Od kilku lat obserwujemy systematyczne, mające na celu głównie podniesienie bezpieczeństwa, skracanie maksymalnej ważność certyfikatów TLS. Od 60 miesięcy obowiązujących przed kwietniem 2015 roku, przez 39 miesiące pomiędzy kwietniem 2015 a lutym 2018, do 27 miesięcy od marca 2018. W mijającym tygodniu na CA/Browser Forum zakończyło się głosowanie będące już…
Nowelizacja ustawy o usługach zaufania i identyfikacji elektronicznej
Kilka dni temu Rząd przyjął projekt ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw uchwalonej pierwotnie we wrześniu 2016 roku. Główne zmiany opisane zostały na stronie Kancelarii Premiera, przeczytać możemy tam m.in. że: wprowadzono przepisy znacząco ułatwiające obywatelom potwierdzanie swojej tożsamości w publicznych usługach online…
Identyfikowanie użytkowników Firefoksa za pomocą cache’owanych certyfikatów pośrednich
Dość wyszukany, ale ciekawy przykład tego jak mechanizm cache’ujący certyfikaty pośrednie w Firefoksie może umożliwiać identyfikację jego użytkowników.
Jak podejrzeć certyfikat SSL w Chrome?
Podejrzenie certyfikatu SSL w Chrome od wersji 56 wymaga nieco więcej zachodu niż dotychczas. Już jakiś czas temu przeniesiono informacje o certyfikacie SSL danej strony do panelu bezpieczeństwa DevTools. Droga do DevTools prowadziła przez kliknięcie w kłódkę, a następnie w Szczegóły. Był to niejako naturalny i intuicyjny sposób. W najnowszej przeglądarce…
6 miesięcy z eIDAS
Od wejścia w życie rozporządzenia eIDAS minęło już prawie pół roku. Jeżeli zastanawiacie się jak wygląda status wdrożenia zaufanych usług w krajach Unii Europejskiej to zachęcam to zapoznania się z tym podsumowaniem [PDF].
Google dołącza do Mozilli i przestaje ufać dwóm dużym urzędom certyfikacji
Po tym jak kilka dni temu Mozilla poinformowała o utracie zaufania dla WoSigna i StartCom podobne oświadczenie wydało Google. Nowe certyfikaty SSL wydawane już od 21 października przez dwa powyższe urzędy certyfikacji nie będą uznawane za zaufane w Chrome. Zmiany będą widoczne od wersji 56. Decyzja ogłoszona przez Google (a…
Czy HTTP Public Key Pinning jest martwy?
Stron WWW z wdrożonym mechanizmem HTTP Public Key Pinning jest ciągle jak na lekarstwo. Trudności w poprawnej implementacji, ryzyko zablokowania dostępu do strony i spore możliwości nadużyć. To między innymi te kwestie skłoniły Ivana Ristica do zadania pytania: czy HPKP jest martwy? Próbę znalezienia odpowiedzi znajdziecie w tym wpisie.
Wykorzystywanie HSTS i HPKP do niecnych celów
Opisy ciekawych możliwości wykorzystywania mechanizmów bezpieczeństwa do niegodziwych czynów. Artykuł bez wątpienia warto przeczytać, ale na pewno nie warto rezygnować z wdrażania HSTS (HTTP Strict Transport Security) i HPKP (HTTP Public Key Pinning). Przewaga korzyści, które oferują, jest niepodważalna.
Identyfikacja pochodzenia kluczy RSA
Czy wyłącznie na podstawie klucza publicznego RSA możliwa jest identyfikacja generatora użytego do jego wygenerowania? Na to pytanie odpowiedzieli w swojej pracy (tutaj jej rozszerzona wersja) pracownicy czeskiego uniwersytetu Masaryka (czes. Masarykova univerzita). Na potrzeby badań, naukowcy wygenerowali ponad 60 milionów pary kluczy RSA przy użyciu 38 różnych generatorów wśród…
Zbiór technicznych standardów eIDAS
Europejski Instytut Norm Telekomunikacyjnych ETSI (ang. European Telecommunications Standards Institute) opublikował właśnie standardy (a właściwie zebrał w jednym miejscu wcześniej publikowane dokumenty) opisujące szereg technicznych aspektów mających zastosowanie dla rozporządzenia eIDAS. Wśród nich znajdziecie np. wymagania dotyczące struktury certyfikatów czy akceptowalnych algorytmów kryptograficznych. Wszystkie dokumenty można pobrać tutaj.
Google eksperymentuje z kryptografią odporną na komputery kwantowe
Nie od dziś wiadomo, że komputery kwantowe mogą w przyszłości stać się zagrożeniem dla bezpieczeństwa szeroko wykorzystywanej obecnie kryptografii klucza publicznego (znanej także pod nazwą kryptografii asymetrycznej). Specyfika komputerów kwantowych pozwala bowiem na wykonywanie pewnych obliczeń o wiele szybciej niż potrafią to robić dzisiejsze komputery co pozwalało będzie na praktyczne…
Historia SSL/TLS na osi czasu
Świetne przedstawienie wydarzeń związanych z protokołami SSL i TLS. Całość ułożona w porządku chronologicznym. Autorem Ivan Ristić.
O TLS słów kilka
Prawie godzinna prezentacja na temat kondycji protokołu Transport Layer Security, w skrócie TLS. Autorem Hanno Böck.
Projekt ustawy o usługach zaufania
Pod koniec marca na stronę Rządowego Centrum Legislacji trafił projekt ustawy o usługach zaufania, identyfikacji elektronicznej oraz zmianie niektórych ustaw. Do pojutrza (6 kwietnia) potrwają konsultacje publiczne. Przypomnę, że nowa ustawa powstaje na bazie rozporządzenia unijnego eIDAS i z dniem 1 lipca 2016 roku zastąpi, pochodzącą z 2001 roku, ustawę…
Słabości w weryfikacji certyfikatów w popularnych językach programowania [Aktualizacja]
Niepochlebne wyniki testów jakości implementacji weryfikacji certyfikatów TLS w PHP, Pythonie i Go. Skrypty wykorzystanie w badaniu znajdziecie tutaj. [Aktualizacja 05.04.2016] Odpowiedź na artykuł wyjaśniająca kwestie dotyczące biblioteki Requests (Python).