W wydanym wczoraj tzw. Patch Tuesday, czyli paczce aktualizacji bezpieczeństwa przeznaczonej dla produktów firmy Microsoft publikowanej w drugi wtorek każdego miesiąca, znalazła się m.in. zmiana będąca pokłosiem głośnej podatności POODLE – wyłączenie SSL 3.0 fallback. Na końcu tego wpisu znajduje się także opis błędu, na który natknąłem się w trakcie jego tworzenia.
Baseline Requirements dla certyfikatów do podpisywania kodu
W ubiegłą środę stowarzyszenie CABForum, a dokładniej członkowie Code Signing Working Group, opublikowali finalną wersję szkicu dokumentu opisującego kwestie dotyczące wymagań stawianych certyfikatom służącym do cyfrowego podpisywania kodu.
Certificate Transparency nabiera rozpędu
W ostatnim czasie mogliśmy przeczytać o kilku wydarzeniach (o jednym z nich nawet pisałem), które przyczynią się do rozwoju mechanizmu Certificate Transparency (CT). W najbliższej przyszłości czeka nas też kilka zmian, które sprawią, że mechanizm zaprojektowany przez Google będzie wykorzystywany na szeroką skalę.
Porządki w magazynie certyfikatów Firefoxa
Mozilla rozpoczyna właśnie drugą fazę usuwania niektórych certyfikatów głównych (root) z zaufanego magazynu swojej przeglądarki. Przyjrzyjmy się temu dlaczego i które certyfikaty zostaną usunięte.
Online Certificate Status Protocol – część 2
W pierwszej części przedstawiłem ogólną zasadę działania protokołu OCSP. W tej skupię się na strukturze żądania i odpowiedzi OCSP.
Online Certificate Status Protocol – część 1
Online Certificate Status Protocol jest protokołem pozwalającym na sprawdzenie statusu certyfikatu. Ten wpis jest pierwszą z kilku części, w których postaram się przybliżyć zasadę jego działania.
Nowa wersja biblioteki OpenSSL
Opublikowana została właśnie nowa wersja, a właściwie to nowe wersje biblioteki kryptograficznej OpenSSL. Zawierają one wiele poprawek błędów z których osiem dotyczy bezpieczeństwa.
Podniebny man-in-the-middle
Gogo jest firmą, działającą na terenie Stanów Zjednoczonych, dostarczającą usługę bezprzewodowego Internetu na pokładach samolotów. W ostatnich dniach – przez zupełny przypadek – odkryto, że świadomie podstawiali swoim klientom fałszywy certyfikat SSL.
Zmiany na SSL Labs w 2014
Jednym z najlepszych narzędzi (o ile nie najlepszym) do weryfikacji konfiguracji SSL/TLS serwera HTTP jest SSL Labs, którego głównym twórcą jest Ivan Ristić. Wraz z końcem roku podsumował on na swoim blogu zmiany jakie zaszły na SSL Labs w ostatnich dwunastu miesiącach
Certificate Transparency w Firefoxie
Mozilla ogłosiła, że zamierza w niedalekiej przyszłości wdrożyć w swojej przeglądarce mechanizm pozwalający na sprawdzenie czy certyfikat został wydany zgodnie z założeniami Certificate Transparency. Początkowo opcja ta ma nie być włączona domyślnie.
Internet Explorer chroni przed SSL 3.0 fallback
Czekając na całkowite wyłączenie protokołu SSL 3.0 w przeglądarce Internet Explorer, Microsoft jako doraźne rozwiązanie wdrożył mechanizm chroniący jej użytkowników przed możliwością wymuszenia przez atakującego nawiązywania bezpiecznych połączeń HTTPS z wykorzystaniem starej wersji protokołu.
Firefox wyłącza wsparcie dla SSL 3.0
Wydana 1 grudnia przeglądarka Firefox w wersji 34 przynosi zapowiadaną wcześniej zmianę – wyłączenie domyślnego wsparcia dla protokołu SSL w wersji 3.0. Identyczną zmianę Mozilla wprowadziła w swoim kliencie pocztowym – Thunderbird, wersja 31.3.0. Podobne zmiany czekają nas również w najbliższej przyszłości w innych przeglądarkach.
Proces wycofywania SHA-1 w Chrome rozpoczęty
Zgodnie z zapowiedziami wydana 25 listopada wersja Chrome oznaczona numerem 39 (39.0.2171.71) przynosi zmiany w traktowaniu certyfikatów SSL wykorzystujących do podpisu funkcję skrótu SHA-1.
Public Key Pinning w Firefoxie
Chociaż od premiery przeglądarki Firefox 32 – miała ona swoje miejsce na początku września – minęło już sporo czasu to warto wspomnieć o jednej istotnej implementacji tej wersji, która podnosi bezpieczeństwo jej użytkowników. Mowa o mechanizmie Public Key Pinning.