Nazwanie wyników badań grupy badaczy początkiem końca SHA-1 może nie jest zbyt trafnym określeniem, ponieważ proces wycofywania tej funkcji skrótu z powszechnego użycia rozpoczął się dużo wcześniej. Niemniej jednak przedstawione rezultaty mogą być mocnym impulsem do jego przyśpieszenia.
Ponad 100 000 estońskich elektronicznych dowodów osobistych do wyrzucenia?
Właśnie taka liczba elektronicznych dowodów tożsamości mogła stać się bezużyteczna w kolejnym wydaniu przeglądarki Chrome. O tym dlaczego, przeczytacie w tym wpisie.
Dzięki Certificate Transparency wykryto błędnie wydane certyfikaty SSL
Można ogłosić chyba pierwszy sukces mechanizmu Certificate Transparency (CT). Kilka dni temu właśnie dzięki CT udało się odkryć kilka nieautoryzowanych certyfikatów SSL wystawionych dla domen należących do Google.
Google, Microsoft i Mozilla wyłączą wsparcie dla RC4
Tej decyzji można było się spodziewać. Dzisiaj, wszystkie trzy firmy ogłosiły, że na początku przyszłego roku wyłączą wsparcie dla szyfru RC4 w swoich przeglądarkach.
Main-in-the-middle ukryty w lodówce
Błędy w implementacji protokołu TLS prowadzące do możliwości wykradania danych użytkowników zdarzają się ostatnimi czasy nierzadko. Tym razem padło na… jedną z inteligentnych lodówek. Błąd odkryli specjaliści bezpieczeństwa z firmy Pen Test Partners, a zhackowana lodówka to produkt firmy Samsung, model RF28HMELBSR.
Poważny błąd w OpenSSL załatany
Zgodnie z poniedziałkową zapowiedzią dziś na serwery projektu OpenSSL trafiła nowa wersja biblioteki w której załatano jeden poważany błąd bezpieczeństwa. Umożliwiał on podstawienie fałszywych certyfikatów, które następnie mogły być traktowane jako wystawione przez zaufane Urzędy Certyfikacji (CAs).
Oficjalny koniec SSL 3.0
O tym, że protokół SSL w wersji 3 nie gwarantuje bezpiecznej transmisji danych wiadomo nie od dziś. Opublikowany właśnie dokument RFC 7568 całkowicie zakazuje jego wykorzystywania.
Aktualizacja biblioteki OpenSSL
Na stronach projektu OpenSSL została opublikowana nowa wersja szeroko wykorzystywanej biblioteki kryptograficznej. Sprawdźmy co przynosi nowe wydanie.
HTTP Public Key Pinning
Public Key Pinning realizowany poprzez nagłówek protokołu HTTP pozwala na poinformowanie klienta (przeglądarki) o powiązaniu danego klucza publicznego z konkretnym serwerem (domeną). Z tego wpisu dowiecie się jak został zaprojektowany, jak działa, jakie przynosi korzyści i w jaki sposób można wdrożyć Public Key Pinning.
Certificate Reputation
Certificate Reputation to mechanizm stworzony przez Microsoft mający na celu zwiększenie ochrony przed atakami z wykorzystaniem fałszywych certyfikatów SSL, które w konsekwencji mogą prowadzić do utraty osobistych danych. Sprawdźmy jakie są główne cechy tego mechanizmu i jak można wykorzystać go do zwiększenia ochrony własnej strony.
Atak Logjam zagrożeniem dla bezpiecznej wymiany sekretów
Kilka miesięcy temu grupa badaczy odkryła podatność protokołu TLS (Transport Layer Security) dotyczącą sposobu wdrożenia algorytmu wymiany kluczy Diffie-Hellmana. Opublikowane wczoraj błędy narażają na ataki – mogące prowadzić do podsłuchania transmisji danych – połączenia HTTPS, SSH i VPN.
Pierwsze w tym roku CA Communication Mozilli
Od ponad pięciu lat Mozilla przesyła do Urzędów Certyfikacji (CAs) wiadomości z prośbą o ustosunkowanie się wskazanych przez fundację kwestii. CA Communications, bo taką nazwę przyjęła ta praktyka, wczoraj ponownie trafiły do zainteresowanych.
Mozilla usuwa tureckie CA z zaufanego magazynu certyfikatów
Na początku mijającego tygodnia Mozilla zdecydowała o usunięciu ze swojego zaufanego magazynu certyfikatów, certyfikatu należącego do e-Guven, Urzędu Certyfikacji (CA) z Turcji.
Certification Authority Authorization (CAA)
Autoryzacja Urzędu Certyfikacji (ang. Certification Authority Authorization – CAA) poprzez rekord DNS (ang. Domain Name System) to kolejny mechanizm zwiększający bezpieczeństwo Infrastruktury Klucza Publicznego, który staje coraz szerzej wykorzystywany. W poniższym wpisie przedstawie jak działa CAA i jakie niesie za sobą korzyści.
Microsoft aktualizuje politykę wycofywania SHA-1
Półtora roku temu Microsoft ogłosił politykę wycofywania funkcji skrótu SHA-1 ze swoich systemów. W ostatnim czasie wprowadził do niej jednak pewne zmiany. Zobaczmy jak dzisiaj przedstawia się strategia Microsoftu.