Pull to refresh
  • by relevance
  • by date
  • by rating

Сертификаты Let's Encrypt обрели официальную поддержку

Information Security *
image

В записи блога от 19 октября исполнительный директор организации Let's Encrypt Джош Аас [Josh Aas] объявил, что её сертификаты получили подписи от консорциума IdenTrust. Это значит, что теперь сертификатам Let's Encrypt будут автоматически доверять все основные браузеры.

Подписи получили оба промежуточных сертификата, Let’s Encrypt Authority X1 и Let’s Encrypt Authority X2. Организаторы проекта выпустили утилиту, которая автоматически настроит поддержку этих сертификатов в системе. Убедиться в поддержке этих сертификатов в вашем браузере можно на специально подготовленном для этого сайте.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 9K
Comments 5

Rutracker перешёл на HTTPS

Information Security *

Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 20K
Comments 55

Казахстан внедряет свой CA для прослушивания всего TLS-трафика, продолжение

Information Security *
В 2015 и 2016 годах были новости о том, что Казахстан внедряет сертификат для прослушивания HTTPS-траффика. Об этом писали в новостях и на Хабре.

Сегодня, 18 июля 2019 года, многим пользователям мобильной связи разослали различные СМС и оповещения схожего содержания:
В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев, был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз.

В соответствии с Законом РК «О связи» и п.11 «Правил выдачи и применения сертификата безопасности» Компания информирует абонентов о необходимости установки «Сертификата безопасности» на устройствах с доступом в Интернет. Согласно требованиям Законодательства, операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи.

В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным Интернет-ресурсам
Читать дальше →
Total votes 40: ↑25 and ↓15 +10
Views 12K
Comments 8

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

GlobalSign corporate blog Domain names administrating *Interfaces *Server Administration *Browsers


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 12K
Comments 36

Microsoft реализует DoH в будущих выпусках Windows 10

Information Security *Network technologies *DNS *Network standards Development for Windows *
image

Microsoft внедрит в будущие версии Windows 10 протокол «DNS поверх HTTPS» (DNS over HTTPS, DoH). Кроме того, станет доступен протокол «DNS поверх TLS» (DNS over TLS, DoT).

Таким образом компания хочет усилить защиту приватности пользователей путем шифрования всех их DNS-запросов.

DoH и DoT
Первый позволяет выполнять разрешение DNS поверх зашифрованного HTTPS-соединения. Второй шифрует и «упаковывает» DNS-запросы через протокол Transport Layer Security (TLS).

«Мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS», — заявили в Microsoft.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 11K
Comments 14

Google запретит загрузку файлов по протоколу HTTP в Chrome 86 в октябре

Information Security *Google Chrome Browsers
imageФото: www.bleepingcomputer.com

Google в рамках усиления политики безопасности в Chrome полностью перейдет на использование протокола HTTPS при загрузке файлов. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 14K
Comments 42

Google на время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS

Google Chrome Browsers


3 апреля 2020 года Джастин Шух (Justin Schuh), директор отдела Chrome Engineering, сообщил в корпоративном блоге Chromium Blog о том, что Google на неопределенное время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 7.3K
Comments 11

Ошибка выполнения кода в OpenWRT создала угрозу для миллионов устройств

Information Security *Network technologies *Network hardware
image

Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется.
Читать дальше →
Total votes 24: ↑16 and ↓8 +8
Views 9.2K
Comments 11

Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней

Information Security *Domain names administrating *Server Administration *Browsers
image

С 1 сентября 2020 года браузеры и устройства Apple, Google и Mozilla перестанут принимать новые сертификаты TLS, срок службы которых превышает 398 дней. Объединение центров сертификации CA/B Forum выступало против этого шага.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 9.1K
Comments 28

«Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI

Information Security *IT Infrastructure *Network technologies *Legislation in IT


Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.
Читать дальше →
Total votes 55: ↑53 and ↓2 +51
Views 42K
Comments 222

В Firefox 83 внедрили режим «только HTTPS»

Firefox Browsers
image

Mozilla выпустила версию Firefox 83.0. В ней появился новый режим «только HTTPS», повысилась производительность движка SpiderMonkey JavaScript, а также внедрена совместимость с новыми Apple Mac на чипах M1.
Читать дальше →
Total votes 37: ↑36 and ↓1 +35
Views 17K
Comments 141

Власти Казахстана снова принуждают пользователей устанавливать сертификат, чтобы читать зашифрованную переписку

Information Security *Cryptography *Legislation in IT
image

Правительство Казахстана обязало жителей столицы Нур-Султан, а также приезжих устанавливать на мобильные устройства сертификат безопасности. Официально это объясняют «учениями по кибербезопасности». Однако после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик посредством атаки посредника (Man-in-the-Middle).
Читать дальше →
Total votes 32: ↑30 and ↓2 +28
Views 14K
Comments 75

Cloudflare, Apple и Fastly объявили о создании нового протокола DNS

Information Security *Network technologies *DNS *
image

Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Читать дальше →
Total votes 24: ↑16 and ↓8 +8
Views 9.9K
Comments 15

Разработчики Chrome внедряют принудительное открытие сайтов через HTTPS

Дата-центр «Миран» corporate blog Information Security *Website development *Google Chrome Browsers

Один из членов команды разработки Google Chrome, Эмили Старк, сообщила через Твиттер, что в бета-сборку Chrome Canary, а также в Dev-версию браузера будет добавлен экспериментальный флаг "#omnibox-default-typed-navigations-to-https".

Для указанных сборок флаг "#omnibox-default-typed-navigations-to-https" будет включен по умолчанию. Также новая функция будет добавлена в выпуск 89, релиз которого намечен на завтра, 02.03.2021 г.

Читать далее
Total votes 10: ↑9 and ↓1 +8
Views 8.5K
Comments 10

Браузер Chrome начал по умолчанию добавлять https:// ко всем адресам

ITSumma corporate blog Information Security *Google Chrome IT Standards *Browsers


Начиная с версии Chrome 90 ко всем адресам в браузере начал автоматически подставляться префикс https://. По мнению разработчиков, это улучшит защиту приватности пользователей и даже повысит скорость загрузки страниц.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views 12K
Comments 29

96% госсайтов не соответствуют требованиям НПА по информационной безопасности

Information Security *Domain names administrating *Legislation in IT

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 6.4K
Comments 33

В превью Windows 11 появился DNS-over-HTTPS

Information Security *DNS *Development for Windows *Software

Microsoft добавила в Windows 11 функцию DNS-over-HTTPS, позволяющую пользователям выполнять DNS-запросы через зашифрованное HTTPS-соединение, а не через обычный текстовый поиск, который можно отследить. DoH позволит пользователям обходить цензуру, предотвращать атаки спуфинга и повысить конфиденциальность.

Читать далее
Total votes 16: ↑16 and ↓0 +16
Views 5.9K
Comments 20

Google добавляет в Chrome режим HTTPS-First

Information Security *Google Chrome DNS *Browser extensions Browsers

Google собирается повысить безопасность пользователей Chrome с помощью новой функции, которая позволит автоматически обновлять веб-страницы до HTTPS. Режим HTTPS-First напоминает режим HTTPS-Only в Firefox.

Читать далее
Total votes 18: ↑16 and ↓2 +14
Views 6.7K
Comments 16

WebMoney передает файлы с гарантией доставки

Lumber room
Платежная система WebMoney объявила о запуске нового сервиса WebMoney.files, который позволит пользователям обмениваться файлами.

Услуга WebMoney.files, в отличие от обычной отправки файла в виде приложения к электронному письму, позволяет удостовериться в том, что послание действительно доставлено адресату. Отправка и получение файлов производятся по шифрованному протоколу HTTPS с предварительной проверкой на вирусы.

Отправитель посылает файл на WMID-идентификатор получателя в системе WebMoney. В свою очередь, адресат получает ссылку на файл. Отправитель может не только увидеть, скачал ли адресат файл, но и продлить срок, в течение которого он будет доступен, а также отозвать его обратно.
Rating 0
Views 344
Comments 8

Проблема с сессиями аутентификации

Website development *
Привет всем,

Уделите мне, пожалуйста, всего пару минут своего времени и можете заниматься своими делами дальше.

Если вы пользуетесь браузером Mozilla Firefox (при этом, не используя прокси), зайдите по ссылке, очистите сессии аутентификации (для этого нужно нажать Ctrl + Shift + Del, поставить флажок на Сессии аутентификации и нажать Удалить сейчас), откройте новую вкладку в браузере и попробуйте зайти по этой ссылке еще раз. Второй раз эта ссылка уже не откроется.

P.S. Уже заминусовали. Ну – спасибо.

Читать дальше →
Total votes 23: ↑15 and ↓8 +7
Views 2.6K
Comments 4