přejít na obsah přejít na navigaci

Linux E X P R E S,

Symphera - PM konference

Co se píše o: ssl

HTTP security headers (LinuxDays 2017)

Zabezpečení

Bezpečnost webů lze zvýšit přidáním speciálních HTTP hlaviček, s nimiž umějí pracovat moderní webové prohlížeče. Na letošní konferenci LinuxDays o nich hovořil Tomáš Hála. 


 

reklama

Let’s Encrypt chystá wildcard certifikáty

Let's Encrypt

Certifikační autorita Let’s Encrypt připravuje tzv. wildcard certifikáty, tedy pro neomezený počet subdomén. Měly by být k dispozici v lednu 2018.


 

Více než 11 milionů serverů ohroženo útokem DROWN

Hrozba

Více než 11 milionů serverů stále podporuje SSLv2 a jsou ohroženy snadno proveditelným útokem DROWN.


 

Let's Encrypt má důvěryhodné certifikáty

Let's Encrypt

Certifikáty Let's Encrypt jsou od nynějška v běžných webových prohlížečích považovány za důvěryhodné. Bylo toho dosaženo křížovým podpisem od autority IdenTrust.


 

Webový server lighttpd vypíná SSL 3.0

lighttpd

K aplikacím, které mají deaktivován nebo odstraněn zranitelný protokol SSL 3.0, se ve verzi 1.4.36 přidává i webový server lighttpd.


 

Podrobnosti o závažné chybě v OpenSSL byly zveřejněny

Hrozba

S předstihem několika dnů jsme se dozvěděli, že bude 9. července vydána verze OpenSSL opravující vážnou bezpečnostní chybu. Nyní jsou tu podrobnosti, chyba umožňuje útočníkovi vydávat se za důvěryhodný server.


 

Amazon má vlastní otevřenou implementaci TLS

s2n

Firma Amazon vyvíjí vlastní implementaci TLS. Má licenci Apache a tvoří ji pouhých 6000 řádků kódu.


 

Kód obcházející zabezpečení TLS byl nalezen v řadě dalších aplikací

Hrozba

Po odhalení bezpečnostních problémů způsobovaných aplikací Superfish na počítačích Lenovo se ukazuje mnohem větší rozšíření nebezpečných aplikací – kód obcházející zabezpečení TLS byl nalezen v řadě dalších programů.


 

Let's Encrypt: cesta k šifrování všech webů

Let's Encrypt

Nová certifikační autorita Let's Encrypt má za cíl výrazně usnadnit nasazování TLS na servery. Doménové certifikáty budou zdarma a projekt nabídne i software pro snadnou, automatizovanou práci s certifikáty.


 

Chrome bude varovat před SHA-1

Chrome

Google připravuje pro Chrome 39 varování, že navštívená webová stránka (k níž se přistupuje přes SSL/TLS) využívá hešovací algoritmus SHA-1, který je již několik let považován za příliš slabý. S dalšími verzemi se varování ještě přiostří.


 

Další významná bezpečnostní chyba, tentokrát v GnuTLS

Hrozba

Čerstvě objevená bezpečnostní chyba se týká knihovny GnuTLS, která hraje obdobnou roli jako OpenSSL, byť se používá u menšího počtu aplikací. Vzdálený útočník může vyvolat přetečení bufferu a způsobit tak pád aplikace nebo případně i spustit vlastní kód.


 

Nginx 1.6.0 a 1.7.0

nginx

Je tady nová stabilní verze webového serveru nginx, přináší například vylepšení SSL a podporu SPDY 3.1. Současně byla zahájena nová vývojová větev.


 

Audit odhalil zranitelnost GnuTLS

Hrozba

Bezpečnostní audit firmy Red Hat odhalil, že knihovna GnuTLS nereaguje správně na některé chyby při ověřování certifikátů a může je považovat za důvěryhodné i v případech, kdy byly podvrženy.


 

Web OpenSSL byl napaden přes poskytovatele hostingu

Bezpečnostní hrozba

Prakticky bez povšimnutí zůstalo napadení webu OpenSSL před několika dny. Útok byl zřejmě veden přes slabá hesla u poskytovatele hostingu.


 

IETF chce vylepšit používání TLS

IETF

Vznikla nová pracovní skupina IETF, která má za cíl pomoci vývojářům ve správném používání šifrovací technologie TLS. Cílem je omezit chyby, které činí komunikaci zranitelnější vůči odposlechům a dalším útokům.


 
1 2   Následující   ››