Let's Encrypt

V dnešním díle Postřehů se podíváme na netradiční použití ransomwaru při útoku na běloruské železnice, závažnou zranitelnost PwnKit, dosud největší zaznamenaný DDoS útok a nejen to.

Rok se s rokem sešel, a tak pojďme krátce zavzpomínat, co vás letos u nás zaujalo nejvíce. Kromě běžných novinek z linuxového světa to byly články o Android Auto, novinky týkající se bezpečnosti a třeba také průzkum Marsu.

Jak už bylo certifikační autoritou Let's Encrypt předem avizováno, 30. září 2021 ve 14:00 UTC došlo k expiraci kořenového certifikátu DST Root CA, který byl používán jako dočasný po několik let. V zásadě by nemělo dojít k potížím, protože…

Na konci září vyprší platnost kořenového certifikátu DST Root CA X3, na kterém od začátku stála podpora certifikační autority Let's Encrypt. Ta už sice používá nový kořen, ale staré systémy budou mít problém.

Certifikační autorita Let's Encrypt odvádí skvělou práci při automatizovaném generování důvěryhodných certifikátů nejen pro HTTPS. Kdybychom ovšem měli být v tomto ohledu závislí jen na jedné autoritě, mohlo by to pro nás mít v budoucnu nepříjemné…

Služba Let's Encrypt dnes zahájila používání mezilehlých certifikátů založených na algoritmu ECDSA. Až dosud byl tento algoritmus podporován pouze u koncových certifikátů. Krok byl dlouho připravován a nějakou dobu už byl k dispozici v testovacím…

Certifikační autorita Let’s Encrypt je nově připravena během jediného dne revokovat a znovu vydat všechny certifikáty, které spravuje. Systém byl značně posílen a nyní se ladí poslední drobnosti.

Let's Encrypt v listopadu oznámil, že se postaví na vlastní nohy a začne používat nový kořenový certifikát. Mělo to ovšem znamenat odříznutí starších Androidů, ke kterému ale nakonec nedojde.

Včera začala certifikační autorita Let's Encrypt vystavovat koncové certifikáty založené na novém mezilehlém certifikátu R3, který vznikl v září. Jde o formální výměnu mezilehlých certifikátů, ty původní totiž vyprší v březnu příštího roku. R3 má…

Od 11. ledna 2021 začne autorita Let’s Encrypt vystavovat certifikáty na základě nového kořene. Ten existuje už od roku 2015 a většina zařízení již má potřebné aktualizace a nový kořen ISRG Root X1 obsahuje. Problémy ovšem bude mít přibližně…

Scott Helme na svém blogu upozorňuje na třetí certifikační autoritu, která nabízí certifikáty pomocí protokolu ACME. Pět let takto umožňuje certifikáty vytvářet autorita Let's Encrypt, před necelými dvěma lety se přidala autorita Buypass a nyní se…

Certifikační autorita Let's Encrypt se po pěti letech postaví na vlastní nohy. Přestane používat kořenový certifikát od IdenTrust a začne používat vlastní. Bohužel tím odřízne starší operační systémy.

Od 17. září 2020 Let's Encrypt odmítá vydávat certifikáty s jinou délkou RSA klíče než 2048, 3072 a 4096 bitů. Klíče těchto délek používá naprostá většina certifikátů, v posledních 90 dnech bylo vydáno pouze 571 certifikátů (0,0004 %) s jinou…

Populární certifikační autorita Let's Encrypt během nedávného ceremoniálu vytvořila šest nových certifikátů a připravuje se na plnou podporu ECDSA. Nabídne tak menší certifikáty a rychlejší šifrování.

Počínaje úterkem 1. září budou prohlížeče Chrome, Mozilla a Safari akceptovat u nově vydaných certifikátů délku platnosti jeden rok, přesněji 398 dnů. Není to žádné překvapení, o změně se ví už od února a podrobně o ní u nás v článku informoval…

HTTPS certifikáty od Let's Encrypt je možné získávat dvěma způsoby: pomocí HTTP a DNS. Pokud chcete wildcardy, zbývá vám pouze druhá možnost. S pohodlným generováním vám pomůže nástroj acme-dns.

Pátého března v 03:00 UTC uplynula lhůta, do které měl projekt Let's Encrypt revokovat na 3 miliony certifikátů, u kterých kvůli softwarové chybě autority nebylo jisté, zda jejich vydání nebylo v rozporu s CAA záznamy. K zahájení revokace došlo…

Certifikační autorita Let's Encrypt, která zdarma vydává doménové certifikáty, revokuje 4. března přes 3 miliony certifikátů – revokace začnou o půlnoci světového času. Let's Encrypt poskytuje webovou stránku, s jejíž pomocí můžete ověřit, zda se…

Otevřená certifikační autorita Let's Encrypt oznámila, že už vydala miliardu certifikátů pro HTTPS. Také díky tomu je dnes 81 % webových stránek uživateli zobrazeno pomocí šifrovaného protokolu, ve Spojených státech je to dokonce 91 % (viz více…

Apple udělal to, co většina certifikačních autorit udělat nechtěla: zkrátil maximální platnost vydávaných certifikátů na jediný rok. Certifikáty s delší dobou platnosti to tak mají vlastně za sebou.

Sdružení CESNET pořádalo další Seminář o bezpečnosti sítí a služeb, mluvilo se na něm o bezpečnosti Wi-Fi sítí, aktuálních bezpečnostních hrozbách, problémech certifikátů a autorit a také o autentizaci pomocí WebAuthn.

Až doposud stačil k ověření držení domény pro získání certifikátu od bezplatné certifikační autority jediný HTTP nebo DNS dotaz. Od dnešního dne se požadavky zpřísňují, takže získat cizí certifikát bude o něco obtížnější.

Pojem „hardening“ lze do českého jazyka přeložit jako „zodolnění“, „vyztužení“ nebo „zesílení“. Dnes si ukážeme, jak nastavit populární webový server Apache tak, aby splňoval moderní bezpečnostní standardy.

Drtivá většina klientů ověřuje certifikáty u Let's Encrypt pomocí HTTP. Někdy ovšem tuhle možnost nechceme či nemůžeme použít, pak přichází na řadu validace pomocí DNS. Popíšeme si postup na vlastní DNS infrastruktuře.

Klient Certbot od EFF pro správu HTTPS certifikátů Let's Encrypt vyšel v úterý ve verzi 1.0 a již tedy není označen jako beta. Certbot byl vydán v roce 2016 jako oficiální klient pro Let's Encrypt. Portál Certbotu najdete na nezměněné adrese.

Let's Encrypt provozuje vlastní log pro Certificate Transparency. Že to není maličkost, je jasné už z toho, že log zvládne zpracovat miliardu certifikátů ročně. Používá k tomu řadu otevřených technologií.

Certifikační autorita Let's Encrypt upozornila na to, že podle dat z Firefox Telemetry už je celosvětově načteno pomocí šifrovaného protokolu HTTPS více než 80 % webových stránek. Ve Spojených státech je to dokonce přes 88 %. Před třemi lety byla…

V rámci CA/Browser Fóra proběhlo hlasování, ve kterém byli všichni tvůrci prohlížečů pro, ale většina autorit hlasovala proti. Přesto některé zkrácení chystají. Od listopadu budou vydávat certifikáty na 397 dnů.

Prohlížeče přestanou během několika následujících týdnů zobrazovat informace o EV certifikátech. Ty se tak stanou na první pohled nerozeznatelnými od OV a DV certifikátů. Důvodů k této změně je několik.

Certifikační autorita Let's Encrypt představila vlastní log pro Certificate Transparency nazvaný Oak. Sponzorem této aktivity je Sectigo, což je nový název pro firmu známou pod jménem Comodo CA Limited. Let's Encrypt o projektu vlastního logu…