Let's Encrypt

V dnešním díle Postřehů se podíváme na zdraví a životu nebezpečné USB flash disky, zranitelnost umožňující získat původní obsah z „oříznutých“ obrázků nebo konec tržiště BreachForums.

Tým okolo certifikační autority Let’s Encrypt spustil rozhraní ARI: ACME Renewal Information. Pomocí něj je možné klientům ACME signalizovat, kdy mají požádat o obnovu certifikátů. Za normálních okolností mají certifikáty platnost 90 dnů a ARI tak…

Revokace certifikátů PKI je rozbitá. Neosvědčily se klasické seznamy CRL, ale ani modernější OCSP. Odvolat certifikát před vypršením jeho platnosti vlastně nemůžeme. Napravit by to měly CRLite a CRLSets.

V pátek zemřel ve věku 43 let Peter Eckersley, který mezi lety 2006–2018 pracoval v Electronic Frontier Foundation. Byl zastáncem soukromí na internetu a podílel se na projektech Let's Encrypt, Privacy Badger, Certbot, HTTPS Everywhere, SSL…

Bezplatné automaticky aktualizované certifikáty přes protokol ACME (Automatic Certificate Management Environment) začal poskytovat Let's Encrypt od roku 2015. Od té doby je možné bezplatné certifikáty přes ACME získat také například v ZeroSSL.com,…

Tento článek má za úkol ukázat, jak provádět některé operace s certifikáty a jak je automatizovat. Nebudeme se dnes zabývat věcmi jako certifikační autorita, kotva apod. Chci raději ukázat praktickou část.

Projekt Let's Encrypt obdržel Levchinovu cenu, která je udělována za praktické nasazení kryptografie. Otevřenou certifikační autoritu dnes používá na 280 milionů webů a každý den vystavuje mezi dvěma a třemi miliony certifikátů. Organizace přitom…

Existuje řada způsobů, jak získat certifikát od Let's Encrypt. Můžeme použít oficiálního klienta Certbot, některého z mnoha alternativních klientů či můžeme nasadit web server, který se o vše postará sám.

V dnešním díle Postřehů se podíváme na netradiční použití ransomwaru při útoku na běloruské železnice, závažnou zranitelnost PwnKit, dosud největší zaznamenaný DDoS útok a nejen to.

Rok se s rokem sešel, a tak pojďme krátce zavzpomínat, co vás letos u nás zaujalo nejvíce. Kromě běžných novinek z linuxového světa to byly články o Android Auto, novinky týkající se bezpečnosti a třeba také průzkum Marsu.

Jak už bylo certifikační autoritou Let's Encrypt předem avizováno, 30. září 2021 ve 14:00 UTC došlo k expiraci kořenového certifikátu DST Root CA, který byl používán jako dočasný po několik let. V zásadě by nemělo dojít k potížím, protože…

Na konci září vyprší platnost kořenového certifikátu DST Root CA X3, na kterém od začátku stála podpora certifikační autority Let's Encrypt. Ta už sice používá nový kořen, ale staré systémy budou mít problém.

Certifikační autorita Let's Encrypt odvádí skvělou práci při automatizovaném generování důvěryhodných certifikátů nejen pro HTTPS. Kdybychom ovšem měli být v tomto ohledu závislí jen na jedné autoritě, mohlo by to pro nás mít v budoucnu nepříjemné…

Služba Let's Encrypt dnes zahájila používání mezilehlých certifikátů založených na algoritmu ECDSA. Až dosud byl tento algoritmus podporován pouze u koncových certifikátů. Krok byl dlouho připravován a nějakou dobu už byl k dispozici v testovacím…

Certifikační autorita Let’s Encrypt je nově připravena během jediného dne revokovat a znovu vydat všechny certifikáty, které spravuje. Systém byl značně posílen a nyní se ladí poslední drobnosti.

Let's Encrypt v listopadu oznámil, že se postaví na vlastní nohy a začne používat nový kořenový certifikát. Mělo to ovšem znamenat odříznutí starších Androidů, ke kterému ale nakonec nedojde.

Včera začala certifikační autorita Let's Encrypt vystavovat koncové certifikáty založené na novém mezilehlém certifikátu R3, který vznikl v září. Jde o formální výměnu mezilehlých certifikátů, ty původní totiž vyprší v březnu příštího roku. R3 má…

Od 11. ledna 2021 začne autorita Let’s Encrypt vystavovat certifikáty na základě nového kořene. Ten existuje už od roku 2015 a většina zařízení již má potřebné aktualizace a nový kořen ISRG Root X1 obsahuje. Problémy ovšem bude mít přibližně…

Scott Helme na svém blogu upozorňuje na třetí certifikační autoritu, která nabízí certifikáty pomocí protokolu ACME. Pět let takto umožňuje certifikáty vytvářet autorita Let's Encrypt, před necelými dvěma lety se přidala autorita Buypass a nyní se…

Certifikační autorita Let's Encrypt se po pěti letech postaví na vlastní nohy. Přestane používat kořenový certifikát od IdenTrust a začne používat vlastní. Bohužel tím odřízne starší operační systémy.

Od 17. září 2020 Let's Encrypt odmítá vydávat certifikáty s jinou délkou RSA klíče než 2048, 3072 a 4096 bitů. Klíče těchto délek používá naprostá většina certifikátů, v posledních 90 dnech bylo vydáno pouze 571 certifikátů (0,0004 %) s jinou…

Populární certifikační autorita Let's Encrypt během nedávného ceremoniálu vytvořila šest nových certifikátů a připravuje se na plnou podporu ECDSA. Nabídne tak menší certifikáty a rychlejší šifrování.

Počínaje úterkem 1. září budou prohlížeče Chrome, Mozilla a Safari akceptovat u nově vydaných certifikátů délku platnosti jeden rok, přesněji 398 dnů. Není to žádné překvapení, o změně se ví už od února a podrobně o ní u nás v článku informoval…

HTTPS certifikáty od Let's Encrypt je možné získávat dvěma způsoby: pomocí HTTP a DNS. Pokud chcete wildcardy, zbývá vám pouze druhá možnost. S pohodlným generováním vám pomůže nástroj acme-dns.

Pátého března v 03:00 UTC uplynula lhůta, do které měl projekt Let's Encrypt revokovat na 3 miliony certifikátů, u kterých kvůli softwarové chybě autority nebylo jisté, zda jejich vydání nebylo v rozporu s CAA záznamy. K zahájení revokace došlo…

Certifikační autorita Let's Encrypt, která zdarma vydává doménové certifikáty, revokuje 4. března přes 3 miliony certifikátů – revokace začnou o půlnoci světového času. Let's Encrypt poskytuje webovou stránku, s jejíž pomocí můžete ověřit, zda se…

Otevřená certifikační autorita Let's Encrypt oznámila, že už vydala miliardu certifikátů pro HTTPS. Také díky tomu je dnes 81 % webových stránek uživateli zobrazeno pomocí šifrovaného protokolu, ve Spojených státech je to dokonce 91 % (viz více…

Apple udělal to, co většina certifikačních autorit udělat nechtěla: zkrátil maximální platnost vydávaných certifikátů na jediný rok. Certifikáty s delší dobou platnosti to tak mají vlastně za sebou.

Sdružení CESNET pořádalo další Seminář o bezpečnosti sítí a služeb, mluvilo se na něm o bezpečnosti Wi-Fi sítí, aktuálních bezpečnostních hrozbách, problémech certifikátů a autorit a také o autentizaci pomocí WebAuthn.

Až doposud stačil k ověření držení domény pro získání certifikátu od bezplatné certifikační autority jediný HTTP nebo DNS dotaz. Od dnešního dne se požadavky zpřísňují, takže získat cizí certifikát bude o něco obtížnější.