標籤彙整: SSL

ECC证书试用记

發佈留言

什么是ECC?

椭圆加密算法(ECC)是一种公钥加密体制,最初由Koblitz和Miller两人于1985年提出,其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。
与经典的RSA,DSA等公钥密码体制相比,椭圆密码体制有以下优点:
较短的密钥大小,使用较小的Key实现和RSA同等的安全性,更低的CPU消耗,节省带宽。
224 Bit ECC = 2048 Bit RSA
256 Bit ECC = 3072 Bit RSA
384 Bit ECC = 7680 Bit RSA
512 Bit ECC = 15360 Bit RSA

如何配置

步骤还是和RSA证书一样生成用Openssl私钥和公钥
生成私钥
openssl ecparam -out im66.key -name secp384r1 -genkey
其中name后的密钥长度可以自己改默认256,我改成了384。
保护key文件
chmod 400 im66.key

自签名测试
openssl req -new -sha384 -x509 -key im66.key -out im66_test.crt -days 365
因为是自签名信息随便填.

修改 Nginx 配置
vi /usr/local/nginx/conf/nginx.conf
找到ssl_certificate和ssl_certificate_key 替换
其他部分略:
ssl_certificate im66_test.crt.crt;
ssl_certificate_key im66.key;

重新载入配置
nginx -s reload
sha384ECDSA 閱讀全文

登录 Google.com.hk 也将会自动进入加密搜索

發佈留言

数月前,Google.com主站在登录状态下已经开始默认启用https加密搜索,现在这一功能将在未来数周内扩展到各个Google国家和地区分站域名里,包括https://www.google.com.hk/

这一动作可能也意味着整合Google+搜索结果的Search Plus Your World功能也会很快出现在各个国家和地区的Google分站里,因为它会通过你输入的关键字生成很多个性化的搜索结果,对安全的要求更高。

Via Inside Search

Google 为 https 服务启用 PFS 特性

發佈留言

Google 去年就开始为很多服务推送 https 协议,也就是说不论用户在选项中如何设置,总会访问到网站的加密版本。在这以前,https 只是服务设置中的可选项。譬如说 Gmail 用户 2008 年就可以为账号启用 https,强制使用加密版本。

https 可加密用户计算机与服务器之间的流量。最核心的益处就是保护数据免遭网络窥探。只要网站支持 https,如果使用公用计算机或处于网络当中,而不想让 ISP 或老板知道你在做什么,访问网站的加密版将带来诸多便利。

而在昨天,Google 宣布默认启用更为保密的 PFS 特性。 閱讀全文

登录 Google 搜索默认启用加密,保护你搜索的关键字

發佈留言

在过去几年里 Google 一直在使用SSL协议来不断增强产品的安全性,同时也在倡导整个行业提高安全标准。Google 从2010年1月份开始将SSL作为了 Gmail 的默认设置,4个月之后又在 https://encrypted.google.com 这个域名上开启了一个加密搜索服务。可喜的是其他一些领先的互联网企业也在近几个月内增加了对 SSL 的支持。

由于搜索逐渐成为了一种个性化服务,Google 很清楚保护那些个人搜索结果的重要性。因此,Google 决定优化登录用户的搜索体验。在接下来几周里,当你使用登录帐户访问 Google 的时候,页面会跳转到 https://www.google.com (https 而不是 http)。在这个页面下的搜索内容和结果都会被加密。这对于那些使用不安全网络链接的用户来说相当重要,比如说在咖啡厅使用 Wifi(或者在景德镇上网)。如果你不想登录的话,你也可以直接输入 https://www.google.com 来访问。

这对于那些需要获取 Google 搜索结果的网站意味着什么呢?当你通过 https://www.google.com 来 进行搜索的时候,你所访问的那些网站还会知道你是从 Google 上跳转过去的,但是至于你搜索了什么内容就不得而知了。通过 Google Webmaster Tools,网站方可以浏览在过去一个月内1000条浏览量最高的关键词,从而更准确的了解他们流量的统计信息。但是如果你点击搜索页面上的广告的话,你 搜索的内容还是会被发送给广告商,以便他们来判断广告的效果并改善广告内容。

在逐渐让更多的产品支持SSL的同时,Google 希望能有更多的网站与他们一道行动。这也是他们为什么发布关于SSL的研究结果并对协议的推广提供建议。Google 希望通过增强网页搜索的隐私保护和安全性的能够引领整个行业在更大范围里更有效的部署 SSL 协议。

Via GOB

Google搜索将默认对登陆用户使用SSL加密

發佈留言

“目前Google搜索中支持SSL加密方式的有Web搜索、图片搜索和除地图搜索之外的其他搜索模式。当然,由于计算机需要首先与Google建立安全链接,所以使用SSL加密方式的搜索体验可能比传统模式的搜索会稍微慢一点。

Google英文官方博客今 天发文称,Google将默认对登陆用户使用SSL加密,以更好的保证用户隐私。博文提到:在过去几年里,Google 一直通过使用SSL协议来不断增强服务的安全性,同时也在鼓励整个行业提高安全标准。比如 从2010年1月份开始,我们将SSL作为了 Gmail 的默认设置,4个月之后又在开通了一项加密搜索服务。让我们感到高兴的是其他互联网公司如Facebook和Twitter也在近几个月内增加了对 SSL加密的支持。

对于那些需要获取 Google 搜索结果的网站,SSL加密意味着什么呢? 当用户通过加密方式进行搜索的时候,被访网站会知道用户是来自 Google,但无法得知用户搜索的关键字。通过 Google网站管理员工具,网站主可以看到在过去一个月内1000条浏览量最高的关键词,这样能更准确的了解他们流量的统计信息。但是如果用户点击搜索 页面上的Adwords广告的话,用户搜索的内容还是会传送给广告主,以便他们来判断广告的效果并改善广告内容。”

EFF发布Firefox扩展 自动启用SSL

發佈留言

EFF今天发表了一个Firefox扩展来让用户随时可以加密自己的Facebook, Twitter等网站中的重要数据。
该扩展名为HTTPS Everywhere,可以为Google Search, Wikipedia, The New York Times, The Washington Post, PayPal, EFF, Tor和Ixquick等网站启用HTTPS。

当加密传输被启用后,浏览器的地址栏会变色并加锁,表示第三方无法获取到本次浏览过程中的内容。

SSL 加密的 Google 网页搜索已经上线

發佈留言

加密版Google搜索终于上线了,地址当然就是https://www.google.com。通过加密搜索,一切你发送出去的搜索关键字都会以加密方式传 输,特别适合在公众网络和安全性不高的网络里使用Google搜索,以降低安全风险。

不过你也许注意到了,Google SSL搜索logo里有beta字样,也就是说Google还在进行完善。目前加密搜索只覆盖Google网页搜索,所以在这里你看不到指向地图搜索和图 片搜索的链接,因为它们还都不支持加密搜索,当然Google未来会逐步让其它搜索产品也支持加密。另外,由于SSL连接需要进行加密和解密,所以搜索速 度可能会有所下降。

另外需要注意的是,所谓的加密只是针对网络传输的过程加密,Google那边依然会存储你搜索的内容,以提升搜索质量。

Via Google Blog

Google将在下周开始提供HTTPS搜索以保护隐私

發佈留言

下周,Google I/O就将开始,Mayer和Eric Schmidt将共同为人们展示Google的加密搜索特性。
Google在2008年起于GMail中首次引入HTTPS,用来保护电子邮件访问的安全性,今年1月,Google发生安全问题后,GMail开始全 面默认使用HTTPS加密。

现在,HTTPS将会被部署到Google.com的整个域,以确保加密的搜索过程中不会出现数据泄漏,之后,您在机场访问Google进行搜 索,将不会 有数据被截取的担忧。

HTTPS是对网络安全的中坚力量之一,该协议也被俗称为安全套接字层(SSL),这种技术可以保障网络在传送敏感数据例如金融、医疗信息时不被拦截和盗 取。不过由于网上欺诈和黑客行为越来越猖獗,大多数没电子邮件和其它基于网络的敏感服务没有SSL的保护,因此造成了 相当多的失窃和被监视问题。

Google TCP 混淆器 – 穷人的 SSL

發佈留言

新闻来源:Google Code
基于 SSL 上的 TLS 已经可以为网络传输提供完美的加密和保护,然而并不是所有人都有能力部署 SSL,Google 最近推出 TCP 混淆器(Obfuscated TCP),TCP 混淆器是一个位于 TCP 上的传输层,用来实现数据加密,以阻止或探测网络上越来越猖獗的窃听行为。
如果您是第一次听说 TCP 混淆器,可以看一下以下视频

目前,TCP 混淆器仍处于 Alpha 期。

一些有用的链接

Gmail有充分理由启用SSL加密会话

發佈留言

拉斯维加斯举行的Defcon黑客大会上展示了一种工具,能自动窃取Google Mail非加密会话ID,并进而攻占邮箱.来自旧金山的逆向工程师Mike Perry开发了这一工具,并计划在两周内发布,他表示没有选择SSL的用户现在需要认真对待.当用户登录Gmail 时,网站会向浏览器发送包含ID的cookie文件,它将保留两周时间,除非你选择退出.
问题在于:每次你访问 Gmail,即使是上面的一幅图像,浏览器都会向网站发送cookie文件,这就是使得攻击者能够嗅探通话,通过植入 http://mail.google.com上的图像诱使浏览器发送 cookie,从而获得你的ID.当这一切发生之后,攻击者无需密码就可登录邮箱.Google在上个礼拜介绍了Gmail的新特性,允许用户永久选择 SSL,除验证之外,它将加密Gmail内的所有操作.但Perry抱怨Google不透明,“Google没有解释为什么这项功能是如此重要”.