Chrome od dawna nie wykorzystuje protokołu Online Certificate Status Protocol (OCSP) do weryfikacji czy certyfikaty TLS (SSL) typu Domain Validation (DV) i Organization Validation (OV) są unieważnione. Niedługo przestanie to robić także dla certyfikatów TLS typu Extended Validation (EV).
Wycofanie pola Organizational Unit z certyfikatów TLS
Organizational Unit (OU), czyli Jednostka Organizacyjna to jedno z pól z podmiotu certyfikatów TLS (SSL), które chyba bardziej przeszkadza niż pomaga. Od 2022-09-01 jego używanie będzie zabronione we wszystkich certyfikatach TLS wydawanych przez publiczne Urzędy Certyfikacji (Certification Authority – CA)
3, 2, 1…, 2 – jednoroczne certyfikaty TLS ponownie w odwrocie
Od kilku lat obserwujemy systematyczne, mające na celu głównie podniesienie bezpieczeństwa, skracanie maksymalnej ważność certyfikatów TLS. Od 60 miesięcy obowiązujących przed kwietniem 2015 roku, przez 39 miesiące pomiędzy kwietniem 2015 a lutym 2018, do 27 miesięcy od marca 2018. W mijającym tygodniu na CA/Browser Forum zakończyło się głosowanie będące już…
Certificate Transparency wymagane dla wszystkich certyfikatów SSL
Przed nami kolejna duża zmiana w świecie certyfikatów SSL. Od jutra tj. od 1 maja 2018 wszystkie certyfikaty SSL będą musiały być wydawane w zgodzie z ideą Certificate Transparency (CT).
Certification Authority Authorization wchodzi do gry
Prawie 2,5 roku temu pisałem o dopiero raczkującym Certification Authority Authorization (CAA). Dziś ten mechanizm bezpieczeństwa zaczyna chodzić i staje się nieodłącznym elementem wydawania certyfikatów SSL.
Google przestaje ufać Symantecowi [Aktualizacja]
Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
Certyfikaty SSL SHA-1 w 2017
Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
Certificate Transparency wymagane dla każdego typu certyfikatu SSL
Jeszcze dwa lata temu Certificate Transparency nie było mechanizmem na który zwracano szczególną uwagę. Po wczorajszej decyzji Google na dobre wpisze się on jednak w funkcjonowanie certyfikatów SSL. I dobrze.
Historia SSL/TLS na osi czasu
Świetne przedstawienie wydarzeń związanych z protokołami SSL i TLS. Całość ułożona w porządku chronologicznym. Autorem Ivan Ristić.
O TLS słów kilka
Prawie godzinna prezentacja na temat kondycji protokołu Transport Layer Security, w skrócie TLS. Autorem Hanno Böck.
Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]
Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…
Błąd w weryfikacji dostępu do domeny mógł doprowadzić do nieuprawnionego pozyskania certyfikatu TLS
Właściwa weryfikacja dostępu do domeny jest jednym z podstawowych czynników pozwalających na zachowanie bezpieczeństwa oferowanego przez publiczne certyfikaty TLS. Jednak jak w każdym oprogramowaniu, także w aplikacjach urzędów certyfikacji zdarzają się błędy.
Nowy panel bezpieczeństwa w DevTools Chrome
DevTools będące częścią przeglądarki Chrome zna pewnie wielu z Was. Jak podpowiada jego nazwa jest to zbiór narzędzi przydatny np. w pracy programisty, testera czy administratora IT. Wraz z nową wersją (48) przeglądarki Chrome otrzymaliśmy nowy – będący częścią DevTools – panel bezpieczeństwa (security panel). W nowej wersji tego panelu…
Kolejny etap wycofywania certyfikatów SSL SHA-1 w Chrome
Ponad rok temu Google zapoczątkowało proces wycofywania certyfikatów SSL (TLS) SHA-1 poprzez wprowadzenie określonych ostrzeżeń w przeglądarce Chrome. Teraz czas na kolejny etap.
Mapa poziomu bezpieczeństwa konfiguracji TLS
A na mapie lokalizacja serwerów wraz z wynikami jakie osiągnąły one w teście sprawdzającym poziom bezpieczeństwa konfiguracji SSL/TLS. Mapa jest aktualizowana na bieżąco. Sam test można wykonać tutaj, a ocena wystawiana jest na podstawie reguł opisanych tutaj.