Cloudflare正式推出Encrypted Client Hello (ECH)以增强用户隐私

Cloudflare正式推出Encrypted Client Hello (ECH)以增强用户隐私 Cloudflare宣布推出其最新的网络安全技术Encrypted Client Hello (ECH)，此技术旨在进一步加固用户的在线隐私，特别是在TLS握手过程中的Server Name Indication (SNI)部分。通过ECH技术，用户在访问启用此功能的Cloudflare托管网站时，其访问信息将仅为用户本身、Cloudflare和网站运营者所知，每次您访问Cloudflare上启用了ECH的网站时，服务器名称都会看起来一样。每个TLS握手在看起来都是相同的，它看起来像是试图为cloudflare-ech.com加载一个网站，而不是实际的网站。从而大大降低了第三方恶意窥探的风险。 目前Google Chrome和Firefox等浏览器已经开始加大对ECH的支持，用户只需要在浏览器设置中开启测试选项 about://flags/#encrypted-client-hello 注意: [如需绕过部分封锁的网站需配置无污染DNS服务器或者开启浏览器DOH连接到干净的加密DNS服务器以获取到正确的解析地址] 消息来源：

谷歌抗量子加密惹祸，大量防火墙TLS连接中断

谷歌抗量子加密惹祸，大量防火墙TLS连接中断 Chrome 124 版本默认启用全新的抗量子安全传输层安全(TLS)密钥封装机制 X25519Kyber768，用于保护用户免受即将到来的量子破解威胁。然而，这项新技术却由于兼容性问题导致TLS连接中断，很多用户无法正常连接访问网站、服务器和多家安全厂商的防火墙。

增强 TLS 安全性：谷歌在 Chrome 116 中添加抗量子加密

增强 TLS 安全性：谷歌在 Chrome 116 中添加抗量子加密 谷歌宣布计划从 116 版本开始在其 Chrome 浏览器中添加对抗量子加密算法的支持。 谷歌在中说到：“Chrome 浏览器将从 Chrome 116 开始支持 ，用于在 TLS 中建立对称密钥。 Kyber 被美国国家标准与技术研究院选为通用加密候选方案，以应对量子计算的出现所带来的未来网络攻击。的安全性大致相当于。 该加密算法已被 、 和 IBM 采用。 X25519Kyber768 是一种混合算法，它结合了 X25519 和 Kyber-768 的输出，以创建用于加密 TLS 连接的强会话密钥。 虽然量子计算机造成严重风险预计还需要几年甚至几十年的时间，但某些类型的加密很容易受到一种名为“”的攻击。 这意味着，在 Chrome 浏览器中，我们越早更新 TLS 以使用抗量子会话密钥，就能越早保护网络流量免受未来量子密码分析的影响。

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书 谷歌宣布自 11 月 1 日发布的 Chrome 127 版本开始，不再信任来自 Entrust（或 AffirmTrust）的新 TLS 服务器验证证书，IT之家从报道中获悉，终端用户后续访问使用 Entrust 证书的网站，会看到“ERR_CERT_AUTHORITY_INVALID”警告。

TLS 1.0 和 TLS 1.1 即将在 Windows 中禁用

TLS 1.0 和 TLS 1.1 即将在 Windows 中禁用 微软项目经理 Jess Krynitsky 发布博文宣布，从 2023 年 9 月开始， Windows 11预览版和未来的 Windows 操作系统版本，将默认禁用对 TLS 1.0 和 1.1 支持。需要保持兼容性的用户可以选择重新启用 TLS 1.0 或 TLS 1.1。 Krynitsky 表示，TLS 1.0 可追溯到 1999 年，随着时间的推移，人们在该协议版本中发现了一些安全漏洞。TLS 1.1 于 2006 年发布，在安全性方面做了一些改进，但从未被广泛采用。这些版本早已被 TLS 1.2 和 TLS 1.3 超越，并且 TLS 实现会尝试使用现有的最高协议版本来协商连接。 在过去的几年中，由于各种安全问题，互联网标准和监管机构已经废弃或禁止使用 TLS 1.0 和 1.1 版本。多年来微软一直在跟踪 TLS 协议的使用情况，并认为 TLS 1.0 和 TLS 1.1 的使用数据足够低，可以采取相关行动。

谷歌升级 Chrome 安全浏览功能，为“标准保护”模式下的用户提供实时 URL 保护

谷歌升级 Chrome 安全浏览功能，为“标准保护”模式下的用户提供实时 URL 保护 当地时间周四，谷歌宣布对其 Chrome 中的安全浏览功能进行升级，升级后“标准保护”模式下将通过检查服务器端列表来为用户提供实时 URL 保护功能。多年来，Chrome 将网址与存储在本地的不安全网站列表进行比对，并发出警告。问题是谷歌每30到60分钟才更新一次本地存储的数据库。现在，Chrome 将会把用户正在访问的 URL 发送到服务器，并检查那里快速更新的列表。在隐私方面，谷歌将于 CDN 提供商 Fastly 合作，将加密后的 URL 哈希值发送到 Fastly 独立运营的隐私服务器。隐私服务器随后将删除任何潜在用户标识符。然后通过 TLS 连接将其发送到安全浏览的服务器端数据库，该连接会将您的请求与其他 Chrome 用户发送的请求混合在一起。