最近的一项学术研究发现，软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因，其所占比例高达所有错误事件的 42％。 这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的，他们研究了 379 起 SSL 证书签发错误的实例，并总共发现了 1300 多个事件。 研究人员从公共资源收集了事件数据，例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构（CA）如何遵守行业标准，以及 SSL 证书签发错误背后的最常见原因。...

安全研究人员 Pali Rohár 近期发现 DBD-MySQL 配置中存在关键漏洞（CVE-2017-10789），影响客户端与服务器之间加密，允许黑客发动中间人攻击。 调查显示，DBD-MySQL 模块 Perl 4.043 版本使用 mysql_ssl = 1 的设置表示 SSL 为可选项（即使此设置的文档提供 “与服务器间通信将被加密 ” 的声明），允许中间人攻击者通过明文降级攻击规避服务器检测。...

加密电子邮件服务 Lavabit 在官网展示了一个倒计时，宣布其服务将在 18 天后重新上线。Lavabit 的创始人 Ladar Levison 为保护用户数据而在 2013 年 8 月关闭服务并破坏服务器。 2013 年 6 月斯诺登公开身份时曾提供一个电子邮件地址 Ed_Snowden@lavabit.com，随后美国政府取得秘密法庭命令，要求加密邮件服务商 Lavabit 提供 Edward Snowden 的登录信息。接着又进一步要求 Lavabit 交出 SSL 私钥，使当局能访问所有用户的信息。 稿源：solidot奇客，封面：百度搜索...