大事件一：思科和Spotify在应用程序中发送私钥

2017年6月度发生的几起应用程序传输私钥事件引发了业界关注。包括思科、Spotify、Github、Dropbox和 Discord在内的多个知名应用均被发现把私钥传给了客户端。 所幸这些证书都是之前已知且已被撤销的。

在大多数情况下，证书的意图是为了让应用程序打开本地Web服务器，以便公司的Web服务可以在浏览器中与服务器进行通信。随着越来越多的网页移动到HTTPS，如果本地服务器没有有效的证书，则此过程将被阻止。

人们对于浏览器是否应将本地主机IP(例如127.0.0.1)视为安全来源的问题进行了讨论。就算本地主机使用的是未加密的HTTP协议传输也能称作“安全”吗？未来的浏览器可能允许这种做法，而不需要运送证书和密钥。但是，CA或浏览器的基准要求禁止这种做法。如果私钥公开，则相应的证书会被撤销。

　　短新闻

1.The Register报告称Microsoft Azure平台上的OCSP装订问题已经给Firefox用户带来了问题。 尚不清楚技术细节。

2.Alexa排名前100万的HPKP网站数量已从187个增加到了6000多个。可能是因为Tumblr为其所在站点启用了HPKP。

3.StartCom证书不再受主流浏览器的信任。 Mozilla安全政策邮件列表的一篇文章报告指出，StartCom最近发布了几个虚假证书。

4.一篇研究论文提出了SIDH密钥交换的改进算法。超奇异中原衍的Diffie-Hellman(SIDH)是针对后量子密钥交换提出的方法。

5.针对BLISS签名方案的侧通道攻击被发现。 BLISS是一种基于格子的后量子签名算法。

6.研究发现，GnuTLS中的漏洞可能导致空指针和崩溃。 这个bug是用tlsfuzzer工具找到的。

7.包含证书透明度的crt.sh Web界面现在允许直接使用SQL查询来搜索证书。

8.Mozilla开发商April King在过去一年的Alexa排名前100万的几次扫描揭示了各种安全功能的变化，包括与TLS相关的功能，如HSTS和HPKP。

9.Dyn) and Cloudflare have enabled support for CAA records in their DNS servers.

10.DigiCert为其他证书颁发机构打开了其证书透明度日志。

11.Red Hat在一篇长文中解释了Red Hat Enterprise Linux 7.4中安全和加密功能的变化。其中包括了对旧TLS功能的废弃。

12.Google Project Zero的Tavis Ormandy在互联网上的PDF文件中发现了几个未公开的中间证书。 证书机构必须公开披露中间证书，这些证书是受浏览器信任的，但是他们经常没有这样做。

13.Talos在MatrixSSL的X.509解析中报告了一个堆栈覆盖漏洞。

14.一篇论文研究了用量子计算机打破当前公钥算法所需的量子位。 其实验结论是，椭圆曲线算法比RSA更容易打破量子计算机。

15.FreeRADIUS中的一个漏洞允许绕过TLS认证。

16.web应用开发工具Preact-CLI被发现存在严重漏洞。 该工具为开发目的提供证书和私钥。其捆绑的证书是一个证书颁发机构。也就是说，如果使用Preact-CLI的开发人员在浏览器中接受该证书，那么他很容易受到由该证书颁发机构签署的证书的中间人攻击。

17.微软在近期的博文和白皮书中提供了如何测试软件和基础架构与最新的TLS版本TLS 1.2的不兼容性的建议。由于诸如Lucky Thirteen的存在，TLS1.0和TLS1.1已失去青睐。

18.EJBCA是用于管理证书颁发机构的Java软件，被许多TLS证书提供商使用。 在一系列博文中，EJBCA的开发人员提供了该软件当前状态的概述。

19.来自Fox-IT的研究人员对AES进行了TEMPEST攻击。 通过测量电磁波，他们能够重建长达1米的AES密钥。

20.Guido Vranken使用libFuzzer在OpenVPN中发现了几个漏洞。如何正确使用椭圆曲线加密方法备受争议。研究人员指出，Ed25519签名方案的不正确使用导致了CryptoNote加密机制中的漏洞。 Curve25519也受到了不少质疑。

(责任编辑：安博涛)