防弹TLS时事通讯是一份免费的定期时事通讯,为您带来关于SSL/TLS和Internet PKI的评论和新闻,旨在让您随时了解该领域的最新发展。
本期:F-Secure公司在3月份发现的Saltstack配置管理软件中的一个严重漏洞最近被广泛攻击。在受影响的主机中,有一个由DigiCert操作的证书透明日志。
攻击者可以访问CT2日志的私钥。根据DigiCert的说法,该公司运营的其他日志没有受到影响。
对于每个有效的TLS证书,Google Chrome浏览器都需要两个所谓的签名证书时间戳(SCT)。这些SCT必须来自不同的日志。因此,在这种一个日志被破坏的情况下,总有第二个SCT不受影响。
德文·奥布莱恩(Devon O‘Brien)解释了谷歌对这一事件的回应。证书可以嵌入SCT,也可以通过TLS扩展或OCSP提供。对于被破坏的CT2日志中的SCT被嵌入的情况,如果证书是在事故发生之前颁发的,Chrome将继续接受此日志中的SCT证书。但是,通过TLS扩展或OCSP交付其SCT的证书如果依赖于受损的日志,则需要从不同的日志获取新的SCT。
Mozilla发布了一份Firefox安全通讯,其中包含一些与TLS相关的信息,涉及HTTPS上的DNS(DoH)、TLS 1.0/1.1弃用,以及NSS中新验证的加密原语。
KEMTLS是一种在具有认证密钥交换的后量子场景中进行TLS握手的不同方式的建议。
在一篇博客文章中,OpenSSL解释了其安全通知策略的一些变化,特别是“包括我们向与我们有商业关系的公司提供预先通知的选项”。
微软宣布对最新的Windows10Insider预览版提供可选的DoH支持。默认情况下处于禁用状态。
Python开发人员Christian Heimes报告说,在各种发行版本中,Python软件包最小安装中的证书验证被破坏,因为没有安装ca-certifits软件包。有关于Ubuntu、Debian和OpenWRT的bug报告。
在一篇博客文章中,微软宣布在Office 365 Exchange Online中支持Dane和DNSSEC。
LadderLeak是利用ECDSA算法针对椭圆曲线签名的一种新的边信道攻击。索托克在一篇博客文章中解释了这起袭击事件。