Tag: SSL

Kilka słów o wdrożeniu SSL i TLS – cz. II

29 marca 2017, 19:11 | Teksty | komentarzy 7
Kilka słów o wdrożeniu SSL i TLS – cz. II

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.

Czytaj dalej »

Kilka słów o wdrożeniu SSL i TLS – cz. I

09 lutego 2017, 07:44 | Teksty | komentarzy 19
Kilka słów o wdrożeniu SSL i TLS – cz. I

SSL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google – na swoim blogu poinformował, że strony…

Czytaj dalej »

Comodo wystawiając certyfikat SSL pomylił firmy – używali OCR-a z podatnością…

22 października 2016, 16:55 | W biegu | komentarze 2

Comodo używa (używał?) OCR-a (tak, takiego do rozpoznawania tekstu z obrazu) do wydobycia z bazy whois e-maila admina odpowiedzialnego za daną domenę (to ta osoba potwierdza, że rzeczywiście jest właścicielem domeny – tj. może otrzymać certyfikat SSL).  Pechowo używany OCR posiada podatność, która nie rozpoznaje różnicy np. pomiędzy znakami l…

Czytaj dalej »

Blackhat USA: rozwalili AES-GCM w https – wśród podatnych była np. domena Związku Banków Polskich

11 sierpnia 2016, 15:31 | W biegu | komentarze 2

Wyszli ze swoją prezentacją z informacją, że niestety nie mają slajdów… po czym wbili w przeglądarkę  https://careers.mi5.gov.uk (tak, z zieloną kłódką). W tle zapuszczony był nowy atak MiTM na AES w trybie GCM, który umożliwił… wstrzyknięcie slajdów w stronę mi5.gov.uk z której dalej prezentowano nowe osiągnięcie: Czy zawsze AES-GCM jest…

Czytaj dalej »

Google blokuje w Chrome chińskie root CA

02 kwietnia 2015, 15:22 | W biegu | 1 komentarz

Ostatnio pisaliśmy o unieważnieniu certyfikatów SSL firmy MCS Holding. Przypominam – chodziło o podstawianie certyfikatów, aby podszyć się pod domeny Google (bez komunikatów o błędach w przeglądarce). Teraz Google idzie dalej i usunie w Chrome certyfikat root CA organizacji CNNIC – ze zbioru certyfikatów zaufanych (organizacja ta wydała „feralny” certyfikat…

Czytaj dalej »

Deszyfrowanie ruchu SSL/TLS w Wiresharku

12 lutego 2015, 20:37 | W biegu | komentarze 4

Funkcjonalność deszyfrowania ruchu SSL/TLS w Wiresharku istniała od dawna (oczywiście po podaniu do tego narzędzia odpowiedniego klucza prywatnego, co było możliwe do zablokowania mechanizmem forward secrecy – czyli sam klucz prywatny nie wystarczał do odszyfrowania ruchu). Jednak już od wersji Wiresharka 1.6+ istnieje możliwość bezpośredniego podania klucza symetrycznego sesji SSL/TLS…

Czytaj dalej »

Nowy OpenSSL – łata MiTM i 6 innych bugów bezpieczeństwa

05 czerwca 2014, 16:39 | W biegu | 1 komentarz

Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej. Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops. Wprawdzie po…

Czytaj dalej »

Heartbleed – krytyczny błąd w OpenSSL

08 kwietnia 2014, 19:26 | Aktualności | 1 komentarz
Heartbleed – krytyczny błąd w OpenSSL

Wykryto krytyczny błąd w OpenSSL – jednej z najpopularniejszych bibliotek wykorzystywanych przy zestawianiu połączeń SSL/TLS. To kolejna podatność w infrastruktyrze SSL po choćby odkrytym w zeszłym roku Lucky Thirteen, niedawnym Applowym goto fail czy podobnych problemach w GnuTLS. Wracając do samego OpenSSL – sami autorzy biblioteki opisują problem dość lakonicznie.

Czytaj dalej »

Test poprawności obsługi SSLa dla przeglądarki (on-line)

09 stycznia 2014, 09:18 | W biegu | komentarze 3

Pewnie część z Was zna stronę Qualysa umożliwiającą przetestowanie ustawień SSL dowolnego serwisu webowego dostępnego w Internecie. Dostępny jest też podobny serwis – howsmyssl.com, tyle że testujący klienta. Wystarczy wejść na ww. stronę aby zobaczyć ustawienia w swojej przeglądarce wraz ze wskazaniem które elementy skonfigurowane są poprawnie, a które ewentualnie…

Czytaj dalej »