Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
Prawie 9000 certyfikatów SSL unieważnionych po odkryciu błędu w weryfikacji domen
Właściwa weryfikacja dostępu do domeny jest głównym zadaniem urzędów certyfikacji podczas wydawania certyfikatów SSL. Niestety, w ostatnich dniach po raz kolejny mogliśmy przeczytać o błędzie, którego konsekwencją było unieważnienie prawie 9000 certyfikatów.
Błąd w aplikacji OCR pozwalał na nieuprawnione pozyskanie certyfikatu SSL
Poprawna weryfikacja dostępu do domeny przeprowadza przez urząd certyfikacji jest kluczową kwestią podczas wydawania certyfikatów SSL. Niestety proces ten nie jest wolny od błędów i dziś o jednym z nich.
Błąd w procesie unieważnienia jednego certyfikatu spowodował niedostępność wielu stron WWW
Dzisiaj o tym jak błąd w aplikacji wykorzystywanej przez Urząd Certyfikacji spowodował w najlepszym wypadku kilkugodzinną niedostępność wielu stron z zainstalowanym certyfikatem SSL.
Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]
Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…
Trafiony, zatopiony – SSLv2 i atak DROWN
Jeżeli jeszcze gdzieś wykorzystywany jest protokół SSL w wersji 2 to najnowsze odkrycie grupy badaczy powinno zachęcić do całkowitego porzucenia tej, już ponad 20-letniej, wersji protokołu SSL. Mowa o ataku DROWN, czyli Decrypting RSA with Obsolete and Weakened eNcryption pozwalającym na deszyfrowanie połączeń TLS. Na atak podatne są serwery korzystające…
Błąd w weryfikacji dostępu do domeny mógł doprowadzić do nieuprawnionego pozyskania certyfikatu TLS
Właściwa weryfikacja dostępu do domeny jest jednym z podstawowych czynników pozwalających na zachowanie bezpieczeństwa oferowanego przez publiczne certyfikaty TLS. Jednak jak w każdym oprogramowaniu, także w aplikacjach urzędów certyfikacji zdarzają się błędy.
Ponad 100 000 estońskich elektronicznych dowodów osobistych do wyrzucenia?
Właśnie taka liczba elektronicznych dowodów tożsamości mogła stać się bezużyteczna w kolejnym wydaniu przeglądarki Chrome. O tym dlaczego, przeczytacie w tym wpisie.
Dzięki Certificate Transparency wykryto błędnie wydane certyfikaty SSL
Można ogłosić chyba pierwszy sukces mechanizmu Certificate Transparency (CT). Kilka dni temu właśnie dzięki CT udało się odkryć kilka nieautoryzowanych certyfikatów SSL wystawionych dla domen należących do Google.
Poważny błąd w OpenSSL załatany
Zgodnie z poniedziałkową zapowiedzią dziś na serwery projektu OpenSSL trafiła nowa wersja biblioteki w której załatano jeden poważany błąd bezpieczeństwa. Umożliwiał on podstawienie fałszywych certyfikatów, które następnie mogły być traktowane jako wystawione przez zaufane Urzędy Certyfikacji (CAs).
Zapowiedź nowej wersji OpenSSL
Od wczoraj na oficjalnej stronie projektu możemy przeczytać zapowiedź wydania kolejnych wersji biblioteki OpenSSL w których wyeliminowano poważną („high” severity) podatność bezpieczeństwa. Błąd dotyczy tylko wersji 1.0.2 i 1.0.1. Bądźcie przygotowani do aktualizacji, której będzie można dokonać już za dwa dni, 9 lipca :-)
Fałszywe certyfikaty dla domen Google – podsumowanie
Na początku mijającego tygodnia, Google, za pośrednictwem swojego bloga, poinformowało, że odkryło kilka nieautoryzowanych certyfikatów SSL wydanych ich swoich domen. Przyjrzyjmy się jak do tego doszło i jak na ten incydent zareagowali twórcy przeglądarek.
Fałszywy certyfikat SSL dla domeny Microsoftu
Dla jednej z domen obsługujących usługę Windows Live wystawiony został fałszywy certyfikat SSL – informuje Microsoft w swoim Security Advisory. Sprawa jest o tyle poważna, że certyfikat został wydany przez jeden z najpopularniejszych Urzędów Certyfikacji (CA).
Wyłączenie SSL 3.0 fallback w IE i niespodziewany błąd…
W wydanym wczoraj tzw. Patch Tuesday, czyli paczce aktualizacji bezpieczeństwa przeznaczonej dla produktów firmy Microsoft publikowanej w drugi wtorek każdego miesiąca, znalazła się m.in. zmiana będąca pokłosiem głośnej podatności POODLE – wyłączenie SSL 3.0 fallback. Na końcu tego wpisu znajduje się także opis błędu, na który natknąłem się w trakcie jego tworzenia.