本月大事件:赛门铁克把证书CA业务卖给了DigiCert
经历了漫长的讨论和协商,谷歌在七月末宣布了对赛门铁克证书的最终计划和进度表。基于之前的一系列时间,谷歌将逐步移除对现存赛门铁克根证书的在Chrome浏览器的信任。其终极计划比谷歌官方之前提出的草案要宽松很多,并延长了转移周期。Mozilla随后宣布将跟随谷歌的步伐;其余厂商并未对该事件作出任何反应。
此后不久,赛门铁克宣布将旗下CA业务转卖给DigiCert。
短新闻
- StartCom已经向Mozilla提交了一个新的根证书。然而,对于这个根已经签署了不符合基准要求的各种证书的事实,有一些担忧。
- Oracle和SafeLogic宣布将支持创建与FISS兼容的OpenSSL 1.1变体。
- Kurt Roeckx已将OpenSSL软件包上传到Debian,旧的TLS版本1.0和1.1被禁用。这一做法可能导致旧设备与TLS 1.2的兼容问题,因而在达到DebianStable前还需等待一段时间。另一方面,老版本的TLS版本也被推翻:信用卡标准PCI DSS将在明年6月之前禁用TLS 1.0,并快速发布其TLS 1.0和1.1版本的更新计划的时间表。
- David Hulton在SHA 2017发表演讲,介绍他的DES破解服务。
- Praveen Vadnala和Lukasz Chmielewski在2017年的SHA演讲中对OpenSSL的RSA实施提供了侧向渠道攻击。还发表了一篇描述攻击的短文。
- BoarSSL是C#中的新的TLS库,用于测试。由BearSSL的作者开发,用于测试。
- Fabrice Boudot发布了对数字字段筛选的算法改进,可用于加速对RSA和Diffie-Hellman的攻击。
- TLS拦截工具的一个众所周知的问题是它们几乎总是降低TLS连接的安全性。 Dormann将测试两种产品 - Untangle NG防火墙和Entensys Usergate UTM,并发现了其中的各种安全问题。
- 微软宣布,它将不信任WoSign和StartCom的证书,跟随Google和Mozilla在几个月前采取同样的行动。
- Antonio Sanso发现了NSS(Mozilla)和Java(Oracle)的椭圆曲线实现中的bug。对于某些输入,该函数不应该返回无限远的点。但是,据Sanso说,这是不可能的。
- J. C. Jones提供了证书吊销列表的概述,并在博客文章中与他们进行了几个测试。
- GnuTLS的主要开发人员Nikos Mavrogiannopoulos在他的博客上概述了新版本3.6.0的变化。
- Scott Helme撰写了一篇博客文章,讨论了HPKP的缺点。
- Ntru Prime算法的实现已经由Daniel J.Bernstein等发表。 NTRU Prime是NTRU的一个变体,也是后量子密码学的黑马。
- Google的OSS-Fuzz项目已经发现了OpenSSL X.509证书解析器中的缓冲区覆盖。
- 来自Google和Mozilla的开发人员已经在USENIX安全会议上发布了有关采用HTTPS的统计数据。
- 近日出现了许多违反认证机构基准要求的事件,Mozilla Wiki中包含了一个概述。值得注意的是,Jonathan Rudenberg已将大部分事件报告给Mozilla的开发安全政策邮件列表,这是对CA生态系统感兴趣的人们推荐的资源。
- Scott Helme发布了Alexa前100万列表中的安全功能分析,包括HTTPS部署,EV证书分发和几个与HTTPS相关的标头。
稿源:Feisty Duck