Clik here to view.
CloudFlare 提供的 SPDY + HTTP/2 patch 可以在 nginx 1.11 上面跑了...
SPDY 對行動裝置還是很重要,尤其是 Android 裝置在 5.0 之後才有支援 HTTP/2,但在 3.0 之後就有支援 SPDY,也就是超過一半的 Android 用戶只有 SPDY 但沒有 HTTP/2 能力: 查資料的時候發現當初 CloudFlare 提供的 SPDY + HTTP/2 patch 本來只能對 nginx 1.9.7 更新 (參考之前寫的「CloudFlare...
View ArticleLet's Encrypt 支援 IPv6 了
Let's Encrypt 的公告出來了:「Full Support for IPv6」。 之前在看 http-01 challenge 時都是走 IPv4 認證,現在宣佈可以走 IPv6 了: Let’s Encrypt is happy to announce full support for IPv6.
View ArticleClik here to view.
Google Chrome 52 預設開啟了更快的 QUIC (被戲稱為 TCP/2)
在「Google’s QUIC protocol: moving the web from TCP to UDP」這篇前半部在介紹 QUIC (走 UDP 的 TLS),後半部則提到了幾個重點。 首先是 Google Chrome 從 52 開始 (也就是現在的 stable 版) 預設會開啟 QUIC (以前是只有 Google 自家的 domain),這讓採用的價值變高: Since no...
View ArticleClik here to view.
Google 產品 (包括 YouTube) 使用 HTTPS 的情況
YouTube 公佈了 Google 產品使用 HTTPS 的情況,這次包括了 YouTube 在內:「YouTube's road to HTTPS」。 Netflix 與 YouTube 在北美是兩個最大的 internet 流量 (Netflix, YouTube video streaming dominate internet traffic in North...
View ArticleGoogle 的 www.google.com 要上 HSTS 了
Google 宣佈 www.google.com 要上 HSTS 了:「Bringing HSTS to www.google.com」。 雖然都已經使用 EFF 的 HTTPS Everywhere 在跑確保 HTTPS,但這個進展還是很重要,可以讓一般使用者受到保護... Google 的切換計畫是會逐步增加 HSTS 的...
View ArticleClik here to view.
Netflix 對 sendfile() 在 TLS 情況下的加速
Netflix 對於寫了一篇關於隱私保護的技術細節:「Protecting Netflix Viewing Privacy at Scale」。 其中講到 2012 年的 Netflix Open Connect 中的 Open Connect Appliance (OCA,放伺服器到 ISP 機房的計畫) 只有單台伺服器 8Gbps,到現在 2016 可以達到 90Gbps: As we...
View ArticleClik here to view.
前陣子在 Black Hat 上發表的 HEIST 攻擊 (對 HTTPS 的攻擊)
又是一個對 HTTPS 的攻擊:「HEIST attack on SSL/TLS can grab personal info, Black Hat」、「New attack steals SSNs, e-mail addresses, and more from HTTPS pages」。 一樣是 Compression 產生的 side-channel attack,只是這次是結合 TCP...
View ArticleSWEET32:攻 Blowfish 與 3DES
最新的攻擊算是實戰類的攻擊,理論基礎以前都已經知道了,只是沒有人實際「完成」。算是近期少數直接對演算法的攻擊,而這些演算法剛好還是被用在 TLS 與 OpenVPN 上,所以嚴重性比較高:「SWEET32: Birthday attacks on 64-bit block ciphers in TLS and OpenVPN」。 攻擊的條件是 block cipher 的 block...
View ArticleOpenSSL 1.1.0
看到「OpenSSL 1.1.0 released」這篇得知大家期待已久的 OpenSSL 1.1.0 出了,在 1.1.0 的重要新功能中,對 ChaCha20 + Poly1305 的支援算是大家等很久的: Support for ChaCha20 and Poly1305 added to libcrypto and libssl 由於 RC4 已經被證明不安全,OpenSSL...
View ArticleMozilla 在考慮移除 WoSign 的 CA Root
雖然平常早就把 WoSign 移除信任,但在「Mozilla考虑对沃通CA采取行动」這邊看到有趣的消息,翻了一下 Gervase Markham 發表的原文還蠻精彩的:「Incidents involving the CA WoSign」。 第一次事件 (Incident 0) 是在 2015/04/23,攻擊者只要能夠證明他能控制某個 TCP port,就會發出 certificate: On...
View ArticleClik here to view.
Google Chrome 56 將會對 HTTP 網站標示「Not secure」
Google Chrome 宣佈從 56 版開始,將會對 HTTP 網站標示「Not secure」:「Moving towards a more secure web」,這是 Google 給的解釋圖片: 另外還更進一步規劃之後的圖示,標成紅色警示: 藉由這樣的表現來更大力推動 HTTPS 化。
View ArticleHPKP 遇到的阻礙
關於 HPKP,可以參考「HTTP Public Key Pinning 介绍」這篇介紹,寫得很清楚。 HPKP 是解決 CA 架構錯發憑證的方案 (無論是無意或是故意),像是最近吵的比較熱的 WoSign 發出 GitHub 的憑證的問題就可以用 HPKP 解。 原理上來說,就是在 HTTP header 裡面指出這個站台所允許的 Root CA 有哪些。所以跟 HSTS 一樣是走 Trust...
View ArticleCloudFlare 把 HTTPS Everywhere 的清單拿到 CDN 上用所推出的產品...
這個產品就如同標題所說的方式而已,做起來不難,只是一直沒人做就是了:「How we brought HTTPS Everywhere to the cloud (part 1)」。 傳統的作法是直接硬幹下去換掉,或是用 header 讓瀏覽器主動轉過去: A naive way to do this would be to just rewrite http:// links to...
View Article把所有 HTTP 網站的 JavaScript 都關閉
一直以為 Google Chrome 的 [*.] 只能用在開頭,剛剛測了才發現可以用在中間,所以就用這樣的方式擋下 HTTP 網站的 JavaScript: http://[*.] 這樣就可以減少 HTTP request 被 hijack 插入 javascript 的問題...
View Articlenginx 1.10.2
之前在「谈谈 Nginx 的 HTTP/2 POST Bug」這邊提到了 nginx 的一個 bug:「當 HTTP/2 的第一個 request 是 POST 時連線會失敗」的問題,這個問題在 mainline 版本的 1.11.0 解決了,但 stable 版一直沒有出新版 back-porting 回來。 而剛剛看到 1.10.2 將 http2_body_preread_size 從...
View ArticleQUIC 的進展
在「New Work in Seoul」這邊看到 QUIC 的消息: The QUIC working group has just been chartered, and will meet for the first time in Seoul. This working group is taking Google’s pre-standardization QUIC protocol...
View Article用 mRemoteNG 取代 PuTTY
由於架構的隔離政策,有些服務需要透過 VM 裡面的 Windows 存取,所以又花了點時間看看 PuTTY 到底有沒有改善下載問題,也就是 2014 年「Downloading Software Safely Is Nearly Impossible」這邊作者提到的問題 (之前在「如何安全下載軟體...」這篇有提過)。 而即時再過了兩年半,還是沒辦法確認你抓到的 PuTTY 是正確的,Let's...
View ArticleGoogle Chrome 將在 2017 的 56 版停止支援 SHA-1 SSL Certificate
在明年一月的 Google Chrome 56 將會停止支援 SHA-1 SSL Certificate:「SHA-1 Certificates in Chrome」,唯一的例外是自己建立的 CA,主要是給企業內部用的: Starting with Chrome 54 we provide the EnableSha1ForLocalAnchors policy that allows...
View ArticleMozilla 也在考慮對 Certificate Transparency 的掌握度
由於 Firefox 要支援 Certificate Transparency 的緣故,在「Mozilla CT Policy」這邊 Mozilla 在討論要建立自己的 CT policy 以及自己的架構: CT is coming to Firefox. As part of that, Mozilla needs to have a set of CT policies surrounding...
View ArticleGoogle 測試 CECPQ1 的一些資料...
七月的時候提到「Google Chrome 引入 CECPQ1,開始測試 Post-Quantum Cryptography」,剛剛看到 Adam Langley 寫了一些數據出來:「CECPQ1 results」。 目前看起來對於網路速度不快的使用者會影響比較大,最慢的 5% 使用者大約慢了 20ms,最慢的 1% 使用者會慢 150ms: Although the median...
View Article
![[Billion Meta Lab] 反转·血色百合 Omagoto...](http://pic.microseventh.eu.org/i/2026/01/09/69611dafa7f9f.png)
