Jeszcze dwa lata temu Certificate Transparency nie było mechanizmem na który zwracano szczególną uwagę. Po wczorajszej decyzji Google na dobre wpisze się on jednak w funkcjonowanie certyfikatów SSL. I dobrze.
WoSign i StartCom bez zaufania Mozilli
Wczoraj na blogu twórców Firefoksa ogłoszono to, co od kilku tygodniu było niemal pewne. Dwa duże urzędy certyfikacji, chiński WoSign oraz izraelski StartCom utraciły zaufanie Mozilli. Każdy nowy certyfikat wydany przez te urzędy certyfikacji nie będzie traktowany jako zaufany w produktach Mozilli.
Błąd w aplikacji OCR pozwalał na nieuprawnione pozyskanie certyfikatu SSL
Poprawna weryfikacja dostępu do domeny przeprowadza przez urząd certyfikacji jest kluczową kwestią podczas wydawania certyfikatów SSL. Niestety proces ten nie jest wolny od błędów i dziś o jednym z nich.
Błąd w procesie unieważnienia jednego certyfikatu spowodował niedostępność wielu stron WWW
Dzisiaj o tym jak błąd w aplikacji wykorzystywanej przez Urząd Certyfikacji spowodował w najlepszym wypadku kilkugodzinną niedostępność wielu stron z zainstalowanym certyfikatem SSL.
Ustawa o usługach zaufania i identyfikacji elektronicznej uchwalona przez Sejm
O pracach nad nową ustawą o usługach zaufania i identyfikacji elektronicznej wspominałem już w kwietniu. Kilka dni temu, 5 września została ona jednogłośnie uchwalona przez Sejm.
Czy HTTP Public Key Pinning jest martwy?
Stron WWW z wdrożonym mechanizmem HTTP Public Key Pinning jest ciągle jak na lekarstwo. Trudności w poprawnej implementacji, ryzyko zablokowania dostępu do strony i spore możliwości nadużyć. To między innymi te kwestie skłoniły Ivana Ristica do zadania pytania: czy HPKP jest martwy? Próbę znalezienia odpowiedzi znajdziecie w tym wpisie.
Krypto zmiany w Chrome 53
W wydanej wczoraj, stabilnej wersji przeglądarki Chrome 53 dla Windows, Linux i Mac – jak w każdym nowym wydaniu – spora część zmian dotyczy części krypto. Poniżej krótki przegląd kilku z nich.
3DES i Blowfish w opałach? Atak Sweet32
Co łączy te dwa algorytmy szyfrujące i sprawia, że są one podatne na atak mogący prowadzić do odczytania szyfrowanej komunikacji TLS, SSH czy IPsec? O tym dowiecie się w tym wpisie.
Wykorzystywanie HSTS i HPKP do niecnych celów
Opisy ciekawych możliwości wykorzystywania mechanizmów bezpieczeństwa do niegodziwych czynów. Artykuł bez wątpienia warto przeczytać, ale na pewno nie warto rezygnować z wdrażania HSTS (HTTP Strict Transport Security) i HPKP (HTTP Public Key Pinning). Przewaga korzyści, które oferują, jest niepodważalna.
Identyfikacja pochodzenia kluczy RSA
Czy wyłącznie na podstawie klucza publicznego RSA możliwa jest identyfikacja generatora użytego do jego wygenerowania? Na to pytanie odpowiedzieli w swojej pracy (tutaj jej rozszerzona wersja) pracownicy czeskiego uniwersytetu Masaryka (czes. Masarykova univerzita). Na potrzeby badań, naukowcy wygenerowali ponad 60 milionów pary kluczy RSA przy użyciu 38 różnych generatorów wśród…
Zbiór technicznych standardów eIDAS
Europejski Instytut Norm Telekomunikacyjnych ETSI (ang. European Telecommunications Standards Institute) opublikował właśnie standardy (a właściwie zebrał w jednym miejscu wcześniej publikowane dokumenty) opisujące szereg technicznych aspektów mających zastosowanie dla rozporządzenia eIDAS. Wśród nich znajdziecie np. wymagania dotyczące struktury certyfikatów czy akceptowalnych algorytmów kryptograficznych. Wszystkie dokumenty można pobrać tutaj.
Google eksperymentuje z kryptografią odporną na komputery kwantowe
Nie od dziś wiadomo, że komputery kwantowe mogą w przyszłości stać się zagrożeniem dla bezpieczeństwa szeroko wykorzystywanej obecnie kryptografii klucza publicznego (znanej także pod nazwą kryptografii asymetrycznej). Specyfika komputerów kwantowych pozwala bowiem na wykonywanie pewnych obliczeń o wiele szybciej niż potrafią to robić dzisiejsze komputery co pozwalało będzie na praktyczne…
eIDAS – co zmieniło się po 1 lipca?
Od 1 lipca 2016 roku w całej Unii Europejskiej zaczęło obowiązywać rozporządzenie eIDAS. Co oznacza to dla obecnych posiadaczy podpisu elektronicznego w Polsce?
Historia SSL/TLS na osi czasu
Świetne przedstawienie wydarzeń związanych z protokołami SSL i TLS. Całość ułożona w porządku chronologicznym. Autorem Ivan Ristić.
Czy certyfikat pośredni Blue Coat rzeczywiście stanowi zagrożenie?
Kiedy pod koniec września 2015 roku Symantec wystawiał certyfikat pośredni dla firmy Blue Coat zapewne nie spodziewał się, że dziewięć miesięcy później w sieci zaczną pojawiać się instrukcje wskazujące jak usunąć ten certyfikat z zaufanych list poszczególnych systemów operacyjnych. Co jest powodem takiej sytuacji i czy ma ona swoje uzasadnienie?…