记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

谷歌威胁取消赛门铁克SSL/TLS证书信任

谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书。赛门铁克回应:此举实属无理取闹。 谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书。赛门铁克对此表示强烈反对。 谷歌软件工程师瑞恩·斯利维写道: “1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题。调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念。” 谷歌最初调查了127个可能被误颁的证书,但问题证书列表如今已扩展到包含数年来颁发的至少30,000个证书。2015年10月,谷歌也就证书颁发问题公开警告了赛门铁克。 谷歌准备对赛门铁克采取一系列行动,包括缩短新颁发证书有效期到仅9个月或更短的时间,以及取消对赛门铁克扩展
发布时间:2017-03-28 11:40 | 阅读:152234 | 评论:0 | 标签:牛闻牛评 chrome SSL/TLS 数字证书 谷歌 赛门铁克

SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议

0×01 前言 愚人节即将到来,SSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁。 在新加坡举行的Black Hat亚洲安全会议上,Imperva公司的安全总监Itsik Mantin详细介绍如何使用该攻击原理, 该漏洞是由功能较弱而且已经过时的RC4加密算法中一个长达13年的问题所导致的. 通过RC4的不变性弱密钥,允许攻击者在特地情况下还原加密信息中的纯文本,可能就会暴露帐户密码,信用卡数据,或其他敏感信息。不像以前SSL攻击手法,仅仅只需要被动嗅探和监听SSL/TLS连接就可以进行攻击. Itsik Mantin介绍说如果要劫持会话可能还是要用到中间人攻击。 该漏洞的产生原因是由于不变性弱点,是在RC4加密算法中的一个L型关键图形,其中一旦它存在于一个RC4密钥,保存的状态会
发布时间:2015-03-30 13:40 | 阅读:246700 | 评论:0 | 标签:技术 Bar Mitzvah Attack sobug SSL/TLS 漏洞时间 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云