Pull to refresh

Safari перестанет принимать сертификаты HTTPS, срок действия которых превышает 13 месяцев

Information Security *Safari Browsers
image

Apple решила вступить в борьбу с долговечными сертификатами HTTPS — Safari в конце этого года откажется принимать новые сертификаты, срок действия которых составляет более 13 месяцев с момента создания. При открытии сайтов, которые используют долгосрочные сертификаты SSL/TLS, выпущенные после этого момента, браузер будет выдавать ошибку конфиденциальности.

Тим Каллан, старший сотрудник Sectigo, управляющей PKI и SSL, сказал The Register: «Сертификаты, выданные до 1 сентября, будут иметь ту же приемлемую продолжительность, что и сегодняшние — 825 дней. Для этих сертификатов никаких действий не требуется».
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 9.5K
Comments 32

Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней

Information Security *Domain names administrating *Server Administration *Browsers
image

С 1 сентября 2020 года браузеры и устройства Apple, Google и Mozilla перестанут принимать новые сертификаты TLS, срок службы которых превышает 398 дней. Объединение центров сертификации CA/B Forum выступало против этого шага.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 9.5K
Comments 28

Let's Encrypt отзовет около 2 млн сертификатов 28 января

Information Security *Domain names administrating *

Поставщик сертификатов HTTPS Let’s Encrypt планирует отозвать около 2 млн SSL/TLS-сертификатов 28 января, поскольку они были выпущены ненадлежащим образом.

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views 13K
Comments 9

Поддержка протоколов TLS/SSL для сокетного соединения на AS3

KamaGames Studio corporate blog Adobe Flash Action Script *


Мы разрабатываем Flash клиент для клиент-серверного приложения с постоянным сокетным соединением и нам важно защититься от прослушки трафика. Один из способов такой защиты — SSL/TLS шифрование. Во Flash сделать это можно двумя путями — использовать родной SecureSocket или TLSSocket из библиотеки as3crypto. Ниже мы обсудим плюсы и минусы, производительность, а также проблемы с которыми мы столкнулись при внедрении обоих вариантов.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 7.1K
Comments 6

О тонкостях «шифрованного трубопровода» в процессе разработки IMAP-клиента на Scala+Akka+Spray

Programming *Scala *
Sandbox
Совсем недавно я перешел с горячо любимого мной объектно-ориентированного C++ на новый для меня и еще не совсем понятный функциональный Scala. Причины перехода — совершенно отдельная история. Но одной из них было наличие достаточно хорошей, судя по отзывам, поддержки модели акторов — с помощью библиотеки Akka. Я давно мечтал опробовать на собственном опыте все описываемые преимущества этой технологии, а существующие реализации на C++ (CAF_C++ и Theron), которые я немного повертел в небольших тестах, оказались достаточно сырыми для моих нужд. Наиболее каноническое же (по моему мнению) решение модели акторов — Erlang, — я отмел, так как посчитал, что для его освоения мне понадобится слишком много времени, да и не факт, что я смогу найти необходимые мне сторонние библиотеки для этого далеко не универсального языка. Поэтому в результате выбор мой пал именно на Scala в связке с Akka, тем более что Scala я когда-то давно уже начинал изучать, но забросил за нецелесообразностью. Однако, как оказалось, на этот раз время для своего эксперимента я выбрал не самое удачное, в чем я убедился только после того, как достаточно солидная часть проекта была уже завершена.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 6.1K
Comments 9

Лучшая практика развертывания SSL/TLS, часть 1. Теория

Usedesk corporate blog Information Security *
Translation
Tutorial
Часть 2

Делимся переводом полезной статьи о том, как правильно развернуть SSL/TLS на вашем сайте. Сегодня — теория, вторая (практическая) часть будет после запуска.

Введение


SSL/TLS обманчиво кажется простой технологией. Он прост в развертывании, а потом он просто работает, не обеспечивая достаточного уровня безопасности. Но основная проблема заключается в том, что SSL/TLS нелегко правильно развернуть. Для того чтобы TLS обеспечивал необходимый уровень безопасности, системные администраторы и разработчики должны приложить дополнительные усилия в настройке своих серверов и в разработке приложений.

В 2009 году Qualys SSL Labs начала работу с SSL. Они хотели понять, как использовался TLS, и восполнить недостаток простых в использовании инструментов TLS, а также их документации. С помощью глобального исследования использования TLS, а также при помощи онлайновых инструментов оценки Qualys SSL Labs добилась некоторых своих целей. Но отсутствие документации по-прежнему дает о себе знать. Этот документ является шагом на пути к решению этой проблемы.
Читать дальше →
Total votes 15: ↑8 and ↓7 +1
Views 15K
Comments 12

OpenSMTPD + UW IMAP как альтернатива тяжелым почтовым системам

Configuring Linux *System administration *
Tutorial
Почти каждому, у кого есть сервера с привязанными к ним доменами, так или иначе приходится решать вопрос с почтой, как минимум с доступностью адресов вида webmaster/postmaster/abuse@domain.
Кто-то учит M4 и настраивает встроенный sendmail, кто-то использует сторонние сервисы ( например от Google ), кто-то — поднимает стандартную связку postfix+courier-imap+mysql ( ну или аналоги ).

Мне первое было делать лениво, второе — не хотелось по идеологическим причинам, а третье — слишком избыточно. Поэтому я нашел свой «срединный путь», о чем и хочу рассказать в этой статье.

Prerequirements


При написании этого руководства я предполагал, что пользователь способен взаимодействовать с *nix-системами посредством консоли, умеет устанавливать пакеты своего дистрибутива и владеет как минимум одним текстовым редактором для редактирования конфигов. В качестве примера я буду устанавливать пакеты на Arch Linux, поскольку это мой домашний дистрибутив.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 17K
Comments 52

Лучшая практика развертывания SSL/TLS, часть 2. Конфигурация

Usedesk corporate blog Information Security *
Translation
Tutorial
Представляем вашему вниманию вторую часть перевода статьи о развертывании SSL/TLS, первую часть можете почитать тут.

2. Конфигурация

Если вы правильно настроили на сервере TLS, то можете быть уверены, что данные вашего сайта корректно отображаются для посетителей сайта, используются только безопасные алгоритмы и все известные уязвимости устранены.

2.2. Используйте безопасные протоколы

Существует пять версий протоколов в SSL/TLS семейства: SSL v2, SSL v3, TLS v1.0, TLS v1.1 и TLS v1.2. Из них:
• SSL v2 является небезопасным и не должен быть использован.
Читать дальше →
Total votes 13: ↑10 and ↓3 +7
Views 15K
Comments 4

Анализ SSL/TLS трафика в Wireshark

Nexign corporate blog Information Security *
Tutorial


Как скрыть от посторонних конфиденциальную информацию?
Самое простое – зашифровать.
В Интернет и Интранет-сетях шифрацией данных управляет протокол SSL/TLS.
Солдат спит, служба идет.
Однако иногда возникает необходимость выполнить обратное – расшифровать перехваченный трафик.
Это может потребоваться как для отладки работы приложений, так и для проверки подозрительной сетевой активности.
Или в целях изучения работы SSL/TLS (очевидные, вредоносные цели не обсуждаются).

Как и при каких условиях можно расшифровать дамп SSL/TLS трафика в Wireshark?
Попробуем разобраться.

Читать дальше →
Total votes 48: ↑45 and ↓3 +42
Views 180K
Comments 16

От Root CA до User Authorization в nginx+apache. Часть 1. Создаем Root&Intermediate Certificate Authority

Information Security *Cryptography *
Tutorial
Доброго времени, Хабраюзер!

Хочу поделиться с тобой идеей беспарольной аутентификации. Недавно лазил по сайтам центров сертификаций и наткнулся на интересную вещь. ЦС использую аутентификацию по сертификату вместо пароля. Я считаю это удобным, для компании, а не для обычных интернет сайтов, где шарятся простые пользователи, но вход в АД (админ-центр сайта), было бы неплохо.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 9.5K
Comments 7

DigiCert купили Symantec Website Security: последствия для пользователей SSL/TLS-сертификатов

1cloud.ru corporate blog Information Security *Website development *
Весной прошлого года в Google заметили, что компания Symantec предоставила возможность выдавать сертификаты минимум четырем организациями, однако не смогла обеспечить необходимый уровень наблюдения за их деятельностью и соблюдением стандартов обслуживания. В результате компания Google инициировала «процедуру прекращения доверия» к Symantec-сертификатам.

Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта. Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.

Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 9.4K
Comments 20

Как быстро и просто ускорить доступ к API приложениям?

Uma.Tech corporate blog Machine learning *
Ответ прост: используя проверенные инструменты, такие как кэширование и горизонтальное масштабирование. Сразу скажем, что это инструменты не единственные, но чаще всего именно проверенные классические подходы оказываются наиболее действенные даже в современных условиях. Рассмотрим практический пример.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 2.1K
Comments 0

Использование TLS fingerprinting для выявления угроз

Акрибия corporate blog Information Security *

В статье хотим рассказать про технологию TLS fingerprinting, про которую недостаточно материалов в русскоязычном сегменте. Попробуем это исправить. Статья частично переводит тематические материалы авторов описываемых методов (тут и тут), а также содержит описание практической реализации от Акрибии.

Не будем глубоко погружаться в детали работы SSL/TLS (далее будем говорить TLS), но кратко поясним детали.

Использование TLS само по себе благо, так как с его помощью шифруются данные. Но с обратной стороны создатели вредоносов используют его же, чтобы скрываться в шифрованном трафике (в данной статье как раз будет уклон в эту сторону) и затруднять их обнаружение и нейтрализацию.

Чтобы инициировать сеанс TLS, клиент отправляет «пакет» приветствия серверу после трёхстороннего установления связи TCP. Этот «пакет» и способ его создания зависят от пакетов и методов шифрования, используемых при создании клиентского приложения. Если сервер принимает соединение TLS, он ответит пакетом приветствия, тем самым продолжая согласование шифрования.

Читать далее
Total votes 18: ↑18 and ↓0 +18
Views 7.5K
Comments 8

25 твитов об SSL-сертификатах

ITSOFT corporate blog Information Security *System administration *Network technologies *

SSL сертификаты. Для чего они нужны, какие бывают, от чего защищают, кто использует, как долго действуют, есть ли гарантия? Разберем основные вопросы – кратко, в режиме твиттера – не более 280 символов на ответ.

Читать далее
Total votes 20: ↑14 and ↓6 +8
Views 10K
Comments 32

Web-сервер с двухуровневой иерархией ЦС. Авторизация по SSL

Timeweb Cloud corporate blog Configuring Linux *Information Security *System administration *IT Infrastructure *
Tutorial


Всем приветь!
Часть данного мануала просто перепечатывание старого с адаптацией. Но я пойду дальше и добавлю скрипт, для автоматизации создания ssl сертификатов и их отзывов. Однако и на этом я не остановлюсь и сделаю инструкцию для создания безопасности web-сервера таким образом, чтобы доступ к нему был только у пользователей, имеющих сертификаты.


Для реализации нам понадобится три сервера/виртуальной машины: RootCA — корневой центр сертификации, SubCA — подчиненный/подписывающий центр сертификации, web-сервер — сервер, для которого мы будем подписывать ssl сертификат.

Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 2K
Comments 11