本月大事件:Comodo易主引争议
不久之前,证书颁发机构中的龙头老大赛门铁克将其CA业务卖给了竞争对手DigiCert。如今,另一个CA巨头也易主了。Comodo的CA业务现为Francisco Partners所有。
毫无疑问,CA行业正在发生大变化。Let's Encrypt在崛起和获得巨大成功的同时,也给整个行业展现了一种新的商业模式。浏览器厂商提出的更严格的安全要求让传统CA行业老大的赛门铁克出局。当CA们易主和合并时,Mozilla发布了关于信任问题的声明。
Comodo的新老板可能会引发另一个问题:Francisco Partners还拥有70%的NSO集团股份,该集团开发了政府间谍软件”飞马“。 这个间谍软件在2016年上过头条新闻,当时西铁城实验室透露,它在iOS中使用了几个零日漏洞攻击阿联酋的维权人士艾哈迈德•曼索(Ahmed Mansoor)。不过近期,Francisco Partner正尝试卖掉在NSO集团的股份。
短新闻
- OpenSSL修复了两个安全漏洞。一个是模块幂运算的另一个进位错误。 以前发现过两个类似的错误。 这个bug是由Google的OSS-Fuzz项目发现的。 另一个漏洞是在X.509解析器中读取的越界。
- 亚马逊宣布将转移到自己的证书颁发机构的计划及细节。
- 在IMC会议上发表的一篇研究论文调查了证书透明度,HSTS,HPKP,CAA,TLSA和SCSV等HTTPS安全特性的部署。
- Cloudflare开始运行证书透明度日志。
- Chrome和Firefox的最新版本在通过不安全连接使用带有密码字段的表单时引入了警告。 Troy Hunt发现了一个页面,通过伪造一个自定义字体的密码表单而不是部署HTTPS来避免这种情况。
- Savitech公司的USB音频驱动程序被曝安装了一个不需要的根证书。
- Certstream是一项允许在证书透明度日志中添加新添加的证书流的服务。可通过网页或API访问。
- 新的ARM处理器会得到一个标志来请求来自CPU的恒定时间操作。 为了避免定时攻击,恒定时间操作对于密码很重要。
- fly.io服务在详细的博客文章中描述了他们如何使用Let's Encrypt和ACME进行证书自动化。
- Cloudflare的Vlad Krasnov写了两篇关于密码编程性能问题的博文。 他发现了一个与Go的垃圾收集有关的问题,另一个与CPU频率缩放,AVX-512和ChaCha20实现有关。
- 最新的Mozilla Firefox安全更新包含针对混合内容的漏洞修复。 从HTTP到HTTPS的转发允许在HTTPS页面上混合内容而不发出警告。
- 在Arxiv上发表的研究论文调查了Web和应用程序服务器的默认TLS配置。
- StartCom宣布将终止其业务。 去年各种事件发生后,CA从浏览器中删除。 尝试被纳入浏览器面临困难,由Cure53公司进行的审计揭示了他们新基础设施中的许多安全问题。 在出现问题之前购买StartCom的公司Wosign可能会重新申请浏览器,现在名为WoTrust。 这导致了Mozilla安全策略邮件列表的漫长讨论。
- Curl已经宣布它将来只接受HTTPS镜像。
- Curl修正了SSL / TLS代码中的一个小问题。
- NetTrack发布了关于证书颁发机构的显着份额的统计数据,Let's Encrypt表现出了惊人的增长。
- 证书透明编校是一个有争议的提案,可以允许在公共日志中隐藏主机名。 在Mozilla wiki中,总结了赞成和反对的论点。
- 研究论文提出了一种更快的方式做超奇异根据中原衍-密码。 超级同源是执行后量子密码的一种方法。
- 11月30日是NIST召集postquantum算法标准化的最后期限。 Jean-Philippe Aumasson有已知提案的清单。
- 来自Amazon的s2n库的开发人员写下了他们改进随机数生成器和解决分支问题的过程。 这包括Linux内核和glibc中的一个新功能,也被其他实现(如OpenSSL)使用。
- DNS over TLS正在崛起。Quad9 DNS服务器可在IP 9.9.9.9下使用,支持DNS over TLS。 荷兰SURFnet公司也运行DNS over TLS服务器。
- Tenta DNS是一个在Go上编写的DNS服务器,它支持DNS over TLS。
- AWS证书管理器支持通过DNS进行证书验证。
- 无人驾驶飞机制造商DJI的几个安全问题以及与安全研究人员缺乏专业交流的描述最近引起了强烈的关注。 这些问题包括TLS证书的私钥泄漏。
- TLS 1.3草案现已更改,使其看起来更像TLS 1.2。 Mozilla提供了初步实现和测试服务器。
- 丹·伯恩斯坦(Dan Bernstein)发表了一篇博客文章,描述他和Tanja Lange如何根据现有的初步信息对英飞凌RSA芯片的ROCA漏洞进行反向工程。 西班牙国民身份证芯片也受到该漏洞影响。
- Hardenize服务添加了一项功能来监视证书透明度日志。
稿源:Feisty Duck