六月SSL行业新闻回顾

• The Register报告称Microsoft Azure平台上的OCSP装订问题已经给Firefox用户带来了问题。 尚不清楚技术细节。
• Alexa排名前100万的HPKP网站数量已从187个增加到了6000多个。可能是因为Tumblr为其所在站点启用了HPKP。
• StartCom证书不再受主流浏览器的信任。 Mozilla安全政策邮件列表的一篇文章报告指出，StartCom最近发布了几个虚假证书。
• 一篇研究论文提出了SIDH密钥交换的改进算法。超奇异中原衍的Diffie-Hellman（SIDH）是针对后量子密钥交换提出的方法。
• 
针对BLISS签名方案的侧通道攻击被发现。 BLISS是一种基于格子的后量子签名算法。
• 研究发现，GnuTLS中的漏洞可能导致空指针和崩溃。 这个bug是用tlsfuzzer工具找到的。
• 包含证书透明度的crt.sh Web界面现在允许直接使用SQL查询来搜索证书。
• Mozilla开发商April King在过去一年的Alexa排名前100万的几次扫描揭示了各种安全功能的变化，包括与TLS相关的功能，如HSTS和HPKP。
• Dyn and Cloudflare have enabled support for CAA records in their DNS servers.
• DigiCert为其他证书颁发机构打开了其证书透明度日志。
• Red Hat在一篇长文中解释了Red Hat Enterprise Linux 7.4中安全和加密功能的变化。其中包括了对旧TLS功能的废弃。 
• Google Project Zero的Tavis Ormandy在互联网上的PDF文件中发现了几个未公开的中间证书。 证书机构必须公开披露中间证书，这些证书是受浏览器信任的，但是他们经常没有这样做。
• Talos在MatrixSSL的X.509解析中报告了一个堆栈覆盖漏洞。
• 一篇论文研究了用量子计算机打破当前公钥算法所需的量子位。 其实验结论是，椭圆曲线算法比RSA更容易打破量子计算机。
• FreeRADIUS中的一个漏洞允许绕过TLS认证。
• web应用开发工具Preact-CLI被发现存在严重漏洞。  该工具为开发目的提供证书和私钥。其捆绑的证书是一个证书颁发机构。也就是说，如果使用Preact-CLI的开发人员在浏览器中接受该证书，那么他很容易受到由该证书颁发机构签署的证书的中间人攻击。
• 微软在近期的博文和白皮书中提供了如何测试软件和基础架构与最新的TLS版本TLS 1.2的不兼容性的建议。由于诸如Lucky Thirteen的存在，TLS1.0和TLS1.1已失去青睐。
• EJBCA是用于管理证书颁发机构的Java软件，被许多TLS证书提供商使用。 在一系列博文中，EJBCA的开发人员提供了该软件当前状态的概述。
• 来自Fox-IT的研究人员对AES进行了TEMPEST攻击。 通过测量电磁波，他们能够重建长达1米的AES密钥。
• Guido Vranken使用libFuzzer在OpenVPN中发现了几个漏洞。
• 如何正确使用椭圆曲线加密方法备受争议。研究人员指出，Ed25519签名方案的不正确使用导致了CryptoNote加密机制中的漏洞。 Curve25519也受到了不少质疑。

稿源：The Feisty Duck