HTTPS 网站利用浏览器信任的证书确保用户浏览器与网站服务器之间建立安全连接，防止被网络中间人监听。但如果网站使用自签名证书，那么访问这些网站的用户需要在浏览器添加例外或安装根证书（如火车票网站 12306），这就留下了极大的安全隐患。 一位提供游戏网络加速服务的用户在微博上报告，中国电信悄悄替换了其自签名证书。“ 为何有的地区访问我的 HTTPS 网站，获得的证书并不是我签发的。” “你们很聪明，只替换掉自签发的证书，因为自签发证书浏览器本来就有警告加上大部分信息都一样，神不知鬼不觉，用户很难发现自己的 HTTPS 访问被监听了，要不是我的软件对证书指纹有验证根本不会发现这问题 。” 原证书是 RSA-2048，伪造的证书是 RSA-1024。 中国电信客服表示可以“ 协调处理 ”。 稿源：solidot奇客；封面源自网络

据外媒报道，F5 BIG-IP 网络设备中存在软件漏洞，至少有 949 个全球排名前 100 万的网站受到影响，可泄露经 HTTPS 加密连接的敏感数据。 使用修改版本的 zgrab 对互联网进行扫描发现的受影响网站。 F5 BIG-IP 是一种网络，通过管理进入的 Web 数据流量和增加有效的网络带宽，从而使网络访问者获得尽可能最佳的联网体验的硬件设备。 该漏洞被称为 Ticketbleed （ CVE-2016-9244 ），存在于 F5 BIG-IP 设备的 TLS / SSL 堆栈中，允许远程攻击者一次提取高达 31 字节的未初始化内存。攻击者可向站点发送特制的数据包，获取连接 Web 服务器内存中的小块数据。风险在于，攻击者可多次执行此操作，从而获取加密密钥或其他用于保护终端用户与站点会话而建立的 HTTPS 连接。 该漏洞与“心脏出血（ heartbleed ）”漏洞有相似的地方，它们都利用安全传输层协议（ TLS ）中的漏洞破坏加密连接的安全性、获取到随机未初始化的内存数据。它们间也存在差异，Ticketbleed 只影响其专有的 F5 TLS 堆栈，而 “心脏出血”漏洞影响的是开源 OpenSSL ，此外，Ticketbleed 漏洞获得的内存块更小（ 31 个字节），这需要等多“努力”来利用这个特性。 修复解决方案 受影响版本的完整列表可在 F5 网站上找到。目前，并非所有版本都有可用的升级更新。 对于部分版本可通过禁用 Session Tickets 解决，但这会导致恢复连接的性能下降。 F5 提供的操作方法： 1. 登录到配置实用程序 2. 在菜单上导航到本地流量>配置文件> SSL >客户端 3. 将配置的选项从基本切换到高级 4. 取消选中的 Session Ticket 选项，以禁用该功能 5. 单击更新以保存更改 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌和火狐浏览器正在采取新的措施让用户小心有安全漏洞的网站，在最新的更新版本 Chrome 56 和 Firefox 51 中，当用户在不安全的 HTTPS 网页中提交敏感信息时，就会收到警告。此前的测试版已经加入了此类警告，现在更新版本将使更大数量的用户收到安全警告。在这周推出的 Firefox 51 中，当用户进入要求提交密码的网页时，就会出现新一个带有红色斜线的锁的图标，提示用户网站有风险。 而在 Chrome 56 中，不止是密码，还有当网页要求提交信用卡信息等敏感信息时也会出现警告。谷歌的安全工程师 Emily Schechter 称：“调查显示用户经常不会察觉到那些显示网络不安全的警告图标，而且当警告频繁出现时往往更加无视它们。在今后的更新中，我们会继续加强对不安全网页的警告提示，并努力将所有不安全 HTTPS 网页都加上标识。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。

据外媒报道，从今年开始美国所有新 .GOV 网站将被强制要求使用 HTTPS 以加强安全性。 奥巴马政府曾下令要求所有政府网站切换至 HTTPS 并将 2016 年 12 月 31 日设为截止日期，然而据非官方统计，目前 .GOV 网站切换率仅 60%。美国通用服务管理局早些时候重新宣布，从 2017 年开始所有新的 .GOV 网站都将自动启用 HTTPS。 局域网中也将使用 HTTPS 美国总务署( GSA )表示，HTTPS 将应用于新注册的 .GOV 网站所有子域当中，并强调即使在局域网中也应该坚持使用。就目标日期而言，GSA 声称这项新措施会在 2017 年春天生效，域名客户将在更改发生前 30 天收到通知。 据悉，GSA 并非唯一推进 HTTPS 的组织，似 Google、Apple、Let’s Encrypt 等全球互联网公司都在为推动 HTTPS 的普及而努力。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

卡内基梅隆大学的计算机科学家在预印本网站发表论文，分析了Let’s Encrypt的影响和普及（PDF）。Let’s Encrypt旨在普及 HTTPS，证书免费配置自动，解决证书昂贵、不透明、安全问题严重，对 HTTPS 生态系统产生了革命性的影响。 它如今一天要签发5.5万个证书。研究人员分析了从 2015 年 9 月 17 日到 2016 年 5 月 15 日之间的 Certificate Transparency 日志和使用 Let’s Encrypt 证书的域名分布，以及这些域名的 Alexa 排名。他们发现：西欧国家使用的 Let’s Encrypt 证书的比例最高，其次是北美、日本、新加坡和俄罗斯，中国没有进入前 20，使用者估计也不会很多。 此外，使用 Let’s Encrypt 的证书的网站绝大多数位于 Alexa 排名 10 万名以下，这一“重尾分布”现象显示 Let’s Encrypt 确实在普及 HTTPS 。 稿源：cnbeta.com，封面来源：百度搜索