Tag: SSL

Czy warto się przejmować? Autorzy badania dotyczącego nowego ataku ROBOT, pokazali w ramach demo, podpisanie wiadomości… kluczem prywatnym Facebooka (dokładniej: chodzi o ich certyfikat HTTPS i powiązany z nim klucz prywatny): Further we have demonstrated practical exploitation by signing a message with the private key of facebook.com’s HTTPS certificate. Tutaj…

Co się dzieje jeśli ktoś wykradnie Ci klucz prywatny (związany z certyfikatem SSL) i np. go opublikuje? Możesz zgłosić taki wyciek i CA powinien unieważnić taki certyfikat. Ale jak CA sprawdzają czy klucz prywatny, który wyciekł związany jest rzeczywiście z kluczem publicznym w certyfikacie SSL? Różnie z tym bywa, a…

W zasadzie tyle w temacie :P Wydawanie nowego typu certyfikatów ma się rozpocząć od stycznia 2018r. Swoją drogą ktoś podzieli się dobrymi/złymi wrażeniami odnośnie działania Let’s Encrypt? –ms

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.

W nowszych wersjach Chrome będzie akceptował certyfikaty SSL od Symanteca / Thawte / Geotrust ze znacznie zmniejszoną datą ważności. Nie działać ma też Extended Validation…

SSL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google – na swoim blogu poinformował, że strony…

Comodo używa (używał?) OCR-a (tak, takiego do rozpoznawania tekstu z obrazu) do wydobycia z bazy whois e-maila admina odpowiedzialnego za daną domenę (to ta osoba potwierdza, że rzeczywiście jest właścicielem domeny – tj. może otrzymać certyfikat SSL).  Pechowo używany OCR posiada podatność, która nie rozpoznaje różnicy np. pomiędzy znakami l…

Wyszli ze swoją prezentacją z informacją, że niestety nie mają slajdów… po czym wbili w przeglądarkę  https://careers.mi5.gov.uk (tak, z zieloną kłódką). W tle zapuszczony był nowy atak MiTM na AES w trybie GCM, który umożliwił… wstrzyknięcie slajdów w stronę mi5.gov.uk z której dalej prezentowano nowe osiągnięcie: Czy zawsze AES-GCM jest…

Ostatnio pisaliśmy o unieważnieniu certyfikatów SSL firmy MCS Holding. Przypominam – chodziło o podstawianie certyfikatów, aby podszyć się pod domeny Google (bez komunikatów o błędach w przeglądarce). Teraz Google idzie dalej i usunie w Chrome certyfikat root CA organizacji CNNIC – ze zbioru certyfikatów zaufanych (organizacja ta wydała „feralny” certyfikat…

Funkcjonalność deszyfrowania ruchu SSL/TLS w Wiresharku istniała od dawna (oczywiście po podaniu do tego narzędzia odpowiedniego klucza prywatnego, co było możliwe do zablokowania mechanizmem forward secrecy – czyli sam klucz prywatny nie wystarczał do odszyfrowania ruchu). Jednak już od wersji Wiresharka 1.6+ istnieje możliwość bezpośredniego podania klucza symetrycznego sesji SSL/TLS…

Od kilku godzin świat obiega informacja o szczegółach nowego ataku na protokół SSLv3, którego ochrzczono akronimem „POODLE„. Bezpieczeństwo transmisji danych w 2014 roku po raz kolejny dostało siarczysty policzek. 

Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej. Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops. Wprawdzie po…

Problemy związane z heartbleed nabierają rozmachu. Wprawdzie podatnych jest raczej nie „60%” czy „większość” serwerów w Internecie – jak to donoszą niektóre serwisy – ale raczej około 20% i to webserwerów. Nie zmienia to faktu, że podatność jest chyba jedną z paskudniejszych jeśli chodzi o ostatnie parę lat.

Wykryto krytyczny błąd w OpenSSL – jednej z najpopularniejszych bibliotek wykorzystywanych przy zestawianiu połączeń SSL/TLS. To kolejna podatność w infrastruktyrze SSL po choćby odkrytym w zeszłym roku Lucky Thirteen, niedawnym Applowym goto fail czy podobnych problemach w GnuTLS. Wracając do samego OpenSSL – sami autorzy biblioteki opisują problem dość lakonicznie.

Wygląda na to, że być może po raz kolejny mamy podobną sytuację jak ze słynnym już bugiem 'goto fail’ w produktach Apple. Tym razem ofiarą jest biblioteka GNU-TLS (problem został oznaczony z severity: high), a całość udało się zlokalizować podczas realizacji audytu bezpieczeństwa dla RedHat-a.