Świetne przedstawienie wydarzeń związanych z protokołami SSL i TLS. Całość ułożona w porządku chronologicznym. Autorem Ivan Ristić.
Czy certyfikat pośredni Blue Coat rzeczywiście stanowi zagrożenie?
Kiedy pod koniec września 2015 roku Symantec wystawiał certyfikat pośredni dla firmy Blue Coat zapewne nie spodziewał się, że dziewięć miesięcy później w sieci zaczną pojawiać się instrukcje wskazujące jak usunąć ten certyfikat z zaufanych list poszczególnych systemów operacyjnych. Co jest powodem takiej sytuacji i czy ma ona swoje uzasadnienie?…
O TLS słów kilka
Prawie godzinna prezentacja na temat kondycji protokołu Transport Layer Security, w skrócie TLS. Autorem Hanno Böck.
Projekt ustawy o usługach zaufania
Pod koniec marca na stronę Rządowego Centrum Legislacji trafił projekt ustawy o usługach zaufania, identyfikacji elektronicznej oraz zmianie niektórych ustaw. Do pojutrza (6 kwietnia) potrwają konsultacje publiczne. Przypomnę, że nowa ustawa powstaje na bazie rozporządzenia unijnego eIDAS i z dniem 1 lipca 2016 roku zastąpi, pochodzącą z 2001 roku, ustawę…
Słabości w weryfikacji certyfikatów w popularnych językach programowania [Aktualizacja]
Niepochlebne wyniki testów jakości implementacji weryfikacji certyfikatów TLS w PHP, Pythonie i Go. Skrypty wykorzystanie w badaniu znajdziecie tutaj. [Aktualizacja 05.04.2016] Odpowiedź na artykuł wyjaśniająca kwestie dotyczące biblioteki Requests (Python).
Sekurak/Offline #2
Wczoraj ukazał się drugi numer Sekurak/Offline – magazynu w którym znajdziecie 9 artykułów dotyczących bezpieczeństwa aplikacji WWW. Czytelnikom Kryptosfery tym razem szczególnie polecam tekst o HTTP Public Key Pinning. Jeżeli nie czytałeś jeszcze pierwszego numeru, zachęcam.
Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]
Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…
Microsoft utracił wyniki audytów dla 147 certyfikatów głównych
Każdy urząd certyfikacji (ang. Certificate Authority – CA), który chce, żeby jego certyfikaty były uznawane za zaufane w systemach Microsoftu, musi spełnić szereg wymogów. Jednym z podstawowych warunków jest pozytywne przejście audytu potwierdzającego działanie w zgodzie z najlepszymi praktykami bezpieczeństwa. Dla komercyjnych CA, Microsoft wymaga zgodności ze standardami WebTrust lub…
Trafiony, zatopiony – SSLv2 i atak DROWN
Jeżeli jeszcze gdzieś wykorzystywany jest protokół SSL w wersji 2 to najnowsze odkrycie grupy badaczy powinno zachęcić do całkowitego porzucenia tej, już ponad 20-letniej, wersji protokołu SSL. Mowa o ataku DROWN, czyli Decrypting RSA with Obsolete and Weakened eNcryption pozwalającym na deszyfrowanie połączeń TLS. Na atak podatne są serwery korzystające…
Mozilla udziela Symantecowi dyspensy na wystawienie 9 certyfikatów SSL SHA-1
Wszędzie tam, gdzie to możliwe certyfikaty TLS (SSL) podpisane przy użyciu funkcji skrótu SHA-1 zastępowane są na te wygenerowane przy pomocy nowszego i bezpieczniejszego algorytmu SHA-2. Gdzieniegdzie jednak ten proces migracji nie jest tak prosty jak mogłoby się wydawać co w połączeniu z gapiostwem może powodować pewnego rodzaju ciekawe dylematy.
Błąd w weryfikacji dostępu do domeny mógł doprowadzić do nieuprawnionego pozyskania certyfikatu TLS
Właściwa weryfikacja dostępu do domeny jest jednym z podstawowych czynników pozwalających na zachowanie bezpieczeństwa oferowanego przez publiczne certyfikaty TLS. Jednak jak w każdym oprogramowaniu, także w aplikacjach urzędów certyfikacji zdarzają się błędy.
Podpisywanie kodu w systemach Windows – User Mode
Wykorzystanie podpisu cyfrowego w celu zapewnienia autentyczności i integralności aplikacji w systemach Windows realizowane jest poprzez mechanizm Microsoft Authenticode. Jeżeli chcesz dowiedzieć się jakie są najnowsze wymagania odnośnie podpisywania aplikacji w systemach operacyjnych firmy z Redmond ten wpis jest dla Ciebie.
HTTP w Chrome będzie oznaczany jako niebezpieczny
Pomysł, żeby w przeglądarce Chrome, strony które udostępniają swoje treści za pomocą nieszyfrowanego protokołu HTTP oznaczane były jako niebezpieczne zrodził się już pod koniec 2014 roku. Mimo to, przez kolejne miesiące nie wprowadzono żadnych zmian w tym zakresie, które byłyby widoczne dla użytkowników. Najnowsze doniesienia pozwalają jednak sądzić, że może się…
Nowy panel bezpieczeństwa w DevTools Chrome
DevTools będące częścią przeglądarki Chrome zna pewnie wielu z Was. Jak podpowiada jego nazwa jest to zbiór narzędzi przydatny np. w pracy programisty, testera czy administratora IT. Wraz z nową wersją (48) przeglądarki Chrome otrzymaliśmy nowy – będący częścią DevTools – panel bezpieczeństwa (security panel). W nowej wersji tego panelu…
Sfera krypto w 2016 – co przyniesie nowy rok?
Po podsumowaniu roku 2015 przyszedł czas na spojrzenie na to co czeka nas w sferze krypto w roku 2016. Wpis został podzielony na dwie części. W pierwszej opisuję rzeczy raczej pewne. W drugiej natomiast przewiduję co może spotkać nas nowym roku.