【一周资讯】两项网络安全国家标准公开征集参编单位;马斯克的Grok又捅娄子,超37 万条用户聊天记录“裸奔”
安信证书网络安全汇总专栏,不定时为您提供一周的政策要闻以及业内新闻速览,不错过网络安全领域的每一个热点!本周看点:两项网络安全国家标准公开征集参编单位;马斯克的Grok又捅娄子,超37 万条用户聊天记录“裸奔”。 一周政策要闻 两项网络安全国家标准公开征集参编单位 日前,为切实做好网络安全国家标准编制工作,鼓励更多单位切实参加到标准编制过程中,提高标准编制工作的开放性、公正性、透明性,提升标准的适用性和质量,《信息安全技术密码模块安全要求》和《信息安全技术工业控制系统安全管理基本要求》两项网…
-
【一周资讯】民航局印发《民用航空数据安全监测预警技术要求》,明确多项数据加密要求
安信证书网络安全汇总专栏,每周为您提供网络安全领域「标准规范、安全热点、行业动态」等最新资讯的追踪与共享。 标准规范 1、民航局印发《民用航空数据安全监测预警技术要求》,明确多项数据加密要求 近日,中国民用航空局发布MH/T 3038-2025《民用航空数据安全监测预警技术要求》行业标准,于2025年8月1日实施,主要针对民用航空数据安全监测预警技术提出具体要求。 安全热点 1、SM2密码算法被用于NailaoLocker勒索软件 2025年7月18日,Fortinet旗下FortiGuar…
-
HTTPS防线如何被突破?一文看懂SSL Stripping攻击原理与防御策略
在当今的互联网世界,HTTPS已成为网络通信的“标配”。从社交平台到电子支付,从企业后台到个人邮箱,加密连接几乎无处不在。但一种叫做SSL Stripping(SSL剥离)的攻击方式,可以悄无声息地绕开这道防线,让用户在毫无察觉的情况下,暴露数据。 什么是SSL Stripping?一次“降级”带来的危机 SSL Stripping,直译为“SSL剥离”,是一种典型的中间人攻击(MitM)。 它的本质是:攻击者在你和目标网站之间插入自己,强行将原本应为HTTPS的加密连接“降级”为HTTP,从…
-
2025年谷歌算法更新:SSL证书影响排名,你的网站安全吗
2014年,谷歌首次公开宣布将HTTPS作为实验性的排名信号; 2017年,谷歌正式将SSL证书纳入算法排名因素,未加密网站被标记为“不安全”; 2024年,SSL证书已成为谷歌算法中唯一的基础安全指标; 2025年,在最新公布的谷歌算法排名中,SSL证书占据2%的固定权重,已经成为网站运营中必不可少的重要部分。 一、SSL证书为何如此重要 1、市场竞争激烈,关键词的排名往往由微小的差距而决定,即使是1%的影响因素也可能决定网站是否会被用户搜索到; 2、部署了https的网站,Google浏览…
-
谷歌Chromecast警示:如何避免物联网设备因证书过期而崩溃?
最近,谷歌向第二代Chromecast(2015年发布)用户发布了通知,告知他们已解决由于证书过期导致的“设备不受信任”问题。尽管没有召回该设备,但这一事件暴露了一个日益严峻的挑战:如何在设备的整个生命周期中确保其安全性和可信度? 背景:Chromecast证书过期问题 3月,一些老款Chromecast设备(特别是第二代Chromecast和Chromecast Audio)的用户遇到了令人头疼的“不受信任的设备”错误,导致无法投射内容。这个问题引发了依赖这些设备进行流媒体播放的用户的担忧和…
-
OpenSSL3.5.0发布,支持PQC算法和服务器端QUIC
近日,OpenSSL项目已发布其广泛使用的开源加密库版本3.5.0,引入了新特性和显著变化,标志着其向未来加密技术的演进。这次功能发布包括对后量子密码学(PQC)、服务器端QUIC以及更严格的TLS行为控制的支持。 默认行为重构 OpenSSL 3.5.0对默认设置进行了若干可能不兼容的更改。值得注意的是,req、cms和smime命令行工具的默认加密算法已从逐渐过时的des-ede3-cbc更改为更强的aes-256-cbc,以符合现代安全标准。 在TLS中,默认支持的加密组列表已调整,优先…
-
SSL/TLS证书有效期缩短至47天!
2025年4月12日,全球网络安全领域迎来一项重要变革。经过数月的讨论与投票,CA/B论坛最终通过了一项关于公钥基础设施(PKI)中的SSL/TLS证书有效期缩短的提案。 从2026年起,SSL/TLS证书的有效期将从398天大幅缩短至47天,这一变化将在2029年全面落实。 这一提案的通过标志着互联网安全治理进入了一个新阶段,进一步提升了网络通信的安全性与可信度! 有什么变化? 《SC-081:引入有效期和数据重用期限缩短的时间表》提案提出: 验证数据重复使用期限的减少: 非SAN验证数据的重…
-
数百万个RSA加密密钥存在重大缺陷
在数字世界里,RSA密钥就像是一把“电子锁”,用于保护我们的信息安全。它通过两个大素数的组合生成一个“公钥”和“私钥”,确保数据的加密和解密过程安全。然而,RSA密钥的安全性依赖于这两个素数的随机性和保密性。如果在生成密钥时,随机数不够强大,或者多个密钥共享了相同的“因子”,这把锁就很容易被破解了。 最近的一项研究揭示了一个严重的安全漏洞——许多RSA密钥在生成时,竟然使用了相同的秘密数字(也就是“因子”)。这种问题通常是由于随机数生成器不够安全或设计不当,导致不同的密钥之间有了相同的素因子。一…
-
什么是TLS握手?TLS握手如何工作
在数据传输过程中,SSL/TLS协议通常用于加密通信,确保数据的机密性和完整性。 什么是TLS握手? 在数据传输过程中,通常通过TLS/SSL连接对数据进行加密,而建立这样的连接需要进行TLS握手(TLS Handshake)。 TLS握手是启动TLS通信会话的关键步骤。在握手过程中,通信双方(客户端和服务器)交换信息,互相验证身份,协商使用的加密算法,并生成一致的会话密钥。TLS握手确保了通信的机密性和完整性,并为后续的数据传输提供加密保护。 SSL(安全套接字层)是为HTTP开发的原始安全协…
-
SSL2.0发布30周年:从SSL到TLS,回顾互联网加密技术变迁
1995年3月,SSL 2.0(安全套接字层)首次亮相,作为最早被广泛应用于网页传输的加密协议之一,为后续SSL/TLS发展奠定了方向。 三十年后的今天,TLS已成为互联网加密通信的核心协议。从SSL 2.0到如今的TLS 1.3,传输加密技术经历了持续升级,为全球用户提供了更高效、更安全的在线通信保障。 回顾这三十年间,SSL/TLS协议的演进不仅推动了传输加密技术的不断进步,也成为现代互联网信任体系发展的关键力量。今天,将带您回顾SSL/TLS发展历程,探索它如何塑造了互联网安全基石。 从…
