本月大事件:Gmail开始使用MTA-STS
MTA-STS,最近发布的一个标准,用于支持邮件服务器之间更安全的TLS连接。尽管一些电子邮件提供商已经发布了入站连接的MTA-STS策略,但Gmail是第一个实际检查这些策略的电子邮件提供商,并在连接的两侧实现MTA-STS。
长期以来,邮件服务器之间的TLS连接是通过STARTTLS功能实现的。但是,这些连接从未经过正确的身份验证,并且容易受到降级和中间人攻击的影响。
使用MTA-STS(去年9月作为RFC发布),邮件服务器所有者可以在标准化子域(MTA-STS)上发布证书验证策略,并通过DNS表明他们有这样的策略。与HSTS类似,这些策略具有生命周期,因此邮件服务器可以存储它们。永久性网络攻击者仍然可以阻止服务器获取策略,但是想要临时访问网络连接的攻击者是无法侦听或操纵连接的。
MTA-STS得到了许多大型电子邮件提供商的支持,很快大多数电子邮件的连接都将支持MTA-STS。尽管发布策略相对简单,支持出站MTA-STS需要邮件服务器软件的适当支持。Courier邮件服务器最近在1.0.7版本中增加了对MTA-STS支持。Postfix还不支持开箱即用,但可以使用外部模块。
本月短新闻
- 在axTLS中发现了缓冲区溢出,并在1.5版本中修复。
- 来自Mozilla的Kathleen Wilson在一篇博客文章中解释了Common CA Database (CCADB) 。
- Andrew Ayer解释了部署MTA-STS面临的挑战,并在一篇博客文章中提供了DNS提供商自动部署MTA-STS的方法。
- 来自Mozilla的Wayne Thayer表达了对证书颁发机构Certinomis的担忧,并开始在维基页面记录Certinomis的问题。
- Nonce-misuse-resistant 加密模式AES-GCM-SIV已作为RFC发布。
- 一篇研究论文研究了基于故障的椭圆曲线密码攻击。
- 荷兰国家网络安全中心(NCSC)发布了TLS部署指南,重点针对TLS 1.3。
- 通过流量侧信道,研究人员能够识别Netflix互动电影《Black Mirror: Bandersnatch》中的用户选择。
- Node .js 12.0.0增加了对TLS 1.3的支持。
- GnuTLS 3.6.7修复了两个memory-corruption安全漏洞。
- 来自Trail of Bits公司的一篇博客文章解释了TLS 1.3中0-RTT连接的风险。
- NCC Group的研究人员展示了如何从高通(Qualcomm)芯片的硬件密钥库中提取密钥,许多移动设备都使用高通的芯片。
- 在TLS 1.3预共享密钥模式中发现了一个弱点,将其命名为Selfie攻击。虽然实际影响很小,但值得注意的是,在TLS 1.3协议的正式验证过程中却没有发现此弱点。
- EverCrypt第一版已经发布。EverCrypt是一个提供已被正式验证正确性的加密算法的库。
- SentinelOne的一篇博客文章解释了domain fronting的背景和状态。(在去年的May newsletter.,我们开始关注domain fronting。)
- 一篇博客文章解释了带有HTTPS安全指示器的URL栏如何被移动浏览器上的web页面伪造。
文稿来源:Feisty Duck