Kryptosfera

Rozszerzenia

Wczoraj ukazał się drugi numer Sekurak/Offline – magazynu w którym znajdziecie 9 artykułów dotyczących bezpieczeństwa aplikacji WWW. Czytelnikom Kryptosfery tym razem szczególnie polecam tekst o HTTP Public Key Pinning. Jeżeli nie czytałeś jeszcze pierwszego numeru, zachęcam.

Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]

Kryptosfera

21/03/2016

Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…

Microsoft utracił wyniki audytów dla 147 certyfikatów głównych

Kryptosfera

03/03/2016

Każdy urząd certyfikacji (ang. Certificate Authority – CA), który chce, żeby jego certyfikaty były uznawane za zaufane w systemach Microsoftu, musi spełnić szereg wymogów. Jednym z podstawowych warunków jest pozytywne przejście audytu potwierdzającego działanie w zgodzie z najlepszymi praktykami bezpieczeństwa. Dla komercyjnych CA, Microsoft wymaga zgodności ze standardami WebTrust lub…

Trafiony, zatopiony – SSLv2 i atak DROWN

Kryptosfera

02/03/2016

Jeżeli jeszcze gdzieś wykorzystywany jest protokół SSL w wersji 2 to najnowsze odkrycie grupy badaczy powinno zachęcić do całkowitego porzucenia tej, już ponad 20-letniej, wersji protokołu SSL. Mowa o ataku DROWN, czyli Decrypting RSA with Obsolete and Weakened eNcryption pozwalającym na deszyfrowanie połączeń TLS. Na atak podatne są serwery korzystające…

HTTP w Chrome będzie oznaczany jako niebezpieczny

Kryptosfera

28/01/2016

Pomysł, żeby w przeglądarce Chrome, strony które udostępniają swoje treści za pomocą nieszyfrowanego protokołu HTTP oznaczane były jako niebezpieczne zrodził się już pod koniec 2014 roku. Mimo to, przez kolejne miesiące nie wprowadzono żadnych zmian w tym zakresie, które byłyby widoczne dla użytkowników. Najnowsze doniesienia pozwalają jednak sądzić, że może się…

Nowy panel bezpieczeństwa w DevTools Chrome

Kryptosfera

27/01/2016

DevTools będące częścią przeglądarki Chrome zna pewnie wielu z Was. Jak podpowiada jego nazwa jest to zbiór narzędzi przydatny np. w pracy programisty, testera czy administratora IT. Wraz z nową wersją (48) przeglądarki Chrome otrzymaliśmy nowy – będący częścią DevTools – panel bezpieczeństwa (security panel). W nowej wersji tego panelu…

Microsoft porządkuje magazyn zaufanych certyfikatów głównych

Kryptosfera

18/12/2015

Aż 20 certyfikatów należących do 12 Urzędów Certyfikacji zostanie usuniętych z zaufanego magazynu certyfikatów głównych Microsoftu. Powody dla których podjęto takie kroki to głównie niespełnienie stawianych wymagań lub po prostu dobrowolne zaprzestanie działania danej organizacji w tym sektorze. Pełną listę certyfikatów, które zostaną usunięte już w styczniu 2016, znajdziecie tutaj.…

Mapa poziomu bezpieczeństwa konfiguracji TLS

Kryptosfera

09/12/2015

A na mapie lokalizacja serwerów wraz z wynikami jakie osiągnąły one w teście sprawdzającym poziom bezpieczeństwa konfiguracji SSL/TLS. Mapa jest aktualizowana na bieżąco. Sam test można wykonać tutaj, a ocena wystawiana jest na podstawie reguł opisanych tutaj.

Firefox ze wsparciem dla OCSP Must-Staple

Kryptosfera

23/11/2015

Jak informuje Mozilla nowy mechanizm zostanie dodany do 45 wersji Firefoksa, której wydanie planowane jest w marcu 2016 roku. O tym czym jest OCSP Must-Staple mogliście przeczytać w jednym z artykułów na Kryptosferze :-)

Wcześniejsze blokowanie certyfikatów SSL SHA-1 przez Microsoft?

Kryptosfera

04/11/2015

Wiele na to wskazuje. Pod tym adresem znajdziecie dzisiejszy wpis, w którym to Microsoft oficjalnie informuje, że rozważa blokowanie certyfikatów TLS (SSL) wygenerowanych w oparciu o funkcję skrótu SHA-1 sześć miesięcy wcześniej niż początkowo zapowiadał. Oznaczałoby to, że certyfikaty TLS SHA-1 przestaną być akceptowane przez Windowsa od 1 czerwca 2016 roku.…

O unieważnianiu certyfikatów słów kilka

Kryptosfera

30/10/2015

Możliwość unieważniania certyfikatów cyfrowych jest jedną z kluczowych właściwości mających wpływ na bezpieczeństwo Infrastruktury Klucza Publicznego (ang. Public Key Infrastructure). W pracy zatytułowanej An End-to-End Measurement of Certificate Revocation in the Web’s PKI przedstawiono jak obecnie, w praktyce, funkcjonują mechanizmy unieważnień.

Ile kosztuje spóźnienie się z odnowieniem certyfikatu?

Kryptosfera

01/10/2015

Zapomniałeś odnowić certyfikat SSL kluczowego dla Twojej firmy serwisu? Twoje gapiostwo może narazić organizację w której pracujesz na spore straty finansowe.

Odświeżony podgląd certyfikatów SSL w Firefoksie 41

Kryptosfera

23/09/2015

Ci z Was, którzy mają nawyk sprawdzania szczegółów certyfikatu SSL danej strony już pewnie zauważyli, że w najnowszej wersji przeglądarki Firefox oznaczonej numerem 41 zmieniono nieco interfejs podglądu certyfikatu SSL. Tak było jeszcze w Firefoxie 40: A tak wygląda to w Firefoksie 41: I dopiero po przejściu dalej (przycisk strzałki)…

Bezpieczeństwo OpenSSL na przestrzeni ostatniego roku

Kryptosfera

01/09/2015

Przegląd podatności OpenSSL z ostatnich dwunastu miesięcy, a wśród nich te opisywanie na Kryptosferze FREAK i Alternative chains certificate forgery.

W Edge nie podejrzysz certyfikatu SSL

Kryptosfera

27/08/2015

Potwierdziły się obawy o to, że nowa przeglądarka Microsoftu nie daje użytkownikom możliwości podglądu certyfikatu SSL strony, którą przeglądają. Twórcy są świadomi tej niedoróbki, ale na ten moment nie podają terminu jej naprawy. PS. Obecnie nie mam możliwości sprawdzenia osobiście jak to wygląda aktualnej wersji Edge, więc jeżeli któryś z…

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Always Enabled

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Performance

Analytics

Others