不见棺材不落泪

微软准备在周二修正从XP到7各个平台,估计其中至少有一个与近日SSL null-prefix证书泄露有关。这个Bug从被发表到今天已经存在于他们的Crypto API超过3个月,没有patch,没有提醒,没有报告——直到paypal现在来找微软,说“你给我赶快更新,伪造我们的证书都在网上乱窜了”的时候,微软才想着要动身了。不知道他们自己的顶级开发团队有何感想?

顺便一提,IE全系列,Chrome全系列,Safari for Win全系列都使用这个API。申请有null-prefix的证书也不是困难的事情。

关于SSL的事情我已经说的够多了:一个成功而隐蔽的null-prefix攻击需要混合CA疏忽(获取伪造证书或*.domain验证),OCSP妨碍(防止证书被撤销)与软件漏洞(利用null-prefix让软件接纳伪造证书)——它们都逃不过用户自己的警觉。