最近的一项学术研究发现，软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因，其所占比例高达所有错误事件的 42％。 这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的，他们研究了 379 起 SSL 证书签发错误的实例，并总共发现了 1300 多个事件。 研究人员从公共资源收集了事件数据，例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构（CA）如何遵守行业标准，以及 SSL 证书签发错误背后的最常见原因。 研究小组得出了一个结论，即“大多数错误签发 SSL 证书的事件都是由软件错误引起的”。 在他们分析的 379 个案例中，有 91 个（占 24％）是由 CA 的一个软件平台中的软件错误引起的，导致客户收到不兼容的 SSL 证书。 第二个最常见的原因是 CA 误解了 CA/B 论坛规则，或者 CA 不知道规则已更改，有 69 起案件是这种情况，占所有 SSL 证书签发错误事件的 18％。 而恶意根 CA 导致的问题数据占比排在第三位，有 52 个 SSL 证书签发错误案例（占所有分析事件的 14％）是 CA 故意作恶，为了利润而破坏了行业规则，比如他们会给中间人攻击者出售证书。 第四大最常见的原因是人为错误，有 37 例（占总数的 10％）。 第五位是操作错误，其中错误是由于 CA 的内部程序错误，而不是软件或人为错误，这占了 29 例，占所有案例的 8％。 第六个根本原因是“非最佳请求检查（non-optimum request check）”，该术语描述了检查客户身份时所犯的错误，通常允许流氓客户假冒另一个实体，例如，恶意软件作者获得了 SSL 证书合法的公司。研究人员发现了 24 个此类事件，占所有 SSL 签发错误事件的 6％。 SSL 证书签发错误的第七个最常见的根本原因是“不正确的安全控制”，这是一个通用类别，其中包括所有 CA 被黑或失去对其基础结构的控制以允许第三方获得 SSL 证书的情况。   （稿源：开源中国，封面源自网络。）

安全研究人员 Pali Rohár 近期发现 DBD-MySQL 配置中存在关键漏洞（CVE-2017-10789），影响客户端与服务器之间加密，允许黑客发动中间人攻击。 调查显示，DBD-MySQL 模块 Perl 4.043 版本使用 mysql_ssl = 1 的设置表示 SSL 为可选项（即使此设置的文档提供 “与服务器间通信将被加密 ” 的声明），允许中间人攻击者通过明文降级攻击规避服务器检测。 安全专家表示：“启用加密操作依赖于 MySQL 服务器声明/支持事项。即使通过连接参数 mysql_ssl_ca_file 指定证书时，DBD-MySQL 也不强制 SSL/TSL 加密。因此，在 DBD-MySQL 中使用 SSL/TLS 加密极其危险。”目前，Perl 5 数据库接口维护人员不仅为 DBD-MySQL 漏洞提供了修复补丁，还在 GitHub 帐户中证实了该隐患致使系统极易遭受 BACKRONYM 与 Riddle 攻击。 Riddle 漏洞曝光于 2015 年备受欢迎的 DBMS Oracle MySQL，允许攻击者利用中间人攻击窃取用户名与密码。尽管针对版本 5.5.49 与 5.6.30 发布的安全更新未能完全修复该漏洞，5.7 以上版本以及 MariaDB 系统均不受影响。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

加密电子邮件服务 Lavabit 在官网展示了一个倒计时，宣布其服务将在 18 天后重新上线。Lavabit 的创始人 Ladar Levison 为保护用户数据而在 2013 年 8 月关闭服务并破坏服务器。 2013 年 6 月斯诺登公开身份时曾提供一个电子邮件地址 Ed_Snowden@lavabit.com，随后美国政府取得秘密法庭命令，要求加密邮件服务商 Lavabit 提供 Edward Snowden 的登录信息。接着又进一步要求 Lavabit 交出 SSL 私钥，使当局能访问所有用户的信息。Ladar Levison一开始抵制了交出密钥的要求。由于不配合法庭，Levison 被要求每天支付罚款 5 千美元，最终于当年 8 月 8 日关闭 Lavabit 并彻底破坏了服务器。 稿源：solidot奇客，封面：百度搜索