Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
Google, Microsoft i Mozilla wyłączą wsparcie dla RC4
Tej decyzji można było się spodziewać. Dzisiaj, wszystkie trzy firmy ogłosiły, że na początku przyszłego roku wyłączą wsparcie dla szyfru RC4 w swoich przeglądarkach.
Systemy Windows podatne na atak FREAK
Microsoft ogłosił wczoraj, że wszystkie wersje jego systemów są narażone na atak FREAK. Znacząco zwiększa to liczbę użytkowników, których dotyczy problem.
HSTS wkracza do IE i Spartana
Lepiej późno niż wcale, to chyba najlepsze określenie informacji ogłoszonej przez Microsoft w połowie lutego: HTTP Strict Transport Security został wdrożony w Internet Explorerze i, co naturalne, będziemy mogli z niego korzystać także w przeglądarce Spartan.
Wyłączenie SSL 3.0 fallback w IE i niespodziewany błąd…
W wydanym wczoraj tzw. Patch Tuesday, czyli paczce aktualizacji bezpieczeństwa przeznaczonej dla produktów firmy Microsoft publikowanej w drugi wtorek każdego miesiąca, znalazła się m.in. zmiana będąca pokłosiem głośnej podatności POODLE – wyłączenie SSL 3.0 fallback. Na końcu tego wpisu znajduje się także opis błędu, na który natknąłem się w trakcie jego tworzenia.
Internet Explorer chroni przed SSL 3.0 fallback
Czekając na całkowite wyłączenie protokołu SSL 3.0 w przeglądarce Internet Explorer, Microsoft jako doraźne rozwiązanie wdrożył mechanizm chroniący jej użytkowników przed możliwością wymuszenia przez atakującego nawiązywania bezpiecznych połączeń HTTPS z wykorzystaniem starej wersji protokołu.