Zapomniałeś odnowić certyfikat SSL kluczowego dla Twojej firmy serwisu? Twoje gapiostwo może narazić organizację w której pracujesz na spore straty finansowe.
Odświeżony podgląd certyfikatów SSL w Firefoksie 41
Ci z Was, którzy mają nawyk sprawdzania szczegółów certyfikatu SSL danej strony już pewnie zauważyli, że w najnowszej wersji przeglądarki Firefox oznaczonej numerem 41 zmieniono nieco interfejs podglądu certyfikatu SSL. Tak było jeszcze w Firefoxie 40: A tak wygląda to w Firefoksie 41: I dopiero po przejściu dalej (przycisk strzałki)…
W Edge nie podejrzysz certyfikatu SSL
Potwierdziły się obawy o to, że nowa przeglądarka Microsoftu nie daje użytkownikom możliwości podglądu certyfikatu SSL strony, którą przeglądają. Twórcy są świadomi tej niedoróbki, ale na ten moment nie podają terminu jej naprawy. PS. Obecnie nie mam możliwości sprawdzenia osobiście jak to wygląda aktualnej wersji Edge, więc jeżeli któryś z…
Oficjalny koniec SSL 3.0
O tym, że protokół SSL w wersji 3 nie gwarantuje bezpiecznej transmisji danych wiadomo nie od dziś. Opublikowany właśnie dokument RFC 7568 całkowicie zakazuje jego wykorzystywania.
Ostrzeżenia związane z certyfikatami SSL w Chrome
Komunikaty dotyczące certyfikatów SSL nie zawsze są zrozumiałe. Gdy dochodzą do tego zmiany wprowadzane wraz z każdą nową wersją przeglądarki nietrudno jest się w tym wszystkim pogubić.
Systemy Windows podatne na atak FREAK
Microsoft ogłosił wczoraj, że wszystkie wersje jego systemów są narażone na atak FREAK. Znacząco zwiększa to liczbę użytkowników, których dotyczy problem.
FREAK – nowa podatność w SSL
Właśnie takiej nazwy użyto do określenia nowo odkrytego błędu w implementacji protokołu SSL/TLS. Inna nazwa błędu – zdradzająca trochę więcej jego szczegółów – to Factoring Attack on RSA-EXPORT Keys. Wykorzystanie podatności może prowadzić do złamania szyfrowanej komunikacji.
Czas ważności certyfikatów SSL ograniczony do 39 miesięcy
Od 1 kwietnia nie kupimy już certyfikatu SSL z okresem ważności dłuższym niż 39 miesięcy. A przynajmniej nie zrobimy tego w Urzędzie Certyfikacji (ang. Certificate Authority – CA), który deklaruje zgodność z wymaganiami CA/Browser Forum Baseline Requirements.
Zmiany w Firefoxie 36
Światło dzienne ujrzała dzisiaj kolejna wersja, oznaczona numerem 36, przeglądarki Firefox. Nowości i zmian jest sporo, ale my przyjrzyjmy się kilku tym, które dotyczą części związanej z jej bezpieczeństwem.
Man-in-the-middle w laptopach Lenovo
Pamiętacie opisywaną przeze mnie historię amerykańskiej firmy Gogo, która to poprzez wykorzystanie fałszywego certyfikat podsłuchiwała swoich klientów na pokładach samolotów? Dzisiaj wyszło na jaw, że podobne praktyki, niosące za sobą jeszcze bardziej niebezpieczne konsekwencje, stosuje firma Lenovo.
Certificate Transparency nabiera rozpędu
W ostatnim czasie mogliśmy przeczytać o kilku wydarzeniach (o jednym z nich nawet pisałem), które przyczynią się do rozwoju mechanizmu Certificate Transparency (CT). W najbliższej przyszłości czeka nas też kilka zmian, które sprawią, że mechanizm zaprojektowany przez Google będzie wykorzystywany na szeroką skalę.
Podniebny man-in-the-middle
Gogo jest firmą, działającą na terenie Stanów Zjednoczonych, dostarczającą usługę bezprzewodowego Internetu na pokładach samolotów. W ostatnich dniach – przez zupełny przypadek – odkryto, że świadomie podstawiali swoim klientom fałszywy certyfikat SSL.
Zmiany na SSL Labs w 2014
Jednym z najlepszych narzędzi (o ile nie najlepszym) do weryfikacji konfiguracji SSL/TLS serwera HTTP jest SSL Labs, którego głównym twórcą jest Ivan Ristić. Wraz z końcem roku podsumował on na swoim blogu zmiany jakie zaszły na SSL Labs w ostatnich dwunastu miesiącach
Internet Explorer chroni przed SSL 3.0 fallback
Czekając na całkowite wyłączenie protokołu SSL 3.0 w przeglądarce Internet Explorer, Microsoft jako doraźne rozwiązanie wdrożył mechanizm chroniący jej użytkowników przed możliwością wymuszenia przez atakującego nawiązywania bezpiecznych połączeń HTTPS z wykorzystaniem starej wersji protokołu.
Firefox wyłącza wsparcie dla SSL 3.0
Wydana 1 grudnia przeglądarka Firefox w wersji 34 przynosi zapowiadaną wcześniej zmianę – wyłączenie domyślnego wsparcia dla protokołu SSL w wersji 3.0. Identyczną zmianę Mozilla wprowadziła w swoim kliencie pocztowym – Thunderbird, wersja 31.3.0. Podobne zmiany czekają nas również w najbliższej przyszłości w innych przeglądarkach.