微软不慎暴露Dynamics 365沙盒TLS证书超过100天

软件开发人员马提亚斯 ·格利卡发现，微软意外暴露Dynamics 365 TLS（安全传输层协议）证书和私钥100余天，获取证书的攻击者能访问任何沙盒环境，从而发起中间人攻击。

互联网协议正在发生变化

HTTP 2 的多路复用允许一个 TCP 连接发送许多个请求，它使用 TLS 1 2 加密，屏蔽了被认为不安全的加密算法。QUIC 最初作为一个 HTTP-over-UDP 用例

互联网核心协议三十年的变化与演进

最终，HTTP 2 允许多个主机的请求被 合并到一个连接上，通过减少页面加载所使用的连接（从而减少拥塞控制的场景）数量来提升性能。协议设计者不能使用加密的扩展点不经常使用的情况下，人为地利用扩展点——我们称之为 润滑 它。

美国应用交付网络F5 Networks产品存在高危漏洞

领域的F5 Networks产品存在一处高危漏洞（CVE-2017-6168、CVSS 分值为 9 1），允许黑客远程恢复加密数据并发动中间人（MitM）攻击。

思博伦支持全新安全传输层协议（TLS）

近日，思博伦通信宣布了其旗舰安全测试解决方案CyberFlood的更新版本，使之成为业界第一个支持TLS 1 3全新加密协议的安全测试解决方案，为全球互联网用户的安全性和隐私提供全面保障。

谷歌威胁取消赛门铁克SSL/TLS证书信任

谷歌警告称，强烈反对并将移除赛门铁克颁发的SSL TLS证书。谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL TLS证书，理由是赛门铁克未能恰当地验证所颁发的证书。

无需解密：在TLS加密连接中揭开恶意软件的面纱

思科一组研究员认为，TLS(传输层安全)隧道中的恶意流量可在不解密用户流量的情况下，被检测并封锁。这些特征包括：流元数据(输入输出的字节、包、网络端口号、流持续时间)；包长度和时间的序列；字节分布；TLS头信息。

安全与性能可以兼得：优化SSL/TLS保障网站安全

如果企业仍需要支持不能使用SHA-2的用户，不妨考虑利用一个能够选择最高安全的证书，并且用户的浏览器还要支持。