信息來源：Freebuf

大事件一：思科和Spotify在應用程序中發(fā)送私鑰

2017年6月度發(fā)生的幾起應用程序傳輸私鑰事件引發(fā)了業(yè)界關注。包括思科、Spotify、Github、Dropbox和 Discord在內的多個知名應用均被發(fā)現(xiàn)把私鑰傳給了客戶端。 所幸這些證書都是之前已知且已被撤銷的。

在大多數(shù)情況下，證書的意圖是為了讓應用程序打開本地Web服務器，以便公司的Web服務可以在瀏覽器中與服務器進行通信。隨著越來越多的網(wǎng)頁移動到HTTPS，如果本地服務器沒有有效的證書，則此過程將被阻止。

人們對于瀏覽器是否應將本地主機IP（例如127.0.0.1）視為安全來源的問題進行了討論。就算本地主機使用的是未加密的HTTP協(xié)議傳輸也能稱作“安全”嗎？未來的瀏覽器可能允許這種做法，而不需要運送證書和密鑰。但是，CA或瀏覽器的基準要求禁止這種做法。如果私鑰公開，則相應的證書會被撤銷。

短新聞

1.The Register報告稱Microsoft Azure平臺上的OCSP裝訂問題已經給Firefox用戶帶來了問題。 尚不清楚技術細節(jié)。

2.Alexa排名前100萬的HPKP網(wǎng)站數(shù)量已從187個增加到了6000多個?？赡苁且驗門umblr為其所在站點啟用了HPKP。

3.StartCom證書不再受主流瀏覽器的信任。 Mozilla安全政策郵件列表的一篇文章報告指出，StartCom最近發(fā)布了幾個虛假證書。

4.一篇研究論文提出了SIDH密鑰交換的改進算法。超奇異中原衍的Diffie-Hellman（SIDH）是針對后量子密鑰交換提出的方法。

5.針對BLISS簽名方案的側通道攻擊被發(fā)現(xiàn)。 BLISS是一種基于格子的后量子簽名算法。

6.研究發(fā)現(xiàn)，GnuTLS中的漏洞可能導致空指針和崩潰。 這個bug是用tlsfuzzer工具找到的。

7.包含證書透明度的crt.sh Web界面現(xiàn)在允許直接使用SQL查詢來搜索證書。

8.Mozilla開發(fā)商April King在過去一年的Alexa排名前100萬的幾次掃描揭示了各種安全功能的變化，包括與TLS相關的功能，如HSTS和HPKP。

9.Dyn) and Cloudflare have enabled support for CAA records in their DNS servers.

10.DigiCert為其他證書頒發(fā)機構打開了其證書透明度日志。

11.Red Hat在一篇長文中解釋了Red Hat Enterprise Linux 7.4中安全和加密功能的變化。其中包括了對舊TLS功能的廢棄。 

12.Google Project Zero的Tavis Ormandy在互聯(lián)網(wǎng)上的PDF文件中發(fā)現(xiàn)了幾個未公開的中間證書。 證書機構必須公開披露中間證書，這些證書是受瀏覽器信任的，但是他們經常沒有這樣做。

13.Talos在MatrixSSL的X.509解析中報告了一個堆棧覆蓋漏洞。

14.一篇論文研究了用量子計算機打破當前公鑰算法所需的量子位。 其實驗結論是，橢圓曲線算法比RSA更容易打破量子計算機。

15.FreeRADIUS中的一個漏洞允許繞過TLS認證。

16.web應用開發(fā)工具Preact-CLI被發(fā)現(xiàn)存在嚴重漏洞。 該工具為開發(fā)目的提供證書和私鑰。其捆綁的證書是一個證書頒發(fā)機構。也就是說，如果使用Preact-CLI的開發(fā)人員在瀏覽器中接受該證書，那么他很容易受到由該證書頒發(fā)機構簽署的證書的中間人攻擊。

17.微軟在近期的博文和白皮書中提供了如何測試軟件和基礎架構與最新的TLS版本TLS 1.2的不兼容性的建議。由于諸如Lucky Thirteen的存在，TLS1.0和TLS1.1已失去青睞。

18.EJBCA是用于管理證書頒發(fā)機構的Java軟件，被許多TLS證書提供商使用。 在一系列博文中，EJBCA的開發(fā)人員提供了該軟件當前狀態(tài)的概述。

19.來自Fox-IT的研究人員對AES進行了TEMPEST攻擊。 通過測量電磁波，他們能夠重建長達1米的AES密鑰。

20.Guido Vranken使用libFuzzer在OpenVPN中發(fā)現(xiàn)了幾個漏洞。如何正確使用橢圓曲線加密方法備受爭議。研究人員指出，Ed25519簽名方案的不正確使用導致了CryptoNote加密機制中的漏洞。 Curve25519也受到了不少質疑。