九月SSL行业新闻回顾(九月ssl行业新闻回顾最新)
本月大事件: CAA成强制
新的DNS记录类型应该提高证书颁发的安全性。证书颁发机构授权CAA在2013年时便记录在RFC 6844中,却直到近期才成为强制性举措。CA/B论坛决定,从9月8日起将CAA检查升级为强制性。CAA允许域所有者在DNS记录中定义哪些证书颁发机构可以为其颁发证书。
规则生效没多久,不少人验证了各大CA是否正确检查CAA,然后经过多方证明,作为CAA发明者的Comodo随即被爆出没有CAA检查记录。在事件报告中Comodo承认的该问题并解释说是因为dig命令的交互中出了错。不少其他CA也相继被爆不会用CAA,尤其是在包含DNSSEC的情况下。
Andrew Ayer创建了一个CAA测试套件。他同时还为SSLMate公司操作一个CAA记录生成器。
短新闻
证书颁发机构PROCERT在颁发违反基准要求的证书方面存在各种问题。 Mozilla的代表对PROCERT提供的解释感到不满意,该机构将从Mozilla的根证书信任列表中移除。
IoT和嵌入式设备如何使用HTTPS?这篇博文提出了在本地IP地址上允许HTTPS且没有警告的做法。
Galois与亚马逊合作,通过SAW软件正式验证了HMAC对s2n库的实现。
mbedtls中的漏洞允许在某些情况下绕过证书验证。
今年早些时候在NSS的伪随机数发生器中发现了一个熵损失漏洞。 Mozilla开发人员Franziskus Kiefer描述了细节。
来自Microsoft的CertReq工具可用于触发HTTP请求。虽然不太可能,但在某些情况下,可能会使数据泄露。
来自Cloudflare的Henry de Valence已经为TLS 1.3创建了一个实验性的密钥交换,其中包含SIDH。 Go中有一个实现。 SIDH是后量密码学的潜在算法。
在密码学ePrint存档中已经发布了一种改进哈希函数的冲突搜索的量子算法。迄今为止,量子攻击对散列函数安全性几乎没有影响。
Matt Caswell讨论了OpenSSL需要哪些更改来支持QUIC协议。 QUIC是Google可以替代TCP和TLS的协议。 IETF工作组正在努力使其标准化。
Sasha Perigo已经在Chrome中实现了一项功能,用于检测不正确安装的中间人攻击软件。
丹尼尔·伯恩斯坦(Daniel Bernstein)和丹尼·兰格(Tanja Lange)在Nature发表了一篇题为“Post Quantum Cryptography”的论文。
Chrome开发商Mike West宣布,在未来的Chrome版本中,FTP将被标记为不安全。这导致了一个讨论,Chris Palmer也是Chrome开发人员,提出完全删除FTP支持。 FTP通常用作明文协议,并且与一些防火墙有问题。在理论上,有一个支持TLS的FTP称为FTPES的变体,但它不经常使用,并且不受任何主要浏览器的支持。
在Equifax违规之后,有人指出,由于Equifax用于操作证书颁发机构,所以也存在Equifax根证书。但是,该证书已经从所有主要的浏览器证书库中删除。它目前由赛门铁克拥有。
Google为Google App Engine推出了自动证书管理。
MD4自2004年以来一直被认为是容易受到碰撞的攻击,却没有遭遇过任何公开攻击。直至近日,某起攻击事件验证了MD4的脆弱。MD4已被用于旧的证书和TLS实现,但它不是任何现代TLS堆栈的一部分。
未来版本的Chrome将为Google所有的整个.dev顶级域名(TLD)启用预加载的HSTS。有些人曾在内部机器上使用.dev进行测试,而今这一做法将无法实现,因为HSTS预加载需要有效的HTTPS连接和证书。.dev TLD从未用于测试目的,只有.test用于测试。
mitm.watch是中断软件拦截TLS连接的测试。它由Cloudflare的Nick Sullivan操作,并使用了Caddy的MITM检测启发式。
Thomas Susanka在博客中解释了各种TLS扩展。
Security Innovations公司的Steven Danneman研究了MySQL和PostgreSQL等数据库服务器的TLS支持。他向TestSSL脚本提供了对这些数据库服务器上的TLS功能测试的支持。
Dirk Wetter发布TestSSL 2.9.5,新功能上线。
StartCom试图重新进入浏览器信任商店,但事情进展并不顺利。来自Mozilla的Gervase Markham总结了这种情况,并提到了Web界面的安全性、可疑交叉签名等方面的各种问题。
Hardenize推出了一个证书监控功能。
Mozilla计划删除对使用Triple DES(也称为3DES)的密码套件的支持。
Cloudflare引入了一项新功能,允许客户决定在哪些地点和国家/地区拥有其证书的私钥。
Qualys SSL实验室测试开始对来自Symantec的证书提出更换警告,因为Google和Mozilla将会消除对Symantec认证的信任。
IvanRisti?在博客文章中讨论了两种改变HPKP的潜在方法,以减轻对故障配置和潜在赎金攻击的现有担忧:针撤销和证书限制。
版权声明:
作者: freeclashnode
链接: https://www.freeclashnode.com/news/article-1624.htm
来源: FreeClashNode
文章版权归作者所有,未经允许请勿转载。
热门文章
- 11月15日|20.1M/S,Shadowrocket/Clash/SSR/V2ray免费节点订阅链接每天更新
- 11月21日|20.9M/S,SSR/Shadowrocket/Clash/V2ray免费节点订阅链接每天更新
- 11月5日|19.2M/S,Clash/Shadowrocket/V2ray/SSR免费节点订阅链接每天更新
- 11月29日|18.1M/S,SSR/Clash/Shadowrocket/V2ray免费节点订阅链接每天更新
- 11月27日|19.2M/S,SSR/Shadowrocket/Clash/V2ray免费节点订阅链接每天更新
- 11月22日|21.3M/S,V2ray/Shadowrocket/SSR/Clash免费节点订阅链接每天更新
- 11月24日|22.5M/S,V2ray/Shadowrocket/Clash/SSR免费节点订阅链接每天更新
- 11月23日|22.6M/S,Shadowrocket/V2ray/Clash/SSR免费节点订阅链接每天更新
- 11月28日|19.7M/S,V2ray/SSR/Shadowrocket/Clash免费节点订阅链接每天更新
- 11月16日|19.9M/S,Shadowrocket/Clash/SSR/V2ray免费节点订阅链接每天更新
最新文章
- 12月3日|21.7M/S,Shadowrocket/Clash/V2ray/SSR免费节点订阅链接每天更新
- 12月2日|18.5M/S,Clash/SSR/V2ray/Shadowrocket免费节点订阅链接每天更新
- 12月1日|21.8M/S,Clash/SSR/V2ray/Shadowrocket免费节点订阅链接每天更新
- 11月30日|18M/S,Clash/V2ray/SSR/Shadowrocket免费节点订阅链接每天更新
- 11月29日|18.1M/S,SSR/Clash/Shadowrocket/V2ray免费节点订阅链接每天更新
- 11月28日|19.7M/S,V2ray/SSR/Shadowrocket/Clash免费节点订阅链接每天更新
- 11月27日|19.2M/S,SSR/Shadowrocket/Clash/V2ray免费节点订阅链接每天更新
- 11月26日|20.6M/S,Clash/SSR/Shadowrocket/V2ray免费节点订阅链接每天更新
- 11月25日|20.3M/S,Clash/Shadowrocket/SSR/V2ray免费节点订阅链接每天更新
- 11月24日|22.5M/S,V2ray/Shadowrocket/Clash/SSR免费节点订阅链接每天更新