SSL

Nové Chrome přináší již dříve avizované odstavení TLS certifikátů od Symantecu, vydaných před 1. červnem 2016. Novější prozatím budou fungovat, definitivní odstavení Symantecu a jeho certifikátů nastane s vydáním Chrome 70. Každopádně je potřeba…

Nový útok na HTTPS HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows) byl ve středu představen na bezpečnostní konferenci Black Hat v Las Vegas. Nový útok nepotřebuje MITM a dokonce ani odposlouchávat komunikaci. Délku šifrované…

V knihovně OpenSSL, resp. přímo v SSLv2, byla nalezena další nepříjemná zranitelnost přezdívaná DROWN, která umožňuje provedení man-in-the-middle útoku na šifrovanou komunikaci. Konkurenční projekt LibreSSL, který z OpenSSL vychází, se v té…

Dnes byla odhalena nová zranitelnost SSLv2 DROWN (Decrypting RSA using Obsolete and Weakened eNcryption). Jde o útok typu man-in-the-middle na TLS šifrovanou komunikaci a dostal označení CVE-2016–0800. V typickém scénáři útočník odposlechne tisíc…

Open source implementace SSL/TSL od Amazonu s názvem s2n a s malým počtem řádků kódu byla představena 30. června. Již po pěti dnech výzkumníci z London University sdělili Amazonu, že s2n je zranitelné s použitím TLS útoku z roku 2013 „Lucky 13“,…

Útočník pod pseudonymem DetoxRansome napadl servery antivirové společnosti BitDefender a podařilo se mu ukořistit přihlašovací údaje několika set jejích zákazníků. Jejich nezveřejnění podmiňoval zaplacením výkupného, na což společnost nepřistoupila…

Knihovna OpenSSL se po několika týdnech hlásí s novými verzemi 1.0.1k, 1.0.0p a 0.9.8zd. Ty stejně jako několik posledních vydání opravují nalezené bezpečností chyby. Další Heartbleed se naštěstí nekoná, jedná se o chyby střední a nižší závažnosti…

V říjnu 2014 byla společností Google objevena zranitelnost v samotném návrhu SSLv3, kterou je možné zneužít pomocí tzv. POODLE (Padding Oracle On Downgraded Legacy Encryption) útoku. Útoční­kovi umožňuje za ideálních podmínek získat obsah cookies…

Google uvolnil novou stabilní verzi svého webového prohlížeče Chrome 39, která přináší velkou změnu na platformě OS X. Zde počínaje Chrome 39 bude dostupná pouze v 64-bitové verzi, poslední 32-bitovou verzí je tedy Chrome 38. Druhou velkou změnou,…

Vývojáři Google jako první upozornili na bezpečnostní problém nazvaný Poodle, který umožňuje zneužít starý protokol SSL verze 3 k dešifrování komunikace se serverem. Existují samozřejmě patche a postupy pro ochranu serverů, ale z hlediska uživatelů…

Chyba POODLE v SSL 3.0 se netýká pouze zjevných aplikací jako webových serverů nebo prohlížečů, ale i dalších služeb. Příkladem budiž push notifikace v systémech od Applu, tedy iOS a OS X. Dosud mohly být přenášeny jak pomocí SSL, tak pomocí…

Trojice zaměstnanců Googlu objevila další závažnou bezpečnostní chybu, která je přítomna ve starší a nepříliš používané verzi protokolu SSL 3.0. Chyba byla pojmenována jako Poodlebleed (Padding Oracle On Downgraded Legacy Encryption) a za pro…

Český internetový vyhledávač Seznam.cz nabízí šifrované spojení přes HTTPS už delší dobu. Nyní bylo HTTPS nastaveno jako výchozí a přesměrováni na něj budou všichni uživatelé. Týká se to samotného vyhledávače a domovské stránky Seznam.cz. Většina…

Výzkumníkům z institutu softwarového inženýrství na Carnegie Mellon University se podařilo odhalit přibližně 350 zranitelných aplikací pro Android a všechny nesprávně ověřují SSL certifikáty při navazování zabezpečeného HTTPS připojení. To…

Knihovna LibreSSL, reformní fork OpenSSL, vyšla ve verzi 2.0. To znamená, že již prošla první velkou očistou – odstraněno bylo na 40 % kódu. Vydání je důležité i v tom, že kromě OpenBSD konečně začíná oficiálně podporovat další operační systémy: OS…

Na knihovnu OpenSSL se ve světle Heartbleed a dalších chyb snesla vlna kritiky. Dokonce už vznikl fork LibreSSL, který má za cíl dát knihovnu pořádně do pucu. I komunita kolem OpenSSL si je ovšem vědoma nedostatků a proto připravila rámcový plán,…

Po LibreSSL tu máme další fork knihovny OpenSSL, ovšem trochu jiného rázu. Nový fork s pracovním názvem BoringSSL zakládá Google a bude jej používat ve svých projektech jako Chromium nebo Android. Založení forku má především praktický, nikoliv…

Po známé chybě Heartbleed v OpenSSL byla objevena obdobná chyba v konkurenční knihovně GnuTLS, která stejně jako OpenSSL slouží pro šifrované spojení prostřednictvím protokolů SSL a TLS. GnuTLS je rovněž obsaženo v drtivé většině linuxových…

Pod křídly Linux Foundation vznikla Core Infrastructure Initiative (CII), která má za cíl dohlížet zejména na bezpečnost nejrozšířenějších internetových open-source projektů. Iniciativa vznikla v reakci na kritickou chybu v OpenSSL, tzv. Heartbleed…

Vývojáři unixového systému OpenBSD se rozhodli forknout knihovnu OpenSSL a vytvořili tak LibreSSL. Kód knihovny OpenSSL je podle nich zaplaven balastem a nutně potřebuje překopat. Poslední kapkou potom bylo objevení chyby Heartbleed, o které jsme…

Mobilní systém Sailfish OS se dočkal již páté aktualizace (přesné označení je 1.05.16), která opět přináší řadu novinek. Fotoaparát už konečně umí do fotografií vkládat informace EXIF, a to i s polohou GPS, pokud mu to povolíte. Dále přibyly plná…

Závažná chyba v OpenSSL zasáhla i svět virtuální měny Bitcoin. Referenční klient Bitcoin Core totiž užíval postižené verze knihovny. Nyní už je ale k dispozici Bitcoin Core 0.9.1, který zranitelnost eliminuje. „Pokud používáte grafickou verzi…

Na serveru HowtoForge vyšel podrobný postup jak šifrovat svoje maily pomocí SSL certifikátu. Článek vás provede celý postupem včetně různých variant. Nabídne vám například možnost instalace openssl, pro vytvoření vlastního certifikátu nebo získání…

V poslední době se hovoří o vzrůstajícím množství problémů s úspěšnými průniky do systémů certifikačních autorit. Nedávný případ s autoritou DigiNotar ukázal, jak je model PKI zranitelný. Electronic Frontier Foundation (EFF) provedla vlastní…

Před týdnem jsme vás informovali o zranitelnosti SSL a TLS, která umožňuje odposlouchávat šifrovanou komunikaci dvou stran. I když Firefox není povahou tohoto problému postižen, tak v pluginech tomu tak být nemusí. V Mozille tak aktuálně debatují…

Firma Comodo potvrdila, že další dva přeprodejci certifikátů, kteří s ní spolupracují, byli kompromitováni, od útoku na InstantSSL.it, ale k dalším škodám už nedošlo. Kromě služeb login.live.com, mail.google.com, www.google.com, login.yahoo.com,…