PKI與StartResell兩個業務似乎收掉了,這次火狐對Stratssl的懲處Google表示跟進,微軟的方面則是沒有動作的,所以程式碼簽章是沒有問題的,其實以60美金可以買到程式碼簽章是很划算的;郵件簽名的憑證(Class 2以上)還可以用在MS Office裡面做文件簽名,這也是微軟的用途,預料是沒甚麼問題的。
至於郵件簽名,雷鳥已經脫離Mozilla基金會了,是否會跟進處分還不明朗,而Outlook是沒有問題的。
Mozilla 台灣中文版的公告(已經失效):「取消對 WoSign 與 StartCom 新簽發憑證的信任」。