Tag: Microsoft

微软准备在周二修正从XP到7各个平台，估计其中至少有一个与近日SSL null-prefix证书泄露有关。这个Bug从被发表到今天已经存在于他们的Crypto API超过3个月，没有patch，没有提醒，没有报告——直到paypal现在来找微软，说“你给我赶快更新，伪造我们的证书都在网上乱窜了”的时候，微软才想着要动身了。不知道他们自己的顶级开发团队有何感想？

顺便一提，IE全系列，Chrome全系列，Safari for Win全系列都使用这个API。申请有null-prefix的证书也不是困难的事情。

关于SSL的事情我已经说的够多了：一个成功而隐蔽的null-prefix攻击需要混合CA疏忽（获取伪造证书或*.domain验证），OCSP妨碍（防止证书被撤销）与软件漏洞（利用null-prefix让软件接纳伪造证书）——它们都逃不过用户自己的警觉。