SSL

Článok popisuje vybrané možnosti a konfiguráciu modulu mod_ssl, ktorý rozširuje webový server Apache HTTPD o podporu protokolu SSL. Zaoberá sa nielen autentizáciou servera, ale aj klientov pomocou klientských certifikátov. Podrobne si rozoberieme celú tvorbu a použitie certifikátov a všetko si ukážeme na príkladoch.

Spojenia cez SSL sa často berú ako bezpečné a mnohé návody dávajú rady typu 'dávajte svoje citlivé údaje len tam, kde vidíte https spojenie'. Tipujem, že väčšina ľudí (a špeciálne ne-IT profesionáli) netuší, aké jednoduché môže byť odpočúvanie/modifikácia SSL spojenia, ak si poriadne nedajú pozor na certifikáty. Hocikto na routeri/gateway použitím utility stunnel a iptables to dokáže.

V posledním dílu doděláme to málo, co nám ještě zbývá. Povíme si pár slov o konfiguraci serveru a na závěr ještě proberu některé praktické problémy, se kterými se při používání SSL můžete potkat.

Minule jsme si řekli něco o principech SSL. Dnes se podíváme na generování certifikátů, a to jak jednotlivého certifikátu, tak i mnoha různých, podepsaných vlastní certifikační autoritou.

Tento seriál si klade za cíl přiblížit administrátorům problematiku SSL na příkladech použití jeho open source implementace OpenSSL. Bude pro vás užitečný, hlavně chcete-li zabezpečit přenos pošty nebo přístup do systému, který má WWW rozhraní.

Moxie Marlinspike nedávno na konferenci Defcon 17 představil řadu nových útoků na SSL protokol, které zneužívají špatnou implementaci v mnoha prohlížečích. Moxie nyní vydal také novou verzi nástroje sslsniff, která tyto útoky podporuje a umí… Více

Vyšla nová verze alternativního komunikačního klienta Miranda IM, která tentokrát nese označení 0.8.2. Seznam změn oproti předchozím verzím není nijak dlouhý. Například byly odstraněny problémy se šifrovanými zprávami při využití protokolu… Více

Vývojáři OpenSSL vydali verzi 0.9.8k, která opravuje tři chyby. Jedna oprava opravuje možný pád aplikace pracující s SSL certifikátem, když se ho pokusí zobrazit. Druhá oprava se týká CMS verifikace. Více

Cisco Secure Access Control Server dovoluje přístup bez platného certifikátu, SGI záplatuje OpenSSL a OpenSSH na Irixu, Sun Java System Web a Aplication Server umožňují DoS, F-Secure AntiVirus může propustit malware v zip archivu. Více

Vyšel nový mod_ssl pro Apache 1.3.33. (Zaslal Martin Froněk.)

Více

V PuTTY je vážná chyba, vyplatí se povýšit, vyšlo OpenSSL 0.9.7e. Více

U Juniper SSL VPN řešení IVE lze hádat hesla hrubou silou, letošní září přineslo 1485 nových druhů zákeřného kódu, HP VirualVault trpí zranitelností Apache umožňující vykonání kódu. Více

Nezabezpečená PDA představují nejsnadnější cestu k firemním datům, první WiFi produkty obdržely certifikaci dle WiFi Protected Access 2 specifikace (vychází z IEEE 802.11i), Apache 2 mod_ssl trpí na DoS, IBM DB2 umožňuje potenciální… Více

IBM zveřejnilo materiál věnovaný programování s OpenSSL API. Více

Mozille lze vzdáleně znemožnit přístup na některé SSL weby, první Windows CE virus se jmenuje Duts, červ Bagle ještě neřekl své poslední slovo. Více

Mod_ssl je zranitelný, byl zveřejněn exploit zranitelných buildů MySQL 5 (alfaverze), Novell BorderManager umožňuje DoS, pokud jde o bezpečnost IT, top manažeři nejsou vždy dobrým příkladem. Více

Mozilla na MS Windows vykoná program pomocí „shell:“ URL, Opera dovoluje podvrhnout URL, pomocí Shorewallu lze přepisovat soubory, SSLtelnet umožňuje vykonání kódu. Více

Apache 2 umožňuje provedení DoS útoku, nedávnou chybu v mod_proxy Apache opravuje i IBM ve svém HTTP serveru, společnost BEA vydala nové bezpečnostní záplaty pro WebLogic, množí se DDoS útoky na sázkové kanceláře. Více

Vyšlo nové PHP 4.3.5 (ChangeLog), nové featury žádné, zato řádka bugfixů a updatů, mezi jinými oprava různých chyb při kompilaci a synchronizace verzí bundlovaných knihoven (zejména OpenSSL pro Win32 a GD) s novějšími verzemi. (Zaslal Robert… Více

Jak se staví české banky k chybě v SSL, kterou objevili čeští kryptologové, zjišťoval Petr Zámečník z Měšce.

Více

První release candidate Mozilly 1.0 je na světě. Mezi nejzajímavější novinky patří schopnost prohlížet zdrojový kód stránky bez znovunačtení ze zdroje (konečně!), podpora komunikace s LDAP serverem přes SSL šifrované spojení či nový download… Více