Tej decyzji można było się spodziewać. Dzisiaj, wszystkie trzy firmy ogłosiły, że na początku przyszłego roku wyłączą wsparcie dla szyfru RC4 w swoich przeglądarkach.
Main-in-the-middle ukryty w lodówce
Błędy w implementacji protokołu TLS prowadzące do możliwości wykradania danych użytkowników zdarzają się ostatnimi czasy nierzadko. Tym razem padło na… jedną z inteligentnych lodówek. Błąd odkryli specjaliści bezpieczeństwa z firmy Pen Test Partners, a zhackowana lodówka to produkt firmy Samsung, model RF28HMELBSR.
Poważny błąd w OpenSSL załatany
Zgodnie z poniedziałkową zapowiedzią dziś na serwery projektu OpenSSL trafiła nowa wersja biblioteki w której załatano jeden poważany błąd bezpieczeństwa. Umożliwiał on podstawienie fałszywych certyfikatów, które następnie mogły być traktowane jako wystawione przez zaufane Urzędy Certyfikacji (CAs).
Oficjalny koniec SSL 3.0
O tym, że protokół SSL w wersji 3 nie gwarantuje bezpiecznej transmisji danych wiadomo nie od dziś. Opublikowany właśnie dokument RFC 7568 całkowicie zakazuje jego wykorzystywania.
Aktualizacja biblioteki OpenSSL
Na stronach projektu OpenSSL została opublikowana nowa wersja szeroko wykorzystywanej biblioteki kryptograficznej. Sprawdźmy co przynosi nowe wydanie.
Atak Logjam zagrożeniem dla bezpiecznej wymiany sekretów
Kilka miesięcy temu grupa badaczy odkryła podatność protokołu TLS (Transport Layer Security) dotyczącą sposobu wdrożenia algorytmu wymiany kluczy Diffie-Hellmana. Opublikowane wczoraj błędy narażają na ataki – mogące prowadzić do podsłuchania transmisji danych – połączenia HTTPS, SSH i VPN.
Pierwsze w tym roku CA Communication Mozilli
Od ponad pięciu lat Mozilla przesyła do Urzędów Certyfikacji (CAs) wiadomości z prośbą o ustosunkowanie się wskazanych przez fundację kwestii. CA Communications, bo taką nazwę przyjęła ta praktyka, wczoraj ponownie trafiły do zainteresowanych.
Mozilla usuwa tureckie CA z zaufanego magazynu certyfikatów
Na początku mijającego tygodnia Mozilla zdecydowała o usunięciu ze swojego zaufanego magazynu certyfikatów, certyfikatu należącego do e-Guven, Urzędu Certyfikacji (CA) z Turcji.
Microsoft aktualizuje politykę wycofywania SHA-1
Półtora roku temu Microsoft ogłosił politykę wycofywania funkcji skrótu SHA-1 ze swoich systemów. W ostatnim czasie wprowadził do niej jednak pewne zmiany. Zobaczmy jak dzisiaj przedstawia się strategia Microsoftu.
Google i Mozilla przestają ufać chińskiemu urzędowi certyfikacji
Zgodnie z przypuszczeniami chiński urząd certyfikacji CNNIC nie uniknął poważnych konsekwencji zdarzenia sprzed kilkunastu dni, kiedy to – mimo, że nie powinien – wydał certyfikat pośredni jednej z egipskich firm.
Fałszywe certyfikaty dla domen Google – podsumowanie
Na początku mijającego tygodnia, Google, za pośrednictwem swojego bloga, poinformowało, że odkryło kilka nieautoryzowanych certyfikatów SSL wydanych ich swoich domen. Przyjrzyjmy się jak do tego doszło i jak na ten incydent zareagowali twórcy przeglądarek.
Kilkanaście poprawek bezpieczeństwa w OpenSSL
Od dzisiejszego poranka możemy przystąpić do aktualizacji najpopularniejszej biblioteki kryptograficznej – OpenSSL. Zapowiadane kilka dni wcześniej wydanie przynosi sporo poprawek dotyczących jej bezpieczeństwa.
Fałszywy certyfikat SSL dla domeny Microsoftu
Dla jednej z domen obsługujących usługę Windows Live wystawiony został fałszywy certyfikat SSL – informuje Microsoft w swoim Security Advisory. Sprawa jest o tyle poważna, że certyfikat został wydany przez jeden z najpopularniejszych Urzędów Certyfikacji (CA).
OneCRL w Firefoxie
Zgodnie z informacją przekazaną przez Mozillę kolejna wersja przeglądarki Firefox wykorzystywała będzie nowy mechanizm pozwalający na sprawdzenie czy certyfikat nie został unieważniony. Nie jest to jednak całkowita rewolucja, ponieważ zmiany dotyczą jedynie certyfikatów pośrednich.
Systemy Windows podatne na atak FREAK
Microsoft ogłosił wczoraj, że wszystkie wersje jego systemów są narażone na atak FREAK. Znacząco zwiększa to liczbę użytkowników, których dotyczy problem.