Od kilku lat obserwujemy systematyczne, mające na celu głównie podniesienie bezpieczeństwa, skracanie maksymalnej ważność certyfikatów TLS. Od 60 miesięcy obowiązujących przed kwietniem 2015 roku, przez 39 miesiące pomiędzy kwietniem 2015 a lutym 2018, do 27 miesięcy od marca 2018. W mijającym tygodniu na CA/Browser Forum zakończyło się głosowanie będące już…
EFAIL – podatność w S/MIME i PGP
Od wczoraj możemy sporo przeczytać na temat podatności pozwalającej na odczytywanie wiadomości szyfrowanych z wykorzystaniem standardów S/MIME i PGP. Zawdzięczamy to grupie naukowców z trzech niemieckich uczelni, którzy swoje odkrycie ochrzcili nazwą EFAIL.
Nowelizacja ustawy o usługach zaufania i identyfikacji elektronicznej
Kilka dni temu Rząd przyjął projekt ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw uchwalonej pierwotnie we wrześniu 2016 roku. Główne zmiany opisane zostały na stronie Kancelarii Premiera, przeczytać możemy tam m.in. że: wprowadzono przepisy znacząco ułatwiające obywatelom potwierdzanie swojej tożsamości w publicznych usługach online…
Certificate Transparency wymagane dla wszystkich certyfikatów SSL
Przed nami kolejna duża zmiana w świecie certyfikatów SSL. Od jutra tj. od 1 maja 2018 wszystkie certyfikaty SSL będą musiały być wydawane w zgodzie z ideą Certificate Transparency (CT).
Certyfikaty SSL maksymalnie na 825 dni
Od 1 marca 2018, zgodnie z zapisami Baseline Requirements CA/Browser Forum, Urzędy Certyfikacji mogą wystawiać certyfikaty SSL ważne maksymalnie 825 dni.
Certification Authority Authorization wchodzi do gry
Prawie 2,5 roku temu pisałem o dopiero raczkującym Certification Authority Authorization (CAA). Dziś ten mechanizm bezpieczeństwa zaczyna chodzić i staje się nieodłącznym elementem wydawania certyfikatów SSL.
Google przestaje ufać Symantecowi [Aktualizacja]
Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
Dwa różne dokumenty, ten sam skrót – kolizja SHA-1 znaleziona
Tym razem nie chodzi o teoretyczne rozważania. Znaleziono prawdopodobnie pierwszą rzeczywistą kolizję funkcji skrótu SHA-1.
Identyfikowanie użytkowników Firefoksa za pomocą cache’owanych certyfikatów pośrednich
Dość wyszukany, ale ciekawy przykład tego jak mechanizm cache’ujący certyfikaty pośrednie w Firefoksie może umożliwiać identyfikację jego użytkowników.
Jak podejrzeć certyfikat SSL w Chrome?
Podejrzenie certyfikatu SSL w Chrome od wersji 56 wymaga nieco więcej zachodu niż dotychczas. Już jakiś czas temu przeniesiono informacje o certyfikacie SSL danej strony do panelu bezpieczeństwa DevTools. Droga do DevTools prowadziła przez kliknięcie w kłódkę, a następnie w Szczegóły. Był to niejako naturalny i intuicyjny sposób. W najnowszej przeglądarce…
Prawie 9000 certyfikatów SSL unieważnionych po odkryciu błędu w weryfikacji domen
Właściwa weryfikacja dostępu do domeny jest głównym zadaniem urzędów certyfikacji podczas wydawania certyfikatów SSL. Niestety, w ostatnich dniach po raz kolejny mogliśmy przeczytać o błędzie, którego konsekwencją było unieważnienie prawie 9000 certyfikatów.
Certyfikaty SSL SHA-1 w 2017
Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
6 miesięcy z eIDAS
Od wejścia w życie rozporządzenia eIDAS minęło już prawie pół roku. Jeżeli zastanawiacie się jak wygląda status wdrożenia zaufanych usług w krajach Unii Europejskiej to zachęcam to zapoznania się z tym podsumowaniem [PDF].
Google dołącza do Mozilli i przestaje ufać dwóm dużym urzędom certyfikacji
Po tym jak kilka dni temu Mozilla poinformowała o utracie zaufania dla WoSigna i StartCom podobne oświadczenie wydało Google. Nowe certyfikaty SSL wydawane już od 21 października przez dwa powyższe urzędy certyfikacji nie będą uznawane za zaufane w Chrome. Zmiany będą widoczne od wersji 56. Decyzja ogłoszona przez Google (a…