TLS

3, 2, 1…, 2 – jednoroczne certyfikaty TLS ponownie w odwrocie

Od kilku lat obserwujemy systematyczne, mające na celu głównie podniesienie bezpieczeństwa, skracanie maksymalnej ważność certyfikatów TLS. Od 60 miesięcy obowiązujących przed kwietniem 2015 roku, przez 39 miesiące pomiędzy kwietniem 2015 a lutym 2018, do 27 miesięcy od marca 2018. W mijającym tygodniu na CA/Browser Forum zakończyło się głosowanie będące już…

Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]

Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…