Hlavní navigace

SSL

Google Chrome 66 pokračuje s aktivací Strict Site Isolation

Nové Chrome přináší již dříve avizované odstavení TLS certifikátů od Symantecu, vydaných před 1. červnem 2016. Novější prozatím budou fungovat, definitivní odstavení Symantecu a jeho certifikátů nastane s vydáním Chrome 70. Každopádně je potřeba…

Nový útok na HTTPS HEIST nepotřebuje MITM

Nový útok na HTTPS HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows) byl ve středu představen na bezpečnostní konferenci Black Hat v Las Vegas. Nový útok nepotřebuje MITM a dokonce ani odposlouchávat komunikaci. Délku šifrované…

4. 8. 2016 10:04

Let's Encrypt už není beta, zůstávají však nesplněné sliby

Bezplatná automatizovaná certifikační autorita nedávno odstranila nálepku „beta“ ze svého názvu. Kdysi slibované bezpečnostní prvky ale byly zrušeny, nebo zůstávají neimplementované.

Doba čtení: 8 minut

LibreSSL zranitelností DROWN netrpí

V knihovně OpenSSL, resp. přímo v SSLv2, byla nalezena další nepříjemná zranitelnost přezdívaná DROWN, která umožňuje provedení man-in-the-middle útoku na šifrovanou komunikaci. Konkurenční projekt LibreSSL, který z OpenSSL vychází, se v té…

Nová zranitelnost SSLv2 DROWN

Dnes byla odhalena nová zranitelnost SSLv2 DROWN (Decrypting RSA using Obsolete and Weakened eNcryption). Jde o útok typu man-in-the-middle na TLS šifrovanou komunikaci a dostal označení CVE-2016–0800. V typickém scénáři útočník odposlechne tisíc…

Nalezena chyba v s2n SSL/TSL implementaci Amazonu

Open source implementace SSL/TSL od Amazonu s názvem s2n a s malým počtem řádků kódu byla představena 30. června. Již po pěti dnech výzkumníci z London University sdělili Amazonu, že s2n je zranitelné s použitím TLS útoku z roku 2013 „Lucky 13“,…

26. 11. 2015 9:01

Antivirová společnost BitDefender byla napadena, unikla část hesel

Útočník pod pseudonymem DetoxRansome napadl servery antivirové společnosti BitDefender a podařilo se mu ukořistit přihlašovací údaje několika set jejích zákazníků. Jejich nezveřejnění podmiňoval zaplacením výkupného, na což společnost nepřistoupila…

31. 7. 2015 20:50

Nové OpenSSL opravuje osm bezpečnostních chyb

Knihovna OpenSSL se po několika týdnech hlásí s novými verzemi 1.0.1k, 1.0.0p a 0.9.8zd. Ty stejně jako několik posledních vydání opravují nalezené bezpečností chyby. Další Heartbleed se naštěstí nekoná, jedná se o chyby střední a nižší závažnosti…

9. 1. 2015 19:47

POODLE se nakonec týká i TLS protokolu

V říjnu 2014 byla společností Google objevena zranitelnost v samotném návrhu SSLv3, kterou je možné zneužít pomocí tzv. POODLE (Padding Oracle On Downgraded Legacy Encryption) útoku. Útoční­kovi umožňuje za ideálních podmínek získat obsah cookies…

Chrome dospěl do verze 39

Google uvolnil novou stabilní verzi svého webového prohlížeče Chrome 39, která přináší velkou změnu na platformě OS X. Zde počínaje Chrome 39 bude dostupná pouze v 64-bitové verzi, poslední 32-bitovou verzí je tedy Chrome 38. Druhou velkou změnou,…

Google bude bojovat s Poodle, zruší podporu SSLv3 v Chrome

Vývojáři Google jako první upozornili na bezpečnostní problém nazvaný Poodle, který umožňuje zneužít starý protokol SSL verze 3 k dešifrování komunikace se serverem. Existují samozřejmě patche a postupy pro ochranu serverů, ale z hlediska uživatelů…

Apple kvůli POODLE vypne SSL 3.0 u push notifikací

Chyba POODLE v SSL 3.0 se netýká pouze zjevných aplikací jako webových serverů nebo prohlížečů, ale i dalších služeb. Příkladem budiž push notifikace v systémech od Applu, tedy iOS a OS X. Dosud mohly být přenášeny jak pomocí SSL, tak pomocí…

POODLE útok na SSLv3

POODLE je nový útok na SSL verzi 3, umožňující dešifrovat komunikaci aktivním útočníkem. V ideálním světě by POODLE byl jenom kuriozitou obstarožního protokolu, ale SSL verze 3 se dosud kvůli zpětné kompatibilitě používá. Možná je tento útok připomínkou, aby se již od SSL3 definitivně upustilo.

Doba čtení: 3 minuty

Poodlebleed: kritická chyba ve starém SSL 3.0

Trojice zaměstnanců Googlu objevila další závažnou bezpečnostní chybu, která je přítomna ve starší a nepříliš používané verzi protokolu SSL 3.0. Chyba byla pojmenována jako Poodlebleed (Padding Oracle On Downgraded Legacy Encryption) a za pro…

Seznam.cz už ve výchozím stavu běží přes HTTPS

Český internetový vyhledávač Seznam.cz nabízí šifrované spojení přes HTTPS už delší dobu. Nyní bylo HTTPS nastaveno jako výchozí a přesměrováni na něj budou všichni uživatelé. Týká se to samotného vyhledávače a domovské stránky Seznam.cz. Většina…

Nebezpečné certifikáty: konec SHA-1 a 1024bitové­ho RSA

Webovou bezpečnost čeká menší revoluce. Šifrovací algoritmus RSA v 1024bitové podobě a hašovací funkce SHA-1 přestávají být bezpečné. Po letech tak budou odstaveny a nahrazeny bezpečnějšími nástupci. Jak změna proběhne? Kolika stránek a uživatelů se to dotkne? A proč by nás to vůbec mělo zajímat?

Doba čtení: 5 minut

Seznam aplikací pro Android umožňující MITM

Výzkumníkům z institutu softwarového inženýrství na Carnegie Mellon University se podařilo odhalit přibližně 350 zranitelných aplikací pro Android a všechny nesprávně ověřují SSL certifikáty při navazování zabezpečeného HTTPS připojení. To…

LibreSSL od verze 2.0 běží i na Linuxu

Knihovna LibreSSL, reformní fork OpenSSL, vyšla ve verzi 2.0. To znamená, že již prošla první velkou očistou – odstraněno bylo na 40 % kódu. Vydání je důležité i v tom, že kromě OpenBSD konečně začíná oficiálně podporovat další operační systémy: OS…

OpenSSL chystá reformu. Chce se vyvarovat chyb

Na knihovnu OpenSSL se ve světle Heartbleed a dalších chyb snesla vlna kritiky. Dokonce už vznikl fork LibreSSL, který má za cíl dát knihovnu pořádně do pucu. I komunita kolem OpenSSL si je ovšem vědoma nedostatků a proto připravila rámcový plán,…

Google zakládá vlastní fork OpenSSL

Po LibreSSL tu máme další fork knihovny OpenSSL, ovšem trochu jiného rázu. Nový fork s pracovním názvem BoringSSL zakládá Google a bude jej používat ve svých projektech jako Chromium nebo Android. Založení forku má především praktický, nikoliv…

Knihovna GnuTLS obsahovala kritickou chybu

Po známé chybě Heartbleed v OpenSSL byla objevena obdobná chyba v konkurenční knihovně GnuTLS, která stejně jako OpenSSL slouží pro šifrované spojení prostřednictvím protokolů SSL a TLS. GnuTLS je rovněž obsaženo v drtivé většině linuxových…

Knihovna OpenSSL projde auditem

Pod křídly Linux Foundation vznikla Core Infrastructure Initiative (CII), která má za cíl dohlížet zejména na bezpečnost nejrozšířenějších internetových open-source projektů. Iniciativa vznikla v reakci na kritickou chybu v OpenSSL, tzv. Heartbleed…

LibreSSL: odstraníme balast z OpenSSL

Vývojáři unixového systému OpenBSD se rozhodli forknout knihovnu OpenSSL a vytvořili tak LibreSSL. Kód knihovny OpenSSL je podle nich zaplaven balastem a nutně potřebuje překopat. Poslední kapkou potom bylo objevení chyby Heartbleed, o které jsme…

Pátá aktualizace Sailfish OS vylepšuje focení

Mobilní systém Sailfish OS se dočkal již páté aktualizace (přesné označení je 1.05.16), která opět přináší řadu novinek. Fotoaparát už konečně umí do fotografií vkládat informace EXIF, a to i s polohou GPS, pokud mu to povolíte. Dále přibyly plná…

Bitcoin Core 0.9.1 opravuje chybu OpenSSL

Závažná chyba v OpenSSL zasáhla i svět virtuální měny Bitcoin. Referenční klient Bitcoin Core totiž užíval postižené verze knihovny. Nyní už je ale k dispozici Bitcoin Core 0.9.1, který zranitelnost eliminuje. „Pokud používáte grafickou verzi…

9. 4. 2014 14:10

SSL divočina aneb jak se chovají „důvěryhodné“ CA

Uplynulý rok byl bohatý na bezpečnostní incidenty týkající se certifikačních autorit. Kompromitace, slabé klíče, nerevokovatelné certifikáty. Situace vedla k návrhu nových nástrojů a protokolů na pozitivní straně a k ohrožení mnoha lidí na negativní straně. Praktický význam slova „důvěryhodný“ se posunul jinam.

Doba čtení: 6 minut

Jak šifrovat maily pomocí SSL certifikátů

Na serveru HowtoForge vyšel podrobný postup jak šifrovat svoje maily pomocí SSL certifikátu. Článek vás provede celý postupem včetně různých variant. Nabídne vám například možnost instalace openssl, pro vytvoření vlastního certifikátu nebo získání…

EFF: model PKI má řadu systémových problémů

V poslední době se hovoří o vzrůstajícím množství problémů s úspěšnými průniky do systémů certifikačních autorit. Nedávný případ s autoritou DigiNotar ukázal, jak je model PKI zranitelný. Electronic Frontier Foundation (EFF) provedla vlastní…

Bude Java ve Firefoxu zakázána?

Před týdnem jsme vás informovali o zranitelnosti SSL a TLS, která umožňuje odposlouchávat šifrovanou komunikaci dvou stran. I když Firefox není povahou tohoto problému postižen, tak v pluginech tomu tak být nemusí. V Mozille tak aktuálně debatují…

Další dva přeprodejci certifikátů byli kompromitováni

Firma Comodo potvrdila, že další dva přeprodejci certifikátů, kteří s ní spolupracují, byli kompromitováni, od útoku na InstantSSL.it, ale k dalším škodám už nedošlo. Kromě služeb login.live.com, mail.google.com, www.google.com, login.yahoo.com,…

31. 3. 2011 17:02