2018年恶意勒索软件急剧增加,是SSL证书的原因?

攻击者正在使用HTTPS来携带恶意软件,这意味着公司需要对SSL数据包进行DPI以防范它,SonicWall首席执行官比尔康纳在今年的RSA会议上与TechRepublic讨论了恶意软件和勒索软件的增加,以及他的公司如何准备应对这一问题。

 

 

如果证书未在公共证书日志中注册,则用户将看到一个页面,说明该站点不符合ChromiumCT策略,商业网站必须使用公共证书日志注册其SSL证书,以保持Chrome中的证书透明度,如果未注册,网站会在用户访问Chrome浏览器时向用户显示整页警告。

 

这是正式的May,这意味着如果您的公司网站的SSL证书未在公共证书透明度(CT)日志中注册,您的用户将面临障碍,为了在Chrome中强制执行CT,浏览器很快就会向没有记录证书的HTTPS网站的任何访问者发送整页警告。

 

谷歌的负责人最初注意到2月份Google网上论坛帖子的变化,在帖子中,O’Brien写道:“2018年4月30日之后颁发的所有TLS服务器证书必须符合ChromiumCT政策,”该负责人在帖子中还指出,“不符合CT标准的https连接服务的子资源将无法加载,并且会在ChromeDevTools中显示错误。”

 

此更改的负担落在证书颁发机构(CA)上,但是,正如Bleeping计算机所指出的那样,许多CA获得了即将发生的变化,并在需要之前开始记录证书,知道该政策不具有追溯力也是很好的,因此大多数旧证书都应该是好的。

 

但是,原始帖子指出,某些商业用户也有例外情况,“为了满足某些企业的独特需求,我们会制定Chrome策略来禁用托管设备上的CT实施以及已登录的托管用户在他们的个人设备上使用Chrome。”帖子说,“除了现有的通过URL禁用CT执行的能力之外,Chrome还将添加一项策略,允许组织为仅向该组织颁发证书的CA禁用CT强制执行。”

 

上一篇:

:下一篇

相关文章