網站憑證是用來辨別網站可信度的一個重要工具,不過有時候就連大企業也會忘記更新憑證。最近 Microsoft 就竟然忘記更
certificate
日前 Mozilla 發表報告指,為了繼續提供不安全的 SHA-1 加密,中國憑證機構 WoSign 偽造憑證的發行日期;此外 WoSign 被指收購同行 StartCom 時沒有披露擁有權變更,違反 Mozilla 政策,Mozilla 旗下產品因此準備不會信任 WoSign 新發的憑證最少一年。報告又指,為 WoSign 核數的安永香港(EY)未有察覺問題。
瀏覽網站時如果要輸入敏感資料,應盡量使用有 HTTPS 加密連線的網站。但由於 HTTPS 認證程序繁瑣,又耗費不少金錢和時間,並不是所有網站均採用。去年由 Electronic Frontier Foundation 與 Google,Microsoft,Apple 和 Mozilla 共同組成的 HTTPS 認證組織 Let's Encrypt 終於宣布已發出首張數碼證書,並展開免費測試計劃,期望在未來推動全球網站採用 HTTPS 加密連線。
