Chrome od dawna nie wykorzystuje protokołu Online Certificate Status Protocol (OCSP) do weryfikacji czy certyfikaty TLS (SSL) typu Domain Validation (DV) i Organization Validation (OV) są unieważnione. Niedługo przestanie to robić także dla certyfikatów TLS typu Extended Validation (EV).
Wycofanie pola Organizational Unit z certyfikatów TLS
Organizational Unit (OU), czyli Jednostka Organizacyjna to jedno z pól z podmiotu certyfikatów TLS (SSL), które chyba bardziej przeszkadza niż pomaga. Od 2022-09-01 jego używanie będzie zabronione we wszystkich certyfikatach TLS wydawanych przez publiczne Urzędy Certyfikacji (Certification Authority – CA)
EFAIL – podatność w S/MIME i PGP
Od wczoraj możemy sporo przeczytać na temat podatności pozwalającej na odczytywanie wiadomości szyfrowanych z wykorzystaniem standardów S/MIME i PGP. Zawdzięczamy to grupie naukowców z trzech niemieckich uczelni, którzy swoje odkrycie ochrzcili nazwą EFAIL.
Certificate Transparency wymagane dla wszystkich certyfikatów SSL
Przed nami kolejna duża zmiana w świecie certyfikatów SSL. Od jutra tj. od 1 maja 2018 wszystkie certyfikaty SSL będą musiały być wydawane w zgodzie z ideą Certificate Transparency (CT).
Certyfikaty SSL maksymalnie na 825 dni
Od 1 marca 2018, zgodnie z zapisami Baseline Requirements CA/Browser Forum, Urzędy Certyfikacji mogą wystawiać certyfikaty SSL ważne maksymalnie 825 dni.
Certification Authority Authorization wchodzi do gry
Prawie 2,5 roku temu pisałem o dopiero raczkującym Certification Authority Authorization (CAA). Dziś ten mechanizm bezpieczeństwa zaczyna chodzić i staje się nieodłącznym elementem wydawania certyfikatów SSL.
Google przestaje ufać Symantecowi [Aktualizacja]
Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
Dwa różne dokumenty, ten sam skrót – kolizja SHA-1 znaleziona
Tym razem nie chodzi o teoretyczne rozważania. Znaleziono prawdopodobnie pierwszą rzeczywistą kolizję funkcji skrótu SHA-1.
Prawie 9000 certyfikatów SSL unieważnionych po odkryciu błędu w weryfikacji domen
Właściwa weryfikacja dostępu do domeny jest głównym zadaniem urzędów certyfikacji podczas wydawania certyfikatów SSL. Niestety, w ostatnich dniach po raz kolejny mogliśmy przeczytać o błędzie, którego konsekwencją było unieważnienie prawie 9000 certyfikatów.
Certyfikaty SSL SHA-1 w 2017
Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
Certificate Transparency wymagane dla każdego typu certyfikatu SSL
Jeszcze dwa lata temu Certificate Transparency nie było mechanizmem na który zwracano szczególną uwagę. Po wczorajszej decyzji Google na dobre wpisze się on jednak w funkcjonowanie certyfikatów SSL. I dobrze.
WoSign i StartCom bez zaufania Mozilli
Wczoraj na blogu twórców Firefoksa ogłoszono to, co od kilku tygodniu było niemal pewne. Dwa duże urzędy certyfikacji, chiński WoSign oraz izraelski StartCom utraciły zaufanie Mozilli. Każdy nowy certyfikat wydany przez te urzędy certyfikacji nie będzie traktowany jako zaufany w produktach Mozilli.
Błąd w aplikacji OCR pozwalał na nieuprawnione pozyskanie certyfikatu SSL
Poprawna weryfikacja dostępu do domeny przeprowadza przez urząd certyfikacji jest kluczową kwestią podczas wydawania certyfikatów SSL. Niestety proces ten nie jest wolny od błędów i dziś o jednym z nich.
Błąd w procesie unieważnienia jednego certyfikatu spowodował niedostępność wielu stron WWW
Dzisiaj o tym jak błąd w aplikacji wykorzystywanej przez Urząd Certyfikacji spowodował w najlepszym wypadku kilkugodzinną niedostępność wielu stron z zainstalowanym certyfikatem SSL.