Un gran evento: la retirada se filtró clave privada y una clave privada basada en falsa
El mes pasado, se informó de que Spotify y Cisco incluyen con la clave privada de un certificado válido en la aplicación. Estos certificados serán revocados de acuerdo con los puntos de referencia, pero la aplicación no es la única fuente de clave privada se filtró. Koen Rouwhorst encontró certificado válido que pertenece a varios depósito privado de GitHub. Puede incluso nombre de archivo estándar (como server.key) para descargar estas teclas en la página web correspondiente. Según la normativa, toda la llave privada filtrado debe ser emitido por una autoridad de certificación a retirar dentro de las 24 horas. Entonces, ¿cómo probar a fondo este compromiso clave ha convertido en un problema. (Por ejemplo, el autor con éxito el uso de solicitud de clave de Symantec casa a retirar el certificado .) (Symantec hizo la siguiente respuesta .)
Dos grandes eventos: TLS intercepción controversia
grupo de trabajo TLS está discutiendo actualmente consejos Mateo Verde sobre cómo utilizar la estática Diffie-Hellman permite el descifrado TLS pasiva . Esta discusión se quejaba de un banco organizado TLS1.3 eliminar el viejo intercambio de claves RSA disparado.
Recientemente, TLS correo electrónico aquellos larga discusión y el debate en la lista están en la reunión de la IETF en Praga comenzó. Sin embargo, lo que todavía no hay un consenso claro alcanzó. Stephen Qieke Wei (Stephen Chekoway) escribió un resumen del debate . Nick Sullivan de Cloudflare en el comunicado cubre la disputa.
Noticias breves de este mes
- En la lista de la política de seguridad de Mozilla, el certificado emitido para el nombre de host no válido lanzó un hilo largo . Varios autoridad de certificación ha emitido un nombre de host certificado contiene el doble de puntos.
- Dos periódico noruego de Bergen Tidende y gigantes --Aftenposten utiliza HTTPS
- Robert Parks explicó por ejemplo, Microsoft Visual C ++ documentación de uso de la tecnología de encriptación obsoletos e inseguros recomienda. En respuesta, el documento de Microsoft elimina.
- RFC 8188 introduce HTTP método de cifrado de contenido. Esto significa que el contenido HTTP permite que ayuda proporcionan cifrado TLS de almacenamiento.
- Como todos sabemos, la transmisión del certificado de cliente no está encriptada. Por lo tanto no hay problemas de privacidad. La investigación en la Universidad de Munich tecnología se aprovecha de esta escapatoria para realizar un seguimiento de los usuarios de Notificaciones a empujar a Apple (APN) . La buena noticia es, TLS1.3 encriptada certificado de cliente.
- Cifrar Vamos anunció que a partir del próximo año comenzó a ofrecer certificado comodín libre .
- Tim Taubert explicó que los desarrolladores del uso de la biblioteca verificación formal Mozilla NSS para mostrar la exactitud de la función de multiplicación binaria como parte de su nueva aplicación GCM.
- Mike Cardwell señaló , el nuevo servicio lavabit IMAP y SMTP del servidor parece proporcionar registro no cifrado en el cliente.
- sct.rs es una escritura en Rust en la biblioteca, se puede verificar la firma del certificado de la marca de tiempo (SCT) del servidor Certificado de Transparencia.
- Troy caza discutió la próxima certificado HTTP navegador de interfaz de usuario del cambio , y predice ningún soporte HTTPS páginas se enfrentarán a una creciente presión para incluir este tipo de apoyo.
- Cloudflare de Nick Sullivan en una detallada entrada en el blog discute el grapado de OCSP y su aplicación. Cloudflare ahora también utiliza OCSP Must-grapas.
- LibreSSL ha dado a conocer las 2.5.5 y 2.6.0 versiones .
- Durante la reunión del IETF en Praga para discutir las consultas DNS de transferencia a través de HTTPS esquema. Google ha proporcionado un servicio basado en HTTPS del DNS , pero utiliza un formato diferente.
- Google, los investigadores de Cisco y Mozilla publicó un documento de estadísticas sobre el uso de HTTPS . El estudio publicado en el 2017 USENIX Simposio de Seguridad.
- SBA Research publicó un artículo, investigó los despliegues de la disponibilidad de HTTPS en el servidor Web Apache . Se probaron si los estudiantes con habilidades para configurar este tipo de servidores dentro de una hora. El estudio será presentado en el Simposio de Seguridad USENIX.
- Incluye emoticonos de bloqueo IDN dominio del sitio de prueba está tratando de engañar al usuario haciéndole creer HTTPS . Sin embargo, ninguno de los principales navegadores para mostrar emoticonos en el campo URL.
- Stefan Eissing lanzó la primera versión alfa de mod_md , este es el servidor Web Apache del módulo de cifrado / ACME de un Let. Este trabajo con el apoyo de los patrocinadores de los planes de Mozilla de código abierto (MOSS).
- EE.UU. NIST ha anunciado el lanzamiento de Triple DES (también conocido como 3DES o TDEA) algoritmo . Su pequeño tamaño de bloque de 64 bits tan vulnerable. El año pasado, Sweet32 ataque muestra las debilidades de bloques de cifrado de 64 bits.
- Google ha anunciado la eliminación final de todos los certificados de confianza de WoSign y StartCom en Chrome .
- visión general Vicente Lynch de la función de seguridad sólo está disponible a través de Chrome .
- Publicado en el mejoramiento de la privacidad Simposio Tecnologías un artículo estudió la autoridad proceso de verificación de dominio de los nuevos ataques BGP y certificados. Sombrero Negro 2015 había discutido ataques similares.
- StartCom pidió que su nuevo certificado raíz incluido en el almacén de certificados de Mozilla en. Sin embargo, estos certificados de acciones y claves privadas existentes certificado intermedio.
- Kelby Ludwig escribió sobre LLL algoritmo de explicación, el algoritmo se basa en el método de la rejilla puede ser utilizado para atacar algunos de los algoritmo de cifrado.
- Shay Gueron y Yehuda Lindell publicaron un método de uso de un bloque de cifrado derivación y modelo clave para mejorar su seguridad.
- A partir de Kudelski Seguridad Jean-Philippe Aumasson y Yolan Romailler lanzado usando la formación de pelusa diferencial para detectar el error de la herramienta de software de cifrado CDF.