Od wczoraj możemy sporo przeczytać na temat podatności pozwalającej na odczytywanie wiadomości szyfrowanych z wykorzystaniem standardów S/MIME i PGP. Zawdzięczamy to grupie naukowców z trzech niemieckich uczelni, którzy swoje odkrycie ochrzcili nazwą EFAIL.
Nowelizacja ustawy o usługach zaufania i identyfikacji elektronicznej
Kilka dni temu Rząd przyjął projekt ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw uchwalonej pierwotnie we wrześniu 2016 roku. Główne zmiany opisane zostały na stronie Kancelarii Premiera, przeczytać możemy tam m.in. że: wprowadzono przepisy znacząco ułatwiające obywatelom potwierdzanie swojej tożsamości w publicznych usługach online…
Certificate Transparency wymagane dla wszystkich certyfikatów SSL
Przed nami kolejna duża zmiana w świecie certyfikatów SSL. Od jutra tj. od 1 maja 2018 wszystkie certyfikaty SSL będą musiały być wydawane w zgodzie z ideą Certificate Transparency (CT).
Certyfikaty SSL maksymalnie na 825 dni
Od 1 marca 2018, zgodnie z zapisami Baseline Requirements CA/Browser Forum, Urzędy Certyfikacji mogą wystawiać certyfikaty SSL ważne maksymalnie 825 dni.
Certification Authority Authorization wchodzi do gry
Prawie 2,5 roku temu pisałem o dopiero raczkującym Certification Authority Authorization (CAA). Dziś ten mechanizm bezpieczeństwa zaczyna chodzić i staje się nieodłącznym elementem wydawania certyfikatów SSL.
Google przestaje ufać Symantecowi [Aktualizacja]
Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
Dwa różne dokumenty, ten sam skrót – kolizja SHA-1 znaleziona
Tym razem nie chodzi o teoretyczne rozważania. Znaleziono prawdopodobnie pierwszą rzeczywistą kolizję funkcji skrótu SHA-1.
Identyfikowanie użytkowników Firefoksa za pomocą cache’owanych certyfikatów pośrednich
Dość wyszukany, ale ciekawy przykład tego jak mechanizm cache’ujący certyfikaty pośrednie w Firefoksie może umożliwiać identyfikację jego użytkowników.
Jak podejrzeć certyfikat SSL w Chrome?
Podejrzenie certyfikatu SSL w Chrome od wersji 56 wymaga nieco więcej zachodu niż dotychczas. Już jakiś czas temu przeniesiono informacje o certyfikacie SSL danej strony do panelu bezpieczeństwa DevTools. Droga do DevTools prowadziła przez kliknięcie w kłódkę, a następnie w Szczegóły. Był to niejako naturalny i intuicyjny sposób. W najnowszej przeglądarce…
Prawie 9000 certyfikatów SSL unieważnionych po odkryciu błędu w weryfikacji domen
Właściwa weryfikacja dostępu do domeny jest głównym zadaniem urzędów certyfikacji podczas wydawania certyfikatów SSL. Niestety, w ostatnich dniach po raz kolejny mogliśmy przeczytać o błędzie, którego konsekwencją było unieważnienie prawie 9000 certyfikatów.
Certyfikaty SSL SHA-1 w 2017
Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
6 miesięcy z eIDAS
Od wejścia w życie rozporządzenia eIDAS minęło już prawie pół roku. Jeżeli zastanawiacie się jak wygląda status wdrożenia zaufanych usług w krajach Unii Europejskiej to zachęcam to zapoznania się z tym podsumowaniem [PDF].
Google dołącza do Mozilli i przestaje ufać dwóm dużym urzędom certyfikacji
Po tym jak kilka dni temu Mozilla poinformowała o utracie zaufania dla WoSigna i StartCom podobne oświadczenie wydało Google. Nowe certyfikaty SSL wydawane już od 21 października przez dwa powyższe urzędy certyfikacji nie będą uznawane za zaufane w Chrome. Zmiany będą widoczne od wersji 56. Decyzja ogłoszona przez Google (a…
Certificate Transparency wymagane dla każdego typu certyfikatu SSL
Jeszcze dwa lata temu Certificate Transparency nie było mechanizmem na który zwracano szczególną uwagę. Po wczorajszej decyzji Google na dobre wpisze się on jednak w funkcjonowanie certyfikatów SSL. I dobrze.