在刚刚过去的2月里SSL行业发生了哪些事
发布网友
发布时间:2022-04-21 22:02
共2个回答
热心网友
时间:2023-06-28 16:15
SSL行业,2月里面发生的重要动态:
TLS 1.3已经获得IETF的批准; 最终的RFC可能会很快推出。
即将完成的TLS 1.3再次开始了关于拦截代理和数据中心可见性的讨论。 英国国家网络安全中心参加了这场辩论,但是正如Adam Langley指出的那样,有一些事实上的错误主张。 特别是,在1.2版本之前的TLS版本中,截取流量方法的一些误解是造成延迟TLS 1.3几个月的部署问题的原因。 在伦敦的IETF会议上,可见性问题也再次提出。
OpenSSL正试图将其代码更改为Apache许可证。 他们现在正在寻找最后的贡献者,目前还没有得到他们的更改许可证的批准。
*推出了一项功能,该功能将主动将HTTP链接重写为HTTPS,以获取位于HSTS预载列表中或设置HSTS标头的URL。
NSS发布了3.36版本,并将其Chacha20算法替换为HACL *项目的正式验证版本。
谷歌解释了其最终计划,摒弃下个月的一些赛门铁克证书以及今年晚些时候的所有剩余的证书。 正如我们上个月报告的那样,仍然有许多网站使用这些证书,这些证书很快就不再受信任,并且已经在Firefox Nightly和Chrome Beta版本中引发警告。 Mozilla TLS天文台提供了有关该主题的一些新数据。
Apple已经对HSTS进行了一些更改,以防止滥用用户跟踪功能。
Android P将加强对应用程序中TLS流量的需求,如果开发人员未明确选择加密流量,则会阻止所有非TLS流量。
Mozilla通过HTTPS测试DNS的实验引起了一些争议。 这意味着DNS查询会通过加密通道转到Mozilla控制的服务器。 从隐私的角度来看,这既有利也有弊:流量本身是加密的,无法读取,但是一个*服务器(在Mozilla的情况下,使用Cloudflare)可以访问大量的用户DNS数据。
自动化证书颁发的ACME规范正在终审,并可能很快成为IETF RFC。
encrypted.google.com子网域提供了一种通过HTTPS访问Google搜索引擎的可选方式。 现在已经被弃用了,因为搜索引擎默认已经通过HTTPS访问了一段时间。
Hanno Böck 发布了WolfSSL库中堆栈缓冲区溢出的详细信息。
Let's Encrypt现已支持通配符证书。
LibreSSL修复了2.7.1版中的证书验证漏洞,由Python开发人员Christian Heimes发现,他也在Python本身中实现了一种解决方法。
OpenSSL修复了两个漏洞,ASN.1解析器中的堆栈耗尽以及CRYPTO_memcmp函数的HP-UX / RISC汇编代码中存在的一个错误。
研究人员发表了一篇论文,分析证书透明度日志中的证书与基准要求的一致性。
与其他浏览器一样,Safari在用户使用未受保护的HTTP页面上的表单时也会警告用户。
CurveSwap是可能出现的理*击情形,因为部分TLS握手未经过身份验证。一篇研究论文以此为出发点来研究椭圆曲线密码学的另类应用。
Cloudflare宣布其证书透明日志,名曰Nimbus。
Tinydoh是基于HTTPS的DNS的Go实现。
越来越多的公司和项目宣布弃用旧的TLS版本1.0和1.1,包括:证书颁发机构DigiCert,KeyCDN公司和Python包存储库PyPI。
从4月份开始,Chrome需要从证书透明度日志中获取所有新证书的SCT。Let's Encrypt已经开始自动将它们嵌入到所有新证书中。
Mike West写了一个提案,以*通过不安全的HTTP连接发送的cookies的有效期。
Vodafone葡萄牙公司重写了HTTP请求的内容安全策略标头。ISP对HTTP的商业化操纵是所有静态网页都应该使用HTTPS的理由之一。
Kudelski安全公司解释了Manger对RSA OAEP的攻击。
Adam Langley写了一篇关于Cloudflare和Google的测试,以确定TLS 1.3中后量子密钥交换的可行性。后量子算法通常带有更大的密钥大小;该实验通过向TLS握手添加虚拟扩展来模拟这一点。于测试,思科的研究人员已经建立了一个实验性的后量子PKI,使用X.509扩展为证书添加后量子能力。
Mozilla的Franziskus Kiefer写了篇关于Mozilla在HACL项目中使用正式验证的加密技术的博文
OpenSSL发布了关于RSA密钥生成中的时间问题的建议。相应的研究论文已经发表在Cryptology ePrint Archive上。
一篇论文探索了用其他实现来动态替换OpenSSL中的加密算法,在某些情况下提速显著。
论坛供应商Discourse默认博客支持HTTPS。
Ian Carroll又一次以“Stripe,Inc.”的名义为其子域名之一申请扩展验证证书。他已经用该名称注册了一家公司,而该公司并非知名的支付提供商Stripe。这点表明扩展验证证书没有多大价值。证书颁发机构GoDaddy已经吊销了该证书,这反过来又引发了关于撤销是否合法的辩论。 Scott Helme在博客文章中讨论了这场辩论。
一篇研究论文调查Java密钥库的安全问题。
托管官方jQuery库的域的证书已过期,并导致大量网站崩溃。因为通常的做法是从上游主机中包含jQuery并且不在本地托管它。
testssl.sh工具已发布3.0测试版,包括支持TLS 1.3,检测ROBOT漏洞以及支持OpenSSL 1.1。
Bouncy Castle的RSA密钥生成算法的一个缺陷可能会导致素数测试的数量太低。如果可能性很低,则可能导致产生弱密钥。
BGP劫持被用来攻击Ethereum网站MyEtherWallet的访问者。这引发了一些关于BGP漏洞被用来伪造证书发布的风险的讨论 - 尽管在这种情况下没有发生这种证书伪造。洞被用来伪造证书发布的风险的讨论 - 尽管在这种情况下没有发生这种证书伪造。 Cloudflare的博客文章解释了细节。这种攻击情景并不新鲜;它在2015年黑帽会议和研究论文中进行了讨论。
热心网友
时间:2023-06-28 16:15
二月最重大的IT安全新闻莫过于由谷歌研究员Tavix Ormandy发现的Cloudbleed事件。尽管不与TLS有直接联系,该bug还是影响了HTTPS链接的安全问题,因为所涉及的被泄密内容来自服务器且不在加密通道。
德国IT新闻网站Golem正式使用HTTPS。
EdDSA椭圆曲线签名算法由IETF作为RFC 8032正式发布。
Citrix为GCM加密算法发布了一个更新修复随机乱数生成。
Filippo Valsorda在会话票处理F5 BIG-IP设备泄露内存时发现了一个bug。 鉴于该bug类似于Heartbleed,它被命名为Ticketbleed。
Jean-Philippe Aumasson发现了mbedTLS中的一个错误,允许由于整数溢出而使用RSA-PSS伪造签名。Aumasson ARM公司指出,开发mbedTLS的公司确认已收到报告,但后来没有跟进。
由于提供商“Fastly”基于PCI DSS(信用卡)标准的改动,Python的PyPI系统的服务器将很快淘汰旧的TLS版本,并且只支持TLS 1.2。
来自Google的Ryan Sleevi在CA/B Forum中提议将证书的有效期限为398天。这一做法将有益于推动证书生态的发展。然而该提议被大多数CA否决:24票反对,仅Let's Encrypt一家投了支持票。
浏览器通常缓存的中间证书可被用作识别浏览器用户的指纹机制。
OpenSSL修复了Encrypt-then-MAC扩展的处理中的安全漏洞。 该漏洞可能会导致服务器和客户端崩溃,并仅影响1.1.0版本的OpenSSL。
Chrome开发人员Chris Palmer在博文中解释了Chrome的HTTPS证书的用户界面中的更改。
NCC集团的加密服务已完成对Cloudflare TLS1.3的审计
Mozilla开发者Tim Taubert解释了TLS 1.3中会话恢复的变化对于前向保密的意义。
TLS测试工具SSLyze发布了版本1.0.0.
经过漫长的争论,Ruby的安全随机数生成器现已采用系统随机数生成器。
Caddy网页服务器正在开发一种用以检测TLS中间人设备的新功能。
Go 1.8版本包含对其TLS堆栈的多个改进,包括对X25519和ChaCha20-Poly1305的支持。
CA安全理事会已经发布了对他们希望如何处理网站标识的认可。
