Kilka miesięcy temu grupa badaczy odkryła podatność protokołu TLS (Transport Layer Security) dotyczącą sposobu wdrożenia algorytmu wymiany kluczy Diffie-Hellmana. Opublikowane wczoraj błędy narażają na ataki – mogące prowadzić do podsłuchania transmisji danych – połączenia HTTPS, SSH i VPN.
Pierwsze w tym roku CA Communication Mozilli
Od ponad pięciu lat Mozilla przesyła do Urzędów Certyfikacji (CAs) wiadomości z prośbą o ustosunkowanie się wskazanych przez fundację kwestii. CA Communications, bo taką nazwę przyjęła ta praktyka, wczoraj ponownie trafiły do zainteresowanych.
Mozilla usuwa tureckie CA z zaufanego magazynu certyfikatów
Na początku mijającego tygodnia Mozilla zdecydowała o usunięciu ze swojego zaufanego magazynu certyfikatów, certyfikatu należącego do e-Guven, Urzędu Certyfikacji (CA) z Turcji.
Certification Authority Authorization (CAA)
Autoryzacja Urzędu Certyfikacji (ang. Certification Authority Authorization – CAA) poprzez rekord DNS (ang. Domain Name System) to kolejny mechanizm zwiększający bezpieczeństwo Infrastruktury Klucza Publicznego, który staje coraz szerzej wykorzystywany. W poniższym wpisie przedstawie jak działa CAA i jakie niesie za sobą korzyści.
Microsoft aktualizuje politykę wycofywania SHA-1
Półtora roku temu Microsoft ogłosił politykę wycofywania funkcji skrótu SHA-1 ze swoich systemów. W ostatnim czasie wprowadził do niej jednak pewne zmiany. Zobaczmy jak dzisiaj przedstawia się strategia Microsoftu.
Google i Mozilla przestają ufać chińskiemu urzędowi certyfikacji
Zgodnie z przypuszczeniami chiński urząd certyfikacji CNNIC nie uniknął poważnych konsekwencji zdarzenia sprzed kilkunastu dni, kiedy to – mimo, że nie powinien – wydał certyfikat pośredni jednej z egipskich firm.
Nowoczesna i przestarzała kryptografia według Chrome
Co nazywamy nowoczesną kryptografią? A co przestarzałą? Jakie algorytmy kryptograficzne możemy zaliczyć do tej pierwszej grupy, a jakie do drugiej? W tym wpisie postaram się przedstawić jak widzą to twórcy przeglądarki Chrome.
Fałszywe certyfikaty dla domen Google – podsumowanie
Na początku mijającego tygodnia, Google, za pośrednictwem swojego bloga, poinformowało, że odkryło kilka nieautoryzowanych certyfikatów SSL wydanych ich swoich domen. Przyjrzyjmy się jak do tego doszło i jak na ten incydent zareagowali twórcy przeglądarek.
Online Certificate Status Protocol – część 4
Czwarty z serii postów dotyczących Online Certificate Status Protocol (OCSP), tak jak obiecałem, dotyczył będzie dwóch mechanizmów bezpośrednio z nim związanych: OCSP Stapling oraz OCSP Must-Staple. Zapraszam do lektury.
Kilkanaście poprawek bezpieczeństwa w OpenSSL
Od dzisiejszego poranka możemy przystąpić do aktualizacji najpopularniejszej biblioteki kryptograficznej – OpenSSL. Zapowiadane kilka dni wcześniej wydanie przynosi sporo poprawek dotyczących jej bezpieczeństwa.
Fałszywy certyfikat SSL dla domeny Microsoftu
Dla jednej z domen obsługujących usługę Windows Live wystawiony został fałszywy certyfikat SSL – informuje Microsoft w swoim Security Advisory. Sprawa jest o tyle poważna, że certyfikat został wydany przez jeden z najpopularniejszych Urzędów Certyfikacji (CA).
Ostrzeżenia związane z certyfikatami SSL w Chrome
Komunikaty dotyczące certyfikatów SSL nie zawsze są zrozumiałe. Gdy dochodzą do tego zmiany wprowadzane wraz z każdą nową wersją przeglądarki nietrudno jest się w tym wszystkim pogubić.
OneCRL w Firefoxie
Zgodnie z informacją przekazaną przez Mozillę kolejna wersja przeglądarki Firefox wykorzystywała będzie nowy mechanizm pozwalający na sprawdzenie czy certyfikat nie został unieważniony. Nie jest to jednak całkowita rewolucja, ponieważ zmiany dotyczą jedynie certyfikatów pośrednich.
Systemy Windows podatne na atak FREAK
Microsoft ogłosił wczoraj, że wszystkie wersje jego systemów są narażone na atak FREAK. Znacząco zwiększa to liczbę użytkowników, których dotyczy problem.
FREAK – nowa podatność w SSL
Właśnie takiej nazwy użyto do określenia nowo odkrytego błędu w implementacji protokołu SSL/TLS. Inna nazwa błędu – zdradzająca trochę więcej jego szczegółów – to Factoring Attack on RSA-EXPORT Keys. Wykorzystanie podatności może prowadzić do złamania szyfrowanej komunikacji.