Clik here to view.
Let's Encrypt 被所有主流瀏覽器直接支援了...
Let's Encrypt 宣佈他們的憑證被所有主流瀏覽器直接支援了,也就是都在各平台的 trusted store 內了:「Let's Encrypt Root Trusted By All Major Root Programs」,看起來這次加入的是 Microsoft 的產品: As of the end of July 2018, the Let’s Encrypt root, ISRG...
View Article國內使用 Let's Encrypt 的商業網站...
因為前一篇「Symantec 系列的 SSL Certificate 陸續開始失效...」的關係,當時是針對 針對 .tw 結尾的站台,用 OpenSSL 掃了一份 issuer= 下來,剛好可以拿來翻一下有誰換去 Let's Encrypt 了... 蝦皮的主站台直接都用 Let's Encrypt 了: host=shopee.tw issuer=/C=US/O=Let's...
View ArticleClik here to view.
幫你在本機產生 localhost 的 SSL Certificate
mkcert 這個工具可以產生出讓系統 (包括瀏覽器) 信任的 https://localhost/:「mkcert: valid HTTPS certificates for localhost」。 先建立 CA 的 root key 與 root certificate,然後把 root certificate 塞到系統與各軟體的信任清單內,再產生 localhost 的 key 與...
View ArticleClik here to view.
Facebook 花錢向使用者購買他們的行為記錄
這則從 Nuzzel 上看到的,國外討論得很凶:「Facebook pays teens to install VPN that spies on them」。 Facebook 付錢給使用者,要他們安裝 VPN (以及 Root CA,看起來是為了聽 HTTPS 內容),然後從上面蒐集資料,這本身就不是什麼好聽的行為了,但更嚴重的問題在於包括了未成年人: Since 2016, Facebook...
View ArticleACME,RFC 8555
這邊講的是因為 Let's Encrypt 所發明的 ACME 協定,可以協助自動化發憑證的協定。 剛剛看到「Automatic Certificate Management Environment (ACME)」這個頁面,上面標 PROPOSED STANDARD,但點進去的 txt 檔開頭則是 Standards Track 了: Internet Engineering Task Force...
View ArticleClik here to view.
Let's Encrypt 從七月開始將會改用自己的 Root 簽發憑證
Let's Encrypt 宣佈了以後的憑證的簽發計畫:「Transitioning to ISRG's Root」。 主要的改變是 2019/07/08 之後提供的 intermediate CA 會改變,從現在的 cross-sign 變成只有自己的 Root CA: On July 8, 2019, we will change the default intermediate...
View ArticleClik here to view.
AWS ACM 支援 Private CA
AWS ACM 推出了 Private CA 服務:「How to host and manage an entire private certificate infrastructure in AWS」。 以前需要 Private CA 的話,會找個地方丟 Root CA 的 key,然後有權限的人可以連到那台機器上跑 OpenSSL 指令生出對應的 SSL certificate,現在 AWS...
View ArticleClik here to view.
Cloudflare 提供 Certificate Transparency 的通知服務
Cloudflare 推出了 Certificate Transparency 的通知服務,當有任何新的 SSL certificate 發出時就會通知:「Introducing Certificate Transparency Monitoring」。 基本上就是一組 crawler 去各家記錄挖資料回來: Business 與 Enterprise 版本的可以設定要通知誰,Free 與 Pro...
View ArticleAWS 的 CA 更新 (CA-2019),將會影響與資料庫相關的服務
AWS 要開始使用新的 CA 發各種資料庫相關服務的 SSL endpoint (包括 RDS、Aurora 與 DocumentDB),看一下差不多是十多天前的消息,不知道為什麼突然發個緊急通告:「Urgent & Important – Rotate Your Amazon RDS, Aurora, and Amazon DocumentDB (with MongoDB...
View ArticleAWS 提供程式,可以掃出有哪些 RDS 的憑證需要更新
先前在「AWS 的 CA 更新 (CA-2019),將會影響與資料庫相關的服務」這邊提到了 AWS 的 RDS 因為 Root Certificate 快要過期,需要更新到 CA-2019。 剛剛在 Twitter 上看到 Jeff Barr 提到了一個可以直接列出有哪些機器需要更新的工具: rds-ssl-update - list RDS instances that are in need...
View Article蘋果的導流方案:Apple Edge Cache
在 Hacker News Daily 上看到蘋果的「Apple Edge Cache」這個服務,看起來就是個自家的 CDN 方案。 網路要求最低要能夠 peak 到 25Gbps 不算低,不過以蘋果的用量來說應該不算是高估: Minimum 25 Gb/s peak traffic across all Apple traffic. 各家 ISP 應該都會考慮,畢竟 iPhone 與 iPad...
View ArticleLet's Encrypt 在檢查 CAA 時出包
Let's Encrypt 發現在檢查 CAA 的程式碼有問題,發了說明:「2020.02.29 CAA Rechecking Bug」,以及預定的處理方式:「Revoking certain certificates on March 4」。 問題是當一個 certificate request 包含了 N 個 domain 時,本來的 CAA 檢查應該要對這 N...
View ArticleOpenSSH 的三個進階用法:CA 架構、透過 Jump Server 連線、2FA
在「How to SSH Properly」這篇裡面講了三個 OpenSSH 的進階用法:CA 架構、透過 Jump Server 連線,以及 2FA 的設定。 之前蠻常看到使用 -o StrictHostKeyChecking=off 關閉檢查,但 OpenSSH 有支援 CA 架構,可以先產生出 Root CA,然後對 Host 的 Public Key...
View ArticleTLS 憑證的最長時效將從 825 天降到 398 天
在「Reducing TLS Certificate Lifespans to 398 Days」這邊看到才想起來沒寫這篇,這邊發生了一些有趣的事情... 提案是降低 TLS 憑證的有效時效,這件事情一開始是在 CA/B Forum 討論,但經過投票後沒有通過:「Ballot SC22 - Reduce Certificate Lifetimes (v2)」。 從投票記錄可以看到所有的憑證使用方...
View ArticleLet's Encrypt 生了新的 Root 與 Intermediate Certificate
Let's Encrypt 弄了新的 Root Certificate 與 Intermediate Certificate:「Let's Encrypt's New Root and Intermediate Certificates」。 一方面是本來的 Intermediate Certificate 也快要要過期了,另外一方面是要利用 ECDSA 降低傳輸時的頻寬成本: On...
View ArticleClik here to view.
Let's Encrypt 在 Android 平台上遇到的問題
同樣是「Standing on Our Own Two Feet」這篇文章,Let's Encrypt 預期明年九月後會在 Android 上遇到嚴重的相容性問題。 很舊的裝置主要是透過 IdenTrust 的 Root CA (DST Root CA X3) 對 Let's Encrypt 的 Intermediate CA (目前主要是 Let's Encrypt Authority X3)...
View ArticleClik here to view.
Firefox 試著透過預載 Intermediate CA 降低連線錯誤發生的機率?
在「Preloading Intermediate CA Certificates into Firefox」這邊看到 Mozilla 的人打算在 Firefox 上預載所有的 Intermediate CA,以降低 HTTPS 連線發生錯誤的作法。這點在 Mozilla 的 Wiki 上也有記錄:「Security/CryptoEngineering/Intermediate...
View ArticleZeroSSL 也提供免費的 SSL Certificate (DV) 了
在 Facebook 上被朋友敲可以測 ZeroSSL,另外一個透過 ACME 協定提供免費的 SSL Certificate,不過目前只有支援單一網域名稱 (DV):「Another free CA as an alternative to Let's Encrypt (scotthelme.co.uk)」。 我先前就有在測 ZeroSSL,不過驗證一直過不去,當時有在 Twitter 上找...
View ArticleIdenTrust 願意再幫 Let's Encrypt 交叉簽三年
先前在「Let's Encrypt 在 Android 平台上遇到的問題」這邊提到了 IdenTrust 幫 Let's Encrypt 交叉簽名的有效日會在 2021 年的八月底左右到期,而這會導致比較舊的 Android 平台因為沒有內建 ISRG Root X1 這個憑證,造成 Let's Encrypt 簽出來的憑證在這些舊的 Android 裝置上都認不出來。...
View Article關於各家 ACME client (或者說 Let's Encrypt client?)
在「Another free CA as an alternative to Let's Encrypt (scotthelme.co.uk)」這邊引用的文章本來在討論又多了一家免費的 SSL certificate 可以用,但結果討論的主力都在講除了 Certbot 外還有什麼比較好用... 大家之所以厭惡 Certbot,先不講他需要依賴一堆 Python 的套件包,最主要的問題在於現在...
View Article