Prawie 2,5 roku temu pisałem o dopiero raczkującym Certification Authority Authorization (CAA). Dziś ten mechanizm bezpieczeństwa zaczyna chodzić i staje się nieodłącznym elementem wydawania certyfikatów SSL.
Google przestaje ufać Symantecowi [Aktualizacja]
Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
Dwa różne dokumenty, ten sam skrót – kolizja SHA-1 znaleziona
Tym razem nie chodzi o teoretyczne rozważania. Znaleziono prawdopodobnie pierwszą rzeczywistą kolizję funkcji skrótu SHA-1.
Identyfikowanie użytkowników Firefoksa za pomocą cache’owanych certyfikatów pośrednich
Dość wyszukany, ale ciekawy przykład tego jak mechanizm cache’ujący certyfikaty pośrednie w Firefoksie może umożliwiać identyfikację jego użytkowników.
Jak podejrzeć certyfikat SSL w Chrome?
Podejrzenie certyfikatu SSL w Chrome od wersji 56 wymaga nieco więcej zachodu niż dotychczas. Już jakiś czas temu przeniesiono informacje o certyfikacie SSL danej strony do panelu bezpieczeństwa DevTools. Droga do DevTools prowadziła przez kliknięcie w kłódkę, a następnie w Szczegóły. Był to niejako naturalny i intuicyjny sposób. W najnowszej przeglądarce…
Prawie 9000 certyfikatów SSL unieważnionych po odkryciu błędu w weryfikacji domen
Właściwa weryfikacja dostępu do domeny jest głównym zadaniem urzędów certyfikacji podczas wydawania certyfikatów SSL. Niestety, w ostatnich dniach po raz kolejny mogliśmy przeczytać o błędzie, którego konsekwencją było unieważnienie prawie 9000 certyfikatów.
Certyfikaty SSL SHA-1 w 2017
Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
6 miesięcy z eIDAS
Od wejścia w życie rozporządzenia eIDAS minęło już prawie pół roku. Jeżeli zastanawiacie się jak wygląda status wdrożenia zaufanych usług w krajach Unii Europejskiej to zachęcam to zapoznania się z tym podsumowaniem [PDF].
Google dołącza do Mozilli i przestaje ufać dwóm dużym urzędom certyfikacji
Po tym jak kilka dni temu Mozilla poinformowała o utracie zaufania dla WoSigna i StartCom podobne oświadczenie wydało Google. Nowe certyfikaty SSL wydawane już od 21 października przez dwa powyższe urzędy certyfikacji nie będą uznawane za zaufane w Chrome. Zmiany będą widoczne od wersji 56. Decyzja ogłoszona przez Google (a…
Certificate Transparency wymagane dla każdego typu certyfikatu SSL
Jeszcze dwa lata temu Certificate Transparency nie było mechanizmem na który zwracano szczególną uwagę. Po wczorajszej decyzji Google na dobre wpisze się on jednak w funkcjonowanie certyfikatów SSL. I dobrze.
WoSign i StartCom bez zaufania Mozilli
Wczoraj na blogu twórców Firefoksa ogłoszono to, co od kilku tygodniu było niemal pewne. Dwa duże urzędy certyfikacji, chiński WoSign oraz izraelski StartCom utraciły zaufanie Mozilli. Każdy nowy certyfikat wydany przez te urzędy certyfikacji nie będzie traktowany jako zaufany w produktach Mozilli.
Błąd w aplikacji OCR pozwalał na nieuprawnione pozyskanie certyfikatu SSL
Poprawna weryfikacja dostępu do domeny przeprowadza przez urząd certyfikacji jest kluczową kwestią podczas wydawania certyfikatów SSL. Niestety proces ten nie jest wolny od błędów i dziś o jednym z nich.
Błąd w procesie unieważnienia jednego certyfikatu spowodował niedostępność wielu stron WWW
Dzisiaj o tym jak błąd w aplikacji wykorzystywanej przez Urząd Certyfikacji spowodował w najlepszym wypadku kilkugodzinną niedostępność wielu stron z zainstalowanym certyfikatem SSL.
Ustawa o usługach zaufania i identyfikacji elektronicznej uchwalona przez Sejm
O pracach nad nową ustawą o usługach zaufania i identyfikacji elektronicznej wspominałem już w kwietniu. Kilka dni temu, 5 września została ona jednogłośnie uchwalona przez Sejm.