开码现场直播

苹果 谷歌 GoDaddy错误发布序列号较弱的TLS证书
发布时间:2019-09-11

  118kj开奖现场。多个CA错误地发布了超过120万个TLS证书,其中63位序列号较弱,而不是64位标准。

  Apple,Google和GoDaddy等主要证书颁发机构错误发布了超过120万个TLS证书,这些证书的序列号不够长,只有63位,而不是行业最低64位。

  此问题不会对今天的互联网用户构成直接的安全威胁。但是,由于TLS证书在运行中被替换,因此在未来几周内可能会导致大量损坏的站点。

  这个问题的核心错误在2月24日公开讨论中被曝光,在公开讨论中接受一个有争议的组织(DarkMatter)进入Firefox的批准证书颁发机构(CA)列表 - 允许组织发布用于保护的TLS证书的组织HTTPS通信。

  在审查DarkMatter的基础设施及其过去的活动时,安全软件工程师Corey Bonnell注意到该组织已经发布了235个TLS证书,其序列号为63位而不是64位。

  DarkMatter高级副总裁之一Scott Rea将此问题跟踪到EJBCA,这是一个软件平台,许多CA正在使用该软件平台根据一系列先决条件(行业标准)自动生成新的TLS证书。

  正如他和其他人后来解释的那样,问题是TLS证书序列号需要是正整数。为了解决这个问题,EJBCA会牺牲其中一个序列号 - 它总是为零 - 以确保序列号为正整数,因此符合标准。

  但是,通过执行此操作,64位序列号实际上将是一个63位序列号,将此序列号提供的整个TLS证书提供的保护减半,以抵御冲突攻击(攻击者试图创建伪造的TLS)具有相同签名的证书)。

  所有使用EJBCA软件平台并选择生成具有最小64位值的序列号的CA都受到影响。为序列号生成72位或其他较大值的CA不受影响。

  受影响的CA包括Apple,Google,GoDaddy等知名企业,以及其他较小的CA运营商。

  在随后的长达数周的调查中,Apple发现它错误发布了超过878,000个使用63位序列号而不是最小64位的TLS证书。其中558,000人仍在使用中。

  谷歌受影响较小,并表示仅错过了100,836份TLS证书,其中7,171份仍在使用,但7,137份将在未来90天内到期。

  但是,对于Apple和Google而言,错误颁发的证书实际上并不是一个大问题,因为这些TLS证书仅在这些公司内部使用,并且可以在几天或几周内由这些公司的员工替换。

  另一方面,对于GoDaddy及其客户来说,问题是一个更大的问题,他们购买了这些较弱的TLS证书。该公司表示,已向其客户发放了285,936份TLS证书,其中12,152份仍然有效,而其余(273,784)似乎是孤立的,未在任何现场使用。

  这三家公司以及像样的小型CA现在正在撤销这些证书并发布具有正确序列号长度的新证书。

  虽然CA行业的标准说这些错误的证书需要在五天内撤销和更换,但GoDaddy需要的不仅仅是通知所有客户。

  网络托管公司 - 出于好的理由 - 犹豫是否在实时网站上直播核心超过12,000个证书,而没有通知网站所有者并事先做好注意。

  “这对安全性有影响吗?不,”密码学家,安全研究员,记者HannoBck今天在推特上说。

  “引入随机序列是为了防止[破坏哈希函数(MD5 / SHA1)的[碰撞]攻击,”他说。“我们不再使用破坏的哈希函数了。即使我们使用破碎的哈希值,63位仍然足以防止攻击。”

  Bck认为,CA应重新颁发所有非投诉证书的原因是遵守行业规则。过去CA已经偷工减料,即使错误不会对HTTPS连接的安全性产生直接影响,也不应容忍任何错误。

  真共享模式正当红,凹凸租车受邀参加米其林开拓前行峰会真共享模式正当红,凹凸租车受邀参加米其林开拓前行峰会

  真共享模式正当红,凹凸租车受邀参加米其林开拓前行峰会真共享模式正当红,凹凸租车受邀参加米其林开拓前行峰会


香港苹果日报| 95期香港挂牌之全篇| 图库118| 三中三| 118图库| www.69677.com| 本港台开奖直播2018| 香港马会最快开奖结果| 香港管家婆彩图大全| 曾道人官方网| www.890555.com| 天下彩免费资料|