信息來(lái)源：Freebuf

大事件一：思科和Spotify在應(yīng)用程序中發(fā)送私鑰

2017年6月度發(fā)生的幾起應(yīng)用程序傳輸私鑰事件引發(fā)了業(yè)界關(guān)注。包括思科、Spotify、Github、Dropbox和 Discord在內(nèi)的多個(gè)知名應(yīng)用均被發(fā)現(xiàn)把私鑰傳給了客戶端。 所幸這些證書都是之前已知且已被撤銷的。

在大多數(shù)情況下，證書的意圖是為了讓應(yīng)用程序打開(kāi)本地Web服務(wù)器，以便公司的Web服務(wù)可以在瀏覽器中與服務(wù)器進(jìn)行通信。隨著越來(lái)越多的網(wǎng)頁(yè)移動(dòng)到HTTPS，如果本地服務(wù)器沒(méi)有有效的證書，則此過(guò)程將被阻止。

人們對(duì)于瀏覽器是否應(yīng)將本地主機(jī)IP（例如127.0.0.1）視為安全來(lái)源的問(wèn)題進(jìn)行了討論。就算本地主機(jī)使用的是未加密的HTTP協(xié)議傳輸也能稱作“安全”嗎？未來(lái)的瀏覽器可能允許這種做法，而不需要運(yùn)送證書和密鑰。但是，CA或?yàn)g覽器的基準(zhǔn)要求禁止這種做法。如果私鑰公開(kāi)，則相應(yīng)的證書會(huì)被撤銷。

短新聞

1.The Register報(bào)告稱Microsoft Azure平臺(tái)上的OCSP裝訂問(wèn)題已經(jīng)給Firefox用戶帶來(lái)了問(wèn)題。 尚不清楚技術(shù)細(xì)節(jié)。

2.Alexa排名前100萬(wàn)的HPKP網(wǎng)站數(shù)量已從187個(gè)增加到了6000多個(gè)。可能是因?yàn)門umblr為其所在站點(diǎn)啟用了HPKP。

3.StartCom證書不再受主流瀏覽器的信任。 Mozilla安全政策郵件列表的一篇文章報(bào)告指出，StartCom最近發(fā)布了幾個(gè)虛假證書。

4.一篇研究論文提出了SIDH密鑰交換的改進(jìn)算法。超奇異中原衍的Diffie-Hellman（SIDH）是針對(duì)后量子密鑰交換提出的方法。

5.針對(duì)BLISS簽名方案的側(cè)通道攻擊被發(fā)現(xiàn)。 BLISS是一種基于格子的后量子簽名算法。

6.研究發(fā)現(xiàn)，GnuTLS中的漏洞可能導(dǎo)致空指針和崩潰。 這個(gè)bug是用tlsfuzzer工具找到的。

7.包含證書透明度的crt.sh Web界面現(xiàn)在允許直接使用SQL查詢來(lái)搜索證書。

8.Mozilla開(kāi)發(fā)商April King在過(guò)去一年的Alexa排名前100萬(wàn)的幾次掃描揭示了各種安全功能的變化，包括與TLS相關(guān)的功能，如HSTS和HPKP。

9.Dyn) and Cloudflare have enabled support for CAA records in their DNS servers.

10.DigiCert為其他證書頒發(fā)機(jī)構(gòu)打開(kāi)了其證書透明度日志。

11.Red Hat在一篇長(zhǎng)文中解釋了Red Hat Enterprise Linux 7.4中安全和加密功能的變化。其中包括了對(duì)舊TLS功能的廢棄。 

12.Google Project Zero的Tavis Ormandy在互聯(lián)網(wǎng)上的PDF文件中發(fā)現(xiàn)了幾個(gè)未公開(kāi)的中間證書。 證書機(jī)構(gòu)必須公開(kāi)披露中間證書，這些證書是受瀏覽器信任的，但是他們經(jīng)常沒(méi)有這樣做。

13.Talos在MatrixSSL的X.509解析中報(bào)告了一個(gè)堆棧覆蓋漏洞。

14.一篇論文研究了用量子計(jì)算機(jī)打破當(dāng)前公鑰算法所需的量子位。 其實(shí)驗(yàn)結(jié)論是，橢圓曲線算法比RSA更容易打破量子計(jì)算機(jī)。

15.FreeRADIUS中的一個(gè)漏洞允許繞過(guò)TLS認(rèn)證。

16.web應(yīng)用開(kāi)發(fā)工具Preact-CLI被發(fā)現(xiàn)存在嚴(yán)重漏洞。 該工具為開(kāi)發(fā)目的提供證書和私鑰。其捆綁的證書是一個(gè)證書頒發(fā)機(jī)構(gòu)。也就是說(shuō)，如果使用Preact-CLI的開(kāi)發(fā)人員在瀏覽器中接受該證書，那么他很容易受到由該證書頒發(fā)機(jī)構(gòu)簽署的證書的中間人攻擊。

17.微軟在近期的博文和白皮書中提供了如何測(cè)試軟件和基礎(chǔ)架構(gòu)與最新的TLS版本TLS 1.2的不兼容性的建議。由于諸如Lucky Thirteen的存在，TLS1.0和TLS1.1已失去青睞。

18.EJBCA是用于管理證書頒發(fā)機(jī)構(gòu)的Java軟件，被許多TLS證書提供商使用。 在一系列博文中，EJBCA的開(kāi)發(fā)人員提供了該軟件當(dāng)前狀態(tài)的概述。

19.來(lái)自Fox-IT的研究人員對(duì)AES進(jìn)行了TEMPEST攻擊。 通過(guò)測(cè)量電磁波，他們能夠重建長(zhǎng)達(dá)1米的AES密鑰。

20.Guido Vranken使用libFuzzer在OpenVPN中發(fā)現(xiàn)了幾個(gè)漏洞。如何正確使用橢圓曲線加密方法備受爭(zhēng)議。研究人員指出，Ed25519簽名方案的不正確使用導(dǎo)致了CryptoNote加密機(jī)制中的漏洞。 Curve25519也受到了不少質(zhì)疑。