Lepiej późno niż wcale, to chyba najlepsze określenie informacji ogłoszonej przez Microsoft w połowie lutego: HTTP Strict Transport Security został wdrożony w Internet Explorerze i, co naturalne, będziemy mogli z niego korzystać także w przeglądarce Spartan.
Czas ważności certyfikatów SSL ograniczony do 39 miesięcy
Od 1 kwietnia nie kupimy już certyfikatu SSL z okresem ważności dłuższym niż 39 miesięcy. A przynajmniej nie zrobimy tego w Urzędzie Certyfikacji (ang. Certificate Authority – CA), który deklaruje zgodność z wymaganiami CA/Browser Forum Baseline Requirements.
Zmiany w Firefoxie 36
Światło dzienne ujrzała dzisiaj kolejna wersja, oznaczona numerem 36, przeglądarki Firefox. Nowości i zmian jest sporo, ale my przyjrzyjmy się kilku tym, które dotyczą części związanej z jej bezpieczeństwem.
Online Certificate Status Protocol – część 3
W kolejnej, trzeciej już, części wpisów dotyczących OCSP znajdziecie m.in. porównanie weryfikacji statusu certyfikatu za pomocą OCSP i CRL. Przedstawię także kilka ciekawych kwestii związanych z zasadami funkcjonowania protokołu weryfikacji certyfikatów w trybie online.
Man-in-the-middle w laptopach Lenovo
Pamiętacie opisywaną przeze mnie historię amerykańskiej firmy Gogo, która to poprzez wykorzystanie fałszywego certyfikat podsłuchiwała swoich klientów na pokładach samolotów? Dzisiaj wyszło na jaw, że podobne praktyki, niosące za sobą jeszcze bardziej niebezpieczne konsekwencje, stosuje firma Lenovo.
Wyłączenie SSL 3.0 fallback w IE i niespodziewany błąd…
W wydanym wczoraj tzw. Patch Tuesday, czyli paczce aktualizacji bezpieczeństwa przeznaczonej dla produktów firmy Microsoft publikowanej w drugi wtorek każdego miesiąca, znalazła się m.in. zmiana będąca pokłosiem głośnej podatności POODLE – wyłączenie SSL 3.0 fallback. Na końcu tego wpisu znajduje się także opis błędu, na który natknąłem się w trakcie jego tworzenia.
Baseline Requirements dla certyfikatów do podpisywania kodu
W ubiegłą środę stowarzyszenie CABForum, a dokładniej członkowie Code Signing Working Group, opublikowali finalną wersję szkicu dokumentu opisującego kwestie dotyczące wymagań stawianych certyfikatom służącym do cyfrowego podpisywania kodu.
Certificate Transparency nabiera rozpędu
W ostatnim czasie mogliśmy przeczytać o kilku wydarzeniach (o jednym z nich nawet pisałem), które przyczynią się do rozwoju mechanizmu Certificate Transparency (CT). W najbliższej przyszłości czeka nas też kilka zmian, które sprawią, że mechanizm zaprojektowany przez Google będzie wykorzystywany na szeroką skalę.
Porządki w magazynie certyfikatów Firefoxa
Mozilla rozpoczyna właśnie drugą fazę usuwania niektórych certyfikatów głównych (root) z zaufanego magazynu swojej przeglądarki. Przyjrzyjmy się temu dlaczego i które certyfikaty zostaną usunięte.
Online Certificate Status Protocol – część 2
W pierwszej części przedstawiłem ogólną zasadę działania protokołu OCSP. W tej skupię się na strukturze żądania i odpowiedzi OCSP.
Online Certificate Status Protocol – część 1
Online Certificate Status Protocol jest protokołem pozwalającym na sprawdzenie statusu certyfikatu. Ten wpis jest pierwszą z kilku części, w których postaram się przybliżyć zasadę jego działania.
Nowa wersja biblioteki OpenSSL
Opublikowana została właśnie nowa wersja, a właściwie to nowe wersje biblioteki kryptograficznej OpenSSL. Zawierają one wiele poprawek błędów z których osiem dotyczy bezpieczeństwa.
Podniebny man-in-the-middle
Gogo jest firmą, działającą na terenie Stanów Zjednoczonych, dostarczającą usługę bezprzewodowego Internetu na pokładach samolotów. W ostatnich dniach – przez zupełny przypadek – odkryto, że świadomie podstawiali swoim klientom fałszywy certyfikat SSL.
Zmiany na SSL Labs w 2014
Jednym z najlepszych narzędzi (o ile nie najlepszym) do weryfikacji konfiguracji SSL/TLS serwera HTTP jest SSL Labs, którego głównym twórcą jest Ivan Ristić. Wraz z końcem roku podsumował on na swoim blogu zmiany jakie zaszły na SSL Labs w ostatnich dwunastu miesiącach
Certificate Transparency w Firefoxie
Mozilla ogłosiła, że zamierza w niedalekiej przyszłości wdrożyć w swojej przeglądarce mechanizm pozwalający na sprawdzenie czy certyfikat został wydany zgodnie z założeniami Certificate Transparency. Początkowo opcja ta ma nie być włączona domyślnie.