Linux E X P R E S,

Bezpečnost webů lze zvýšit přidáním speciálních HTTP hlaviček, s nimiž umějí pracovat moderní webové prohlížeče. Na letošní konferenci LinuxDays o nich hovořil Tomáš Hála. 

Certifikační autorita Let’s Encrypt připravuje tzv. wildcard certifikáty, tedy pro neomezený počet subdomén. Měly by být k dispozici v lednu 2018.

Více než 11 milionů serverů stále podporuje SSLv2 a jsou ohroženy snadno proveditelným útokem DROWN.

Certifikáty Let's Encrypt jsou od nynějška v běžných webových prohlížečích považovány za důvěryhodné. Bylo toho dosaženo křížovým podpisem od autority IdenTrust.

K aplikacím, které mají deaktivován nebo odstraněn zranitelný protokol SSL 3.0, se ve verzi 1.4.36 přidává i webový server lighttpd.

S předstihem několika dnů jsme se dozvěděli, že bude 9. července vydána verze OpenSSL opravující vážnou bezpečnostní chybu. Nyní jsou tu podrobnosti, chyba umožňuje útočníkovi vydávat se za důvěryhodný server.

Firma Amazon vyvíjí vlastní implementaci TLS. Má licenci Apache a tvoří ji pouhých 6000 řádků kódu.

Po odhalení bezpečnostních problémů způsobovaných aplikací Superfish na počítačích Lenovo se ukazuje mnohem větší rozšíření nebezpečných aplikací – kód obcházející zabezpečení TLS byl nalezen v řadě dalších programů.

Nová certifikační autorita Let's Encrypt má za cíl výrazně usnadnit nasazování TLS na servery. Doménové certifikáty budou zdarma a projekt nabídne i software pro snadnou, automatizovanou práci s certifikáty.

Google připravuje pro Chrome 39 varování, že navštívená webová stránka (k níž se přistupuje přes SSL/TLS) využívá hešovací algoritmus SHA-1, který je již několik let považován za příliš slabý. S dalšími verzemi se varování ještě přiostří.

Čerstvě objevená bezpečnostní chyba se týká knihovny GnuTLS, která hraje obdobnou roli jako OpenSSL, byť se používá u menšího počtu aplikací. Vzdálený útočník může vyvolat přetečení bufferu a způsobit tak pád aplikace nebo případně i spustit vlastní kód.

Je tady nová stabilní verze webového serveru nginx, přináší například vylepšení SSL a podporu SPDY 3.1. Současně byla zahájena nová vývojová větev.

Bezpečnostní audit firmy Red Hat odhalil, že knihovna GnuTLS nereaguje správně na některé chyby při ověřování certifikátů a může je považovat za důvěryhodné i v případech, kdy byly podvrženy.

Prakticky bez povšimnutí zůstalo napadení webu OpenSSL před několika dny. Útok byl zřejmě veden přes slabá hesla u poskytovatele hostingu.

Vznikla nová pracovní skupina IETF, která má za cíl pomoci vývojářům ve správném používání šifrovací technologie TLS. Cílem je omezit chyby, které činí komunikaci zranitelnější vůči odposlechům a dalším útokům.