O pracach nad nową ustawą o usługach zaufania i identyfikacji elektronicznej wspominałem już w kwietniu. Kilka dni temu, 5 września została ona jednogłośnie uchwalona przez Sejm.
Krypto zmiany w Chrome 53
W wydanej wczoraj, stabilnej wersji przeglądarki Chrome 53 dla Windows, Linux i Mac – jak w każdym nowym wydaniu – spora część zmian dotyczy części krypto. Poniżej krótki przegląd kilku z nich.
3DES i Blowfish w opałach? Atak Sweet32
Co łączy te dwa algorytmy szyfrujące i sprawia, że są one podatne na atak mogący prowadzić do odczytania szyfrowanej komunikacji TLS, SSH czy IPsec? O tym dowiecie się w tym wpisie.
eIDAS – co zmieniło się po 1 lipca?
Od 1 lipca 2016 roku w całej Unii Europejskiej zaczęło obowiązywać rozporządzenie eIDAS. Co oznacza to dla obecnych posiadaczy podpisu elektronicznego w Polsce?
Czy certyfikat pośredni Blue Coat rzeczywiście stanowi zagrożenie?
Kiedy pod koniec września 2015 roku Symantec wystawiał certyfikat pośredni dla firmy Blue Coat zapewne nie spodziewał się, że dziewięć miesięcy później w sieci zaczną pojawiać się instrukcje wskazujące jak usunąć ten certyfikat z zaufanych list poszczególnych systemów operacyjnych. Co jest powodem takiej sytuacji i czy ma ona swoje uzasadnienie?…
Mozilla udziela Symantecowi dyspensy na wystawienie 9 certyfikatów SSL SHA-1
Wszędzie tam, gdzie to możliwe certyfikaty TLS (SSL) podpisane przy użyciu funkcji skrótu SHA-1 zastępowane są na te wygenerowane przy pomocy nowszego i bezpieczniejszego algorytmu SHA-2. Gdzieniegdzie jednak ten proces migracji nie jest tak prosty jak mogłoby się wydawać co w połączeniu z gapiostwem może powodować pewnego rodzaju ciekawe dylematy.
Błąd w weryfikacji dostępu do domeny mógł doprowadzić do nieuprawnionego pozyskania certyfikatu TLS
Właściwa weryfikacja dostępu do domeny jest jednym z podstawowych czynników pozwalających na zachowanie bezpieczeństwa oferowanego przez publiczne certyfikaty TLS. Jednak jak w każdym oprogramowaniu, także w aplikacjach urzędów certyfikacji zdarzają się błędy.
Kolejny etap wycofywania certyfikatów SSL SHA-1 w Chrome
Ponad rok temu Google zapoczątkowało proces wycofywania certyfikatów SSL (TLS) SHA-1 poprzez wprowadzenie określonych ostrzeżeń w przeglądarce Chrome. Teraz czas na kolejny etap.
Dell także manipuluje przy zaufanych certyfikatach Windowsa
Który to już raz słyszymy o narażaniu użytkowników na ataki man-in-the-middle poprzez podstawianie własnych certyfikatów do zaufanych magazynów? Z pewnością nie pierwszy, ani nie drugi, ani nie trzeci… tym razem historia Della.
Google wyłączy wsparcie dla DHE w Chrome
W połowie mijającego właśnie tygodnia mogliśmy przeczytać o planowanych przez Google zmianach dotyczących zestawów szyfrów wykorzystywanych przez przeglądarkę Chrome podczas zestawiania bezpiecznych połączeń HTTPS. O tym jakie to zmiany, co jest przyczyną ich wprowadzania i co się z nimi wiąże możecie przeczytać w tym wpisie.
Mozilla zmienia identyfikatory SSL w Firefoksie
Do przedstawienia informacji o tym czy połączenie ze stroną, którą odwiedzamy jest zabezpieczone przy użyciu certyfikatów TLS (SSL), przeglądarki wykorzystują symbole graficzne. W ostatnim czasie niektóre z nich zabrały się za ich udoskonalanie.
Kłódka z żółtym trójkątem znika z Chrome
Żółty trójkąt w świadomości wielu z nas oznacza ostrzeżenie. Takie też zadanie pełnił żółty trójkąt na kłódce symbolizującej połączenie HTTPS w przeglądarce Chrome. W najnowszej, 46, wersji przeglądarki od Google znaku tego już jednak nie zobaczymy.
Praktyczny atak na SHA-1 możliwy o wiele szybciej niż zakładano
Nazwanie wyników badań grupy badaczy początkiem końca SHA-1 może nie jest zbyt trafnym określeniem, ponieważ proces wycofywania tej funkcji skrótu z powszechnego użycia rozpoczął się dużo wcześniej. Niemniej jednak przedstawione rezultaty mogą być mocnym impulsem do jego przyśpieszenia.
Ponad 100 000 estońskich elektronicznych dowodów osobistych do wyrzucenia?
Właśnie taka liczba elektronicznych dowodów tożsamości mogła stać się bezużyteczna w kolejnym wydaniu przeglądarki Chrome. O tym dlaczego, przeczytacie w tym wpisie.
Dzięki Certificate Transparency wykryto błędnie wydane certyfikaty SSL
Można ogłosić chyba pierwszy sukces mechanizmu Certificate Transparency (CT). Kilka dni temu właśnie dzięki CT udało się odkryć kilka nieautoryzowanych certyfikatów SSL wystawionych dla domen należących do Google.