日常落後嘅 CNNIC 😢

Posted on Sat, Jun 19, 2021 科技趣聞
Google釋出Chrome 84,修補38個安全漏洞,正式移除對TLS 1.0/1.1的支援

Google在7月14日釋出Chrome 84穩定版,該版本修補了38個安全漏洞,也正式移除了對TLS 1.0/1.1的支援,但 新增 App圖示捷徑(App Icon Shortcuts)、離線內容索引Content indexing API,以及可防止螢幕睡眠的Wake lock API等新功能。Chrome 84預計於未來幾天就會陸續部署到Windows、Mac與Linux等平臺。 Google從2019年12月問世的Chrome 79開始,就不推薦網站使用TLS (Transport Layer Security) 1.0及1.1版的網頁加密驗證協定,原本預計要在今年4月發表的Chrome 81完全移除對TLS 1.0/1.1版的支援,但考量到網站可能正在應對武漢肺炎(COVID-19)疫情而無瑕兼顧,因而它延後到本周釋出的Chrome 84。 Chrome安全團隊表示,TLS 1.0/1.1所仰賴的MD5及SHA-1加密演算法不但都已被破解,而且也含有其它漏洞,10年前就發表的TLS 1.2則已修補相關漏洞並受到廣泛的採用。 因此,自Chrome 84開始,用戶只要造訪依舊採用TLS 1.0/1.1網站,Chrome就會出現插入式的全頁面警告。 而 App圖示捷徑 允許使用者直接在Chrome中點選程式的圖示,就能直接啟用該程式的多種功能,像是在Twitter上撰寫貼文、傳送訊息或檢視通知等。 Wake lock API則可用來防止使用者正在參考網頁上的內容時,螢幕忽然變暗或鎖住,根據專門提供食譜並銷售食材的Betty Crocker網站的測試,導入Wake lock API讓該站使用者的購買意願提高了300%。至於Content indexing API則是用來提醒使用者,站上有些內容可以下載以供離線使用。 在Chrome 84 此次修補的 38個安全漏洞中,只有一個被列為重大(Critical)等級,那是由360 Alpha Lab與360 BugCloud 共同揭露的CVE-2020-6510,會在Chrome處理不可靠的HTML內容時出現邊界錯誤,形成堆積緩衝區溢位漏洞;駭客可打造一個特製的網頁並誘導使用者造訪來開採該漏洞,成功的開採將允許駭客自遠端執行任意程式。 熱門新聞

你知道嘛,基於安全問題,傳輸用嘅安全協議TLS1.1已經於去年7月月被包括Chrome、Vivaldi、Edge等Chromium-base及Safari等嘅其他主流瀏覽器齊齊停止支援,你打開任何唔支援TLS1.2或以上嘅瀏覽器就會顯示下圖嘅警告信息。無錯,作為.cn domain管理機構嘅CNNIC其實仲未支援TLS1.2+, 畢竟係 #日常落後國。

講開CNNIC,其實係15年之前CNNIC係有Root Cert嘅,不過因為濫發導致好多奇奇怪怪僞冒網站都利用CNNIC簽發嘅證書造假,當中包括假Google嘅網站,導致CNNIC 簽發嘅證書被抵制及被不信任,並移除主流系統及瀏覽器當中,自此CNNIC不得不用 DigiCert簽發嘅證書替代。為了 #國家任務 賠上根證書,不愧係 #日常落後國。

CNNIC 证书的危害及各种清除方法

文章目录 ★CNNIC到底干了啥事?★这事儿对咱有啥影响?★如何清理门户?★如何确认门户已经清理干净?★可能的副作用★引申阅读 前几天已经写了2个帖子(分别是 扫盲数字证书的基本知识, CNNIC 干过的那些破事 )作铺垫,终于开始来说正题 - - 关于 CNNIC 的 CA 证书。 从 前面的帖子 ,大伙应该都看出来,CNNIC 这个老流氓可是坏事做尽啊。最近这段时间,CNNIC 不甘寂寞,又在 CA 领域,搞了点小动作。今天先来说一下,这个老流氓又坑蒙拐骗了哪些主? 可能某些IT圈外的同学会问,Mozilla是嘛玩意?简单地说,"Mozilla 和 Firefox 的关系"就好比"微软和 Windows 的关系"。因此,Firefox 自带哪些 CA 根证书,是由 Mozilla 组织决定滴。 话说2009年初那会儿,CNNIC 里面的某个员工([email protected])到 Mozilla 网站提交了一个申请:要求将 CNNIC 加入 Mozilla 的 CA 列表。此申请经过几个月的讨论。到了2009年底,审批获得通过。至此,CNNIC 正式成为 Mozilla 的 CA 之一(请看" Mozilla官方的CA列表")。懂洋文的同学,请自行到" 这里"看详细的申请过程。 因此,从

對了,作為 #日常落後國 嘅邊境,(圖三)比日常落後國更落後嘅.HK嘅管理公司,HKDNR有Enable到TLS1.3,哦值得慶賀嘅係HKDNR無自己Root Cert,而係不得不使用外國勢力嘅Global Sign作為網站嘅證書……咪住先,Global Sign係註冊係日本東京都涉谷嘅公司……國安!國安!呢度有香港公營企業通日啊!

認識更多國情

清除有安全风险的根证书

从上文中我们知道,预装在电脑和浏览器里的根证书是PKI体系中一切信任的根基。因此对于任何涉及根证书的操作都应该慎之又慎,而安装那些并不具备发行根证书资质的机构所发行的证书会给你带来巨大的安全风险。遗憾的是,在中国,经常有各种软件以各种各样的借口和手段将根证书偷偷的安装在你的电脑上。 接下来,让我们在windows系统中运行certmgr.msc ...