Dokładniej chodzi o oprogramowanie Sennheiser HeadSetup oraz Sennheiser HeadSetup Pro. Doinstalowywało ono do Windows / macOS dwa nowe root certyfikaty CA. Co z tego wynika? Jeśli producent stworzyłby zupełnie inny certyfikat (np. dla serwera https) i podpisałby go swoim kluczem, nasz Windows ufałby takiemu połączeniu bez żadnego ostrzeżenia. W końcu tak w…
Czytaj dalej »
W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.
Czytaj dalej »
Ogłoszony dzisiaj bug w OpenSSL (severity: high) wygląda dość groźnie…: An error in the implementation of this logic can mean that an attacker could cause certain checks on untrusted certificates to be bypassed, such as the CA flag, enabling them to use a valid leaf certificate to act as a…
Czytaj dalej »
Google security blog informuje o wykryciu podrobionych (ale akceptowanych przez przeglądarki jako zaufane) certyfikatów dla kilku domen będących w posiadaniu Google. Certyfikaty zostały wystawione przez pośrednie CA (intermediate CA) – firmy MCS Holding, która otrzymała swój certyfikat od root CA chińskiej organizacji CNNIC. Root CA CNNIC jest w domyślnym cert…
Czytaj dalej »