关注网络安全
和行业未来

七月SSL行业新闻回顾

大事件一:被泄露的私钥和基于假私钥进行的撤回

上个月,我们报告说Spotify和Cisco在应用程序中捆绑了有效证书的私钥。这些证书将根据基准要求被撤销,但应用程序不是泄露私钥的唯一来源。Koen Rouwhorst发现了各种属于GitHub存储库中的有效证书的私钥。你甚至能通过标准文件名(如server.key)在相应的网站上下载这些密钥。根据规定,所有被泄露的私钥都必须在24小时内由证书颁发机构撤回。于是如何彻底地测试这种密钥泄露成为了难题。(比方说,本文作者成功使用山寨密钥请求赛门铁克撤回证书。)(赛门铁克做出了如下回应。)

大事件二:TLS拦截引发争议

TLS工作组目前正在讨论Matthew Green关于如何使用静态Diffie-Hellman允许被动TLS解密的建议。这个讨论是由某银行组织抱怨TLS1.3移除了旧的RSA密钥交换而引发的。

近来,TLS邮件列表上的那些冗长的讨论以及布拉格IETF会议上的辩论都由此展开。然而至今仍没有达成什么明确的共识。斯蒂芬·切科维(Stephen Chekoway)撰写了辩论的总结。 来自Cloudflare的Nick Sullivan在发言中涵盖了争议。

本月短新闻

稿源: Feisty Duck

评论 抢沙发