Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: certyfikaty

Jak za $20 popsuć Internet przez WHOIS? Czyli nie zapomnijcie odnowić swojej domeny…

16 września 2024, 17:32 | W biegu | komentarzy 9
Jak za $20 popsuć Internet przez WHOIS? Czyli nie zapomnijcie odnowić swojej domeny…

Badacze z firmy watchTowr początkowo chcieli zgłębić ataki na klienta protokołu WHOIS. Aby to zrobić, musieli jednak przekierować ruch na swój serwer. Ponieważ ataki MiTM nie wydały im się szczególnie ciekawe, to poświęcili cenę butelki wody w hotelu w Vegas ($20) na zakup nieodnowionej domeny, która była wykorzystywana przez serwer…

Czytaj dalej »

Pokazał jak krok po kroku generować fałszywy certyfikat SSL (CVE-2020-0601). Można potestować na żywo na przykładzie GitHub.com

16 stycznia 2020, 18:14 | W biegu | komentarzy 6
Pokazał jak krok po kroku generować fałszywy certyfikat SSL (CVE-2020-0601). Można potestować na żywo na przykładzie GitHub.com

O załatanym parę dni temu problemie pisaliśmy tutaj. Dla uniknięcia wątpliwości – podatność dotyczy tylko Windowsów 10 (oraz 2016/2019 server). Wcześniejsze wersje (np. Windows 7) nie są podatne, bo nie posiadają obsługi pewnych parametrów, które okazały się problematyczne w przypadku obsługi ECDSA. Bardziej techniczne wyjaśnienie całego problemu możecie znaleźć tutaj czy…

Czytaj dalej »

Jak działa PKI? Co znajdziesz w certyfikatach SSL? – poradnik

19 grudnia 2018, 11:05 | W biegu | 0 komentarzy

Co konkretnego znajdziesz w certyfikatach? Do czego wykorzystywane są konkretne wartości? Obiły ci się o uszy terminy: X.509, ASN.1, OIDs, DER, PEM, PKCS, ale nie pamiętasz już szczegółów? Potrzebujesz narzędzia które w prosty sposób przeanalizuje twoje certyfikaty czy klucze? Odpowiedzi na te pytania znajdziesz w tym poradniku – uwaga, do przeczytania…

Czytaj dalej »

Kilka słów o wdrożeniu SSL i TLS – cz. II

29 marca 2017, 19:11 | Teksty | komentarzy 7
Kilka słów o wdrożeniu SSL i TLS – cz. II

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.

Czytaj dalej »

Google blokuje w Chrome chińskie root CA

02 kwietnia 2015, 15:22 | W biegu | 1 komentarz

Ostatnio pisaliśmy o unieważnieniu certyfikatów SSL firmy MCS Holding. Przypominam – chodziło o podstawianie certyfikatów, aby podszyć się pod domeny Google (bez komunikatów o błędach w przeglądarce). Teraz Google idzie dalej i usunie w Chrome certyfikat root CA organizacji CNNIC – ze zbioru certyfikatów zaufanych (organizacja ta wydała „feralny” certyfikat…

Czytaj dalej »