Chrome od dawna nie wykorzystuje protokołu Online Certificate Status Protocol (OCSP) do weryfikacji czy certyfikaty TLS (SSL) typu Domain Validation (DV) i Organization Validation (OV) są unieważnione. Niedługo przestanie to robić także dla certyfikatów TLS typu Extended Validation (EV).
Wycofanie pola Organizational Unit z certyfikatów TLS
Organizational Unit (OU), czyli Jednostka Organizacyjna to jedno z pól z podmiotu certyfikatów TLS (SSL), które chyba bardziej przeszkadza niż pomaga. Od 2022-09-01 jego używanie będzie zabronione we wszystkich certyfikatach TLS wydawanych przez publiczne Urzędy Certyfikacji (Certification Authority – CA)
3, 2, 1…, 2 – jednoroczne certyfikaty TLS ponownie w odwrocie
Od kilku lat obserwujemy systematyczne, mające na celu głównie podniesienie bezpieczeństwa, skracanie maksymalnej ważność certyfikatów TLS. Od 60 miesięcy obowiązujących przed kwietniem 2015 roku, przez 39 miesiące pomiędzy kwietniem 2015 a lutym 2018, do 27 miesięcy od marca 2018. W mijającym tygodniu na CA/Browser Forum zakończyło się głosowanie będące już…
EFAIL – podatność w S/MIME i PGP
Od wczoraj możemy sporo przeczytać na temat podatności pozwalającej na odczytywanie wiadomości szyfrowanych z wykorzystaniem standardów S/MIME i PGP. Zawdzięczamy to grupie naukowców z trzech niemieckich uczelni, którzy swoje odkrycie ochrzcili nazwą EFAIL.
Nowelizacja ustawy o usługach zaufania i identyfikacji elektronicznej
Kilka dni temu Rząd przyjął projekt ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw uchwalonej pierwotnie we wrześniu 2016 roku. Główne zmiany opisane zostały na stronie Kancelarii Premiera, przeczytać możemy tam m.in. że: wprowadzono przepisy znacząco ułatwiające obywatelom potwierdzanie swojej tożsamości w publicznych usługach online…
Certificate Transparency wymagane dla wszystkich certyfikatów SSL
Przed nami kolejna duża zmiana w świecie certyfikatów SSL. Od jutra tj. od 1 maja 2018 wszystkie certyfikaty SSL będą musiały być wydawane w zgodzie z ideą Certificate Transparency (CT).
Certyfikaty SSL maksymalnie na 825 dni
Od 1 marca 2018, zgodnie z zapisami Baseline Requirements CA/Browser Forum, Urzędy Certyfikacji mogą wystawiać certyfikaty SSL ważne maksymalnie 825 dni.
Certification Authority Authorization wchodzi do gry
Prawie 2,5 roku temu pisałem o dopiero raczkującym Certification Authority Authorization (CAA). Dziś ten mechanizm bezpieczeństwa zaczyna chodzić i staje się nieodłącznym elementem wydawania certyfikatów SSL.
Google przestaje ufać Symantecowi [Aktualizacja]
Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
Dwa różne dokumenty, ten sam skrót – kolizja SHA-1 znaleziona
Tym razem nie chodzi o teoretyczne rozważania. Znaleziono prawdopodobnie pierwszą rzeczywistą kolizję funkcji skrótu SHA-1.
Identyfikowanie użytkowników Firefoksa za pomocą cache’owanych certyfikatów pośrednich
Dość wyszukany, ale ciekawy przykład tego jak mechanizm cache’ujący certyfikaty pośrednie w Firefoksie może umożliwiać identyfikację jego użytkowników.
Jak podejrzeć certyfikat SSL w Chrome?
Podejrzenie certyfikatu SSL w Chrome od wersji 56 wymaga nieco więcej zachodu niż dotychczas. Już jakiś czas temu przeniesiono informacje o certyfikacie SSL danej strony do panelu bezpieczeństwa DevTools. Droga do DevTools prowadziła przez kliknięcie w kłódkę, a następnie w Szczegóły. Był to niejako naturalny i intuicyjny sposób. W najnowszej przeglądarce…
Prawie 9000 certyfikatów SSL unieważnionych po odkryciu błędu w weryfikacji domen
Właściwa weryfikacja dostępu do domeny jest głównym zadaniem urzędów certyfikacji podczas wydawania certyfikatów SSL. Niestety, w ostatnich dniach po raz kolejny mogliśmy przeczytać o błędzie, którego konsekwencją było unieważnienie prawie 9000 certyfikatów.
Certyfikaty SSL SHA-1 w 2017
Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
6 miesięcy z eIDAS
Od wejścia w życie rozporządzenia eIDAS minęło już prawie pół roku. Jeżeli zastanawiacie się jak wygląda status wdrożenia zaufanych usług w krajach Unii Europejskiej to zachęcam to zapoznania się z tym podsumowaniem [PDF].