US-CERT警告:企業監聽HTTPS反而可能使自己落入中間人攻擊風險

US-CERT警告企業監聽HTTPS流量是在客戶端與伺服器端間建立一個中間代理人,類似中間人攻擊的手法,但此一架構有潛在的風險,客戶端系統只能驗證與HTTPS監聽產品之間的通訊,必須仰賴監聽產品驗證伺服器的真偽,若監聽產品未能適當驗證或傳達驗證狀態就可能落入中間人攻擊風險。

2017-03-20

EFF:HTTPS流量破5成,加密成主流

根據Firefox的統計數據,今年1月底迄今,全球的HTTPS網路流量都維持在50%以上,而從Chrome數據來看,自Windows、macOS和Linux版Chrome造訪HTTPS網頁的比例都已超過50%

2017-02-23

自己的安全自己掌握,Google設立根憑證機構GTS掌管自家與Alphabet所有憑證發行

對Google而言,設立自己的Root CA代表Google將全權掌控所有HTTPS的憑證,包含啟用與廢除時間,成為唯一可發行Google憑證的CA,若有第三方CA擅自發行了涉及Google網域的憑證,也會立即被發現。

2017-01-30

HTTPS流量突破5成,桌面版Chrome來佐證了!

Google在透明公開報告中公佈了HTTPS網頁使用數據,顯示到今年10月底為止,Chrome OS的HTTPS網頁造訪比例以68%居冠,其次是macOS、Linux OS、Windows、Android平台。

2016-11-07

數據:Firefox用戶的HTTPS加密流量首度突破50%

推廣網路安全的免費憑證組織Let's Encrypt引用了Mozilla的遙測數據指出,去年12月Firefox用戶造訪的網頁中,不到42%採用HTTPS加密傳輸,但在上周該比例一度達到50.34%,首度突破了50%。

2016-10-18

研究者展示從HTTPS頁面竊取資訊的HEIST攻擊手法

先在使用HTTPS的加密網站植入惡意的JavaScript,利用HTTPS回應時透過TCP傳輸,以惡意程式查詢SSL或TLS等安全通訊協定的網頁及加密文件大小,取得傳輸文件的精確尺寸後,再利用工具進行解密竊取資訊。

2016-08-05

HTTPS成為Google Blogspot預設值

Blogspot去年9月便新增了「HTTPS Availability」的選項,允許部落客啟用HTTPS通訊,訪客則可自行決定是要以HTTP或HTTPS造訪該部落格。在HTTPS成為Blogspot預設值之後,代表部落客不需額外設定,訪客仍可選擇要以HTTP或HTTPS造訪部落格。

2016-05-04

WordPress實施代管網域免費HTTPS加密

WordPress.com代管網域下的所有新網站幾分鐘內即可自動完成加密部署。未來會逐次推向代管於WordPress.com的網站,已啟用HTTPS加密的網站及部落格會在瀏覽器網址列上顯示綠色鎖頭標誌,以明碼HTTP呼叫者也都會自動導向加密網站,即從HTTP://導向HTTPS://。

2016-04-11

Google透明度報告揭露自家及第三方網站HTTPS加密現況

Google推動HTTPS加密,Gmail從2010年開始預設SSL加密,之後陸續擴及至搜尋、Google+、Calendar及Google Drive、廣告及Blogger等服務。此外,Google也揭露了第三方知名網站使用HTTPS情形。

2016-03-16

Let's Encrypt已發行100萬個免費憑證,加速推動HTTPS

Let's Encrypt自去牛12月推出後,約三個月的時間已發出100萬個安全憑證,估計涵蓋了250萬個網域,加速推動HTTPS通訊普及。

2016-03-10

研究人員揭露重大的DROWN安全漏洞,全球1/3的HTTPS網站安全拉警報

安全漏洞DROWN是一個典型的跨協定攻擊(cross protocol attack),這類的攻擊透過SSLv2協定漏洞去攻擊採用TLS協定的安全連結。駭客可藉機進行中間人攻擊,破解加密傳輸,讀取機密流量,涵蓋密碼、信用卡號碼或金融等資料。

2016-03-02

推動加密通訊,Google將優先索引HTTPS網頁

未來,當Google發現兩個擁有同樣內容但分別採用HTTP與HTTPS不同協定時,就算沒有其他網站連至此一HTTPS網頁,Google也會優先索引基於HTTPS的網頁

2015-12-18