Linux E X P R E S,

S předstihem několika dnů jsme se dozvěděli, že bude 9. července vydána verze OpenSSL opravující vážnou bezpečnostní chybu. Nyní jsou tu podrobnosti, chyba umožňuje útočníkovi vydávat se za důvěryhodný server.

Firma Amazon vyvíjí vlastní implementaci TLS. Má licenci Apache a tvoří ji pouhých 6000 řádků kódu.

Internetová encyklopedie Wikipedia bude přístupná už jen přes HTTPS. Využije také technologii HSTS na ochranu proti přepnutí na nešifrované HTTP.

Nově objevená zranitelnost v TLS ohrožuje významnou část webových a poštovních serverů. Vědci upozorňují, že přesně k takovýmto problémům může vést úmyslné oslabování bezpečnosti.

Sociální síť Instagram běžela přibližně hodinu s expirovaným certifikátem. Ten byl zřejmě již dva týdny připraven, ale nebyl nainstalován.

Nová verze prohlížeče Mozilla Firefox byla vydána týden před plánovaným termínem a kromě jiného opět posiluje bezpečnost šifrované komunikace.

V šifrovací technologii TLS byly nalezeny další dvě slabiny. Obě se týkají algoritmu RC4, který je sice už delší dobu považován za problematický, stále se ale poměrně dost používá.

Po odhalení bezpečnostních problémů způsobovaných aplikací Superfish na počítačích Lenovo se ukazuje mnohem větší rozšíření nebezpečných aplikací – kód obcházející zabezpečení TLS byl nalezen v řadě dalších programů.

Nová certifikační autorita Let's Encrypt má za cíl výrazně usnadnit nasazování TLS na servery. Doménové certifikáty budou zdarma a projekt nabídne i software pro snadnou, automatizovanou práci s certifikáty.

Google připravuje pro Chrome 39 varování, že navštívená webová stránka (k níž se přistupuje přes SSL/TLS) využívá hešovací algoritmus SHA-1, který je již několik let považován za příliš slabý. S dalšími verzemi se varování ještě přiostří.

Mozilla zveřejňuje své plány na řešení problému s revokací certifikátů. Zřejmě půjde částečně stejnou cestou, jaká je použita v prohlížeči Google Chrome.

Bezpečnostní audit firmy Red Hat odhalil, že knihovna GnuTLS nereaguje správně na některé chyby při ověřování certifikátů a může je považovat za důvěryhodné i v případech, kdy byly podvrženy.

Čerstvá verze 27 webového prohlížeče Mozilla Firefox umožňuje využívat přes SocialAPI více služeb současně. Má také ve výchozím nastavení zapnuté TLS 1.1 a 1.2.

Prakticky bez povšimnutí zůstalo napadení webu OpenSSL před několika dny. Útok byl zřejmě veden přes slabá hesla u poskytovatele hostingu.

Vznikla nová pracovní skupina IETF, která má za cíl pomoci vývojářům ve správném používání šifrovací technologie TLS. Cílem je omezit chyby, které činí komunikaci zranitelnější vůči odposlechům a dalším útokům.