Sekurak/Offline #2

Wczoraj ukazał się drugi numer Sekurak/Offline – magazynu w którym znajdziecie 9 artykułów dotyczących bezpieczeństwa aplikacji WWW. Czytelnikom Kryptosfery tym razem szczególnie polecam tekst o HTTP Public Key Pinning. Jeżeli nie czytałeś jeszcze pierwszego numeru, zachęcam.

Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]

Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…

Microsoft utracił wyniki audytów dla 147 certyfikatów głównych

Każdy urząd certyfikacji (ang. Certificate Authority – CA), który chce, żeby jego certyfikaty były uznawane za zaufane w systemach Microsoftu, musi spełnić szereg wymogów. Jednym z podstawowych warunków jest pozytywne przejście audytu potwierdzającego działanie w zgodzie z najlepszymi praktykami bezpieczeństwa. Dla komercyjnych CA, Microsoft wymaga zgodności ze standardami WebTrust lub…

Mozilla udziela Symantecowi dyspensy na wystawienie 9 certyfikatów SSL SHA-1

Wszędzie tam, gdzie to możliwe certyfikaty TLS (SSL) podpisane przy użyciu funkcji skrótu SHA-1 zastępowane są na te wygenerowane przy pomocy nowszego i bezpieczniejszego algorytmu SHA-2. Gdzieniegdzie jednak ten proces migracji nie jest tak prosty jak mogłoby się wydawać co w połączeniu z gapiostwem może powodować pewnego rodzaju ciekawe dylematy.

HTTP w Chrome będzie oznaczany jako niebezpieczny

Pomysł, żeby w przeglądarce Chrome, strony które udostępniają swoje treści za pomocą nieszyfrowanego protokołu HTTP oznaczane były jako niebezpieczne zrodził się już pod koniec 2014 roku. Mimo to, przez kolejne miesiące nie wprowadzono żadnych zmian w tym zakresie, które byłyby widoczne dla użytkowników. Najnowsze doniesienia pozwalają jednak sądzić, że może się…