本月头条:谷歌计划停止信任所有现有的赛门铁克证书
Google提出将针对赛门铁克数次未履行认证机构职责一事采取一系列严厉的措施。今年1月,赛门铁克被指为其所有者没有要求的域名颁发了多个证书。 这些证书是由韩国公司Crosscert创建的,赛门铁克已经授权其访问其证书颁发的基础设施。根据Google调查发现,多家公司在没有充分监督的情况下已经获得了类似的访问赛门铁克基础设施的机会。 赛门铁克被指明知一些问题的存在,却视而不见。 而这些公司加起来共签发了约30,000张证书。
Google现在计划逐步淘汰所有当前有效的Symantec证书。 通过几个步骤,Chrome浏览器会在某些有效期内不信任证书。 最终,赛门铁克将被允许颁发有效期为九个月的证书。 此外,Symantec将失去发布扩展验证(EV)证书的能力。 虽然很多人质疑电子证书的效用,但由于价格较高,它们是认证机构的主要收入来源。
赛门铁克在事件回应中指责谷歌的行为是不负责任的,并反复强调:“我们的SSL/TLS证书用户和合作伙伴目前无需应对这项指责。”
三月其他新闻
- OpenSSL计划将许可证更改为Apache license 2.0,并征求所有以前的贡献者是否同意更改。 由于不寻常的广告条款,OpenSSL的许可证此前一直不受待见。 然而,将许可证改为Apache仍引发争议,因为这意味着OpenSSL与GPL版本2不兼容。但GPL 3下的代码将是兼容的。
- CA/B论坛投票赞成一个提案,将强制检查CAA记录。 有了CAA,域所有者可以设置一个DNS记录,定义哪个证书颁发机构可以为其颁发证书。
- CloudFlare启用支持TLS 1.3零往返握手(0-RTT)。 虽然0-RTT是有利于性能,但同时也是一个安全风险,因为它可以实现replay攻击。 Cloudflare试图通过将0-RTT限制在不太可能出现这种问题的请求中来解决这个问题。
- 关于TLS拦截设备的争论仍在继续。 US-CERT发布了有关这些设备和软件的安全风险的警告。 来自Virus Bulletin的Martijn Grooten仍然看到了TLS拦截的价值,尽管存在安全隐患。
- 亚马逊S3服务的停机时间为Venafi公司的证书透明度日志造成了一些问题。 导致日志回复断断续续,严重违反了证书透明度日志的职责。 未来的Chrome版本将不再接受这些Venafi日志。
- Akamai发布了关于支持SNI的流行率的统计数据。 SNI是一种TLS功能,允许在同一IP地址上为不同的主机名使用多个不同的证书。 据统计,不到1%的用户无法使用SNI。
- Mozilla发布NSS版本3.30,主要包含错误修正。
- supersingular isogeny是后期量子密码学中的一匹黑马。他们主要被用来进行密钥交换,但近日有论文提出了一种使用此方法实现的签名方案。
- 对于supersingular isogenyDiffie-Hellman密钥一种新的压缩方法允许使用更小的密钥大小,但附带了显著的性能开销。
- Firefox 55将限制地理位置API来保护文本。
- Guido Vranken在mbedTLS库中发现了几个小漏洞。
- NTRU的设计者之一在CFRG邮件列表上发布,表明拥有该专利的公司可能会将其纳入公有领域。 NTRU是一种量子加密算法,已经存在有一段时间了,但由于受专利保护,几乎没有被用过。
- Comodo开始运行两个证书透明度日志; 此外,由PuChuangSida公司经营的日志通过了90天的合规期。
- 由于缺乏访问OpenBSD手册页的安全选项,Filippo Valsorda开始在HTTPS站点上进行镜像。
- Brian Campbell提供了令牌绑定技术的演示。 令牌绑定允许应用程序将安全令牌加密地连接到TLS会话; 它目前处于草案状态。
- 德国政府机构信息技术(BSI)的信息技术支持部门已经开发了2.0版的加密库Botan。
- 根据Twitter的报告,由于TLS证书过期,IoT加湿器淹没了房间。 但是,没有提供有关供应商的详细信息。
- 来自SBA研究的一篇论文研究了更快的互联网TLS扫描方法。
- TLS 1.3 草案 19发布。
- 已经为所有付费动态(Linux Containers)添加了对自动TLS证书的支持。
- Android上的Chrome现在支持AIA,能够获取缺少的中间证书。
- Andrew Ayer建立了一个工具通过闲聊功能检测证书透明度日志中的不一致。
- 一项新的研究论文调查了证书透明度和潜在解决方案中的隐私问题。
- 一篇研究论文提出了一种新的浏览器撤销机制: CRLite.
- Guido Vranken 写了个 有关 OpenSSL某细小不易察觉之漏洞分析。
- fraudmarc提供了一个MTA STS策略和记录的检查工具. MTA STS是用来保证邮件服务器之间能够使用TLS链接进行身份验证的标准(草案)。
- snuck.me 提供对TLS拦截和本地安装的根证书的检查。
稿源: feisty duck