Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Let's Encrypt начнёт выдавать wildcard-сертификаты в январе 2018 года

Хостинг Администрирование доменных имен *Серверное администрирование *
Одним из ограничений бесплатного центра сертификации Let's Encrypt является то, что он не выдаёт сертификаты типа wildcard на поддомены (см. «Полное руководство по переходу с HTTP на HTTPS»). Такие сертификаты покрывают основной домен, а также неограниченное количество поддоменов (*.example.com ) — например, example.com, www.example.com, mail.example.com, ftp.example.com и т. д. Некоторые центры сертификации продают такие сертификаты от $475 в год. Let's Encrypt будет выдавать их бесплатно.

Сервис Let's Encrypt предоставляется организацией Internet Security Research Group (ISRG). Вчера она сообщила приятную новость: wildcard-сертификаты начнут выдавать с января 2018 года! Такие сертификаты были одной из самых запрашиваемых фич, о которой упоминали пользователи. И в самом деле, пользоваться подстановочными знаками (*.example.com) в некоторых случаях гораздо удобнее, чем перечислять каждый домен в отдельности, что разрешают стандартные DV-сертификаты Let's Encrypt. В некоторых случаях это упрощает переход на HTTPS, а ведь всеобщий переход на шифрование — и есть главная цель проекта Let's Encrypt, который действует для общественного блага и живёт на пожертвования. В конечном итоге, 100% веба должно быть зашифровано нашими совместными усилиями.
Читать дальше →
Всего голосов 32: ↑32 и ↓0 +32
Просмотры 14K
Комментарии 50

Rutracker перешёл на HTTPS

Информационная безопасность *

Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.
Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Просмотры 20K
Комментарии 55

ФСБ рекомендует внедрить шифры «Магма» и «Кузнечик» в TLS 1.3 для сайтов Рунета

Информационная безопасность *Разработка веб-сайтов *Криптография *Законодательство в IT


Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) подготовил проекты рекомендаций по использованию отечественных криптографических алгоритмов «Магма» и «Кузнечик» в ключевых протоколах интернета. Деятельностью комитета руководит ФСБ.
Читать дальше →
Всего голосов 21: ↑19 и ↓2 +17
Просмотры 17K
Комментарии 119

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

Блог компании GlobalSign Администрирование доменных имен *Интерфейсы *Серверное администрирование *Браузеры


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 12K
Комментарии 36

Браузеры Chrome и Firefox поместили государственный сертификат Казахстана в отозванные

Firefox Информационная безопасность *Google Chrome Браузеры Законодательство в IT

Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).



А что у Mozilla Firefox (по следам вопроса @Meklon в коментариях)?

Инициативы придерживается и Mozilla Firefox (ссылка):


В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.
Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры 15K
Комментарии 20

Российские хакеры модифицировали Chrome и Firefox. Они отслеживают шифрованный трафик пользователей

Firefox Информационная безопасность *Антивирусная защита *Google Chrome Браузеры
image

Kaspersky опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.

Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.

Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.
Читать дальше →
Всего голосов 18: ↑15 и ↓3 +12
Просмотры 14K
Комментарии 2

На ресурсах Хабра заканчивается поддержка старых версий TLS

Блог компании Хабр Habr Сетевые технологии *Браузеры

Поддержка устаревших версий TLS 1.0 и 1.1 отключена на ресурсах Хабра c 15 января 2020 года. Для установления защищённых соединений с нашими сайтами доступны версии TLS 1.2 и экспериментальная 1.3 (наборы TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256). Если у вас безумно старый браузер или ОС, настало время что-то с этим сделать, так как прогресс не стоит на месте.



CC-BY-CA Vadim Rybalko, based on meme

Читать дальше →
Всего голосов 29: ↑29 и ↓0 +29
Просмотры 5.4K
Комментарии 10

Zoom уличили в отсутствии сквозного шифрования. Вместо него компания использует TLS

Информационная безопасность *Видеоконференцсвязь
imageФото: theintercept.com

Сервис видеоконференцсвязи Zoom утверждает, что внедряет сквозное шифрование, однако выяснилось, что платформа фактически использует свое собственное определение термина, которое позволяет Zoom получать доступ к незашифрованному видео и аудио с видеоконференций.
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 6.9K
Комментарии 8

Cloudflare, Apple и Fastly объявили о создании нового протокола DNS

Информационная безопасность *Сетевые технологии *DNS *
image

Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Читать дальше →
Всего голосов 24: ↑16 и ↓8 +8
Просмотры 10K
Комментарии 15

Исследователи выявили уязвимость в методе обхода цензуры Signal

Информационная безопасность *Мессенджеры *GitHub

Мессенджер Signal после блокировки в Иране предложил пользователям использовать TLS-прокси, чтобы обойти цензуру в стране. Однако исследователи безопасности уже обнаружили в ней недостатки.

Когда они сообщили о дырах безопасности через репозиторий Signal на GitHub, то компания заблокировала пользователей и удалила все их сообщения.

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 5.5K
Комментарии 4

Браузер Chrome начал по умолчанию добавлять https:// ко всем адресам

Блог компании ITSumma Информационная безопасность *Google Chrome IT-стандарты *Браузеры


Начиная с версии Chrome 90 ко всем адресам в браузере начал автоматически подставляться префикс https://. По мнению разработчиков, это улучшит защиту приватности пользователей и даже повысит скорость загрузки страниц.
Читать дальше →
Всего голосов 33: ↑32 и ↓1 +31
Просмотры 12K
Комментарии 29

HTTPS реально победил, расширение HTTPS Everywhere закрывается

Блог компании ITSumma Информационная безопасность *Криптография *Расширения для браузеров Браузеры


Более десяти лет назад Фонд электронных рубежей (EFF) выпустил расширение HTTPS Everywhere. Его функциональность была простой, но полезной: если ввести адрес http://, то расширение автоматически заменяло его на https:// в случае наличия защищённой версии сайта. Такой режим принудительной переадресации гарантировал шифрование канала, когда возможно.

Но сейчас эту функциональность внедрили все популярные браузеры, поэтому необходимость в специальном расширении отпала.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры 7.2K
Комментарии 16

Популярные ошибки администраторов jabber-серверов

Мессенджеры *
В связи с тем, что после недавних событий стали как грибы после дождя плодиться топики о том, как настроить свой jabber-сервер, я решил перечислить некоторые основные ошибки и заблуждения тех, кто настраивает jabber-сервер в первый раз. Речь пойдет про:
  • SRV-записи
  • SSL-сертификаты
  • Заблуждения о транспортах
Читать дальше →
Всего голосов 75: ↑70 и ↓5 +65
Просмотры 28K
Комментарии 60

Релиз OpenSSL 1.0.0 с поддержкой ГОСТ

Криптография *
После 11 лет разработки организация OpenSSL выпустила первую официальную версию этого криптографического пакета с открытым исходным кодом для работы с SSL/TLS. См. официальное сообщение.

OpenSSL позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT. Также имеется возможность шифрования данных и тестирования SSL/TLS соединений. В новой версии исправлено множество недостатков 0.9.8n, а также добавлены новые фичи (например, поддержка BeOS и российских алгоритмов шифрования, закреплённых в ГОСТах). Полный список изменений см. здесь.

Пакет OpenSSL основан на технологии SSLeay, написанной Эриком Янгом (Eric A. Young) и Тимом Хадсоном (Tim Hudson), которые неофициально закончили работать над ней в декабре 1998 года, после чего перешли в RSA Security.
Всего голосов 42: ↑36 и ↓6 +30
Просмотры 13K
Комментарии 25

StartSSL или как избавиться от самоподписанных сертификатов

Системное администрирование *
Мне по долгу работы пришлось предостаточно навозиться с самоподписанными SSL-сертификатами: это и разные панели управления, и почта, и серверы приложений. Вообще всего и не вспомнить, в большинстве случаев можно легко обойтись самоподписанными сертификатами, но даже в этих случаях напрягает постоянно импортировать их в браузер(иногда это нетривиально, как например в гугл хром) или почтовый клиент(как Mail App), а если говорить о почте например так там вообще полная засада, если у Вас много пользователей то некоторый процент обязательно позвонит к вам что бы сообщить что у них ошибка «что-то про сертификат». Конечно можно научить юзеров импортировать их, но на много приятней когда вообще ничего выше описанного не происходит. С другой стороны покупать сертификат не дешевое удовольствие, как минимум 15 баксов если поискать, это всегда меня останавливало, так как критичной необходимости в подписанном сертификате вроде бы и нет, и отдавать свои кровные не хочется. Так я вот жил на самоподписанных сертификатах с незапамятных времен.
Читать дальше →
Всего голосов 117: ↑109 и ↓8 +101
Просмотры 53K
Комментарии 77

Google FalseStart на 30% ускоряет «рукопожатие» SSL

IT-стандарты *


В блоге Chromium разработчики из Google рассказали о своих успехах по внедрению SSL FalseStart (RFC). Это клиентская технология для браузера, которая не требует никаких изменений на стороне сервера, но при этом на 30% ускоряет подтверждение связи SSL (задержка измеряется как время между первоначальным пакетом TCP SYN и окончанием процедуры по TLS).
Читать дальше →
Всего голосов 39: ↑29 и ↓10 +19
Просмотры 814
Комментарии 8

Apache HTTP Server: Обслуживание нескольких HTTPS-хостов на одном IP-адресе

Серверное администрирование *
Из песочницы
При миграции сервера в облако возникла необходимость разместить несколько веб-сайтов, работающих по HTTPS на одном физическом IP-адресе.
При этом нужно было остаться на той же операционной системе CentOS 5.6 и штатном apache-2.2.19.
Готового решения для CentOS не нашел, поэтому предлагаю свой вариант решения.

Теория


Согласно RFC 4366, раздел 3.1. Server Name Indication это возможно.
Для полноценной работы это расширение должен поддерживать и сервер и клиент (браузер).

Практика


Поддержка расширения SNI согласно Wikipedia появилась в Apache HTTP Server начиная с версии 2.2.12.
Подробности есть в Apache Wiki.
Для работы расширения нужна библиотека OpenSSL версии 0.9.8f или выше.
Проблема в том, что в CentOS 5.6 встроен OpenSSL версии 0.9.8e, и «поднять» ему версию не так то просто, т.к. именно на эту версию завязано много других компонент.
Собирать отдельный OpenSSL и Apache вне дерева пакетов — неспортивно.
В процессе поиска решения наткнулся на альтернативу: библиотеку gnutls и модуль mod_gnutls.
Библиотека gnutls в системе тоже присутствует и тоже очень старая, правда достаточно безболезненно удаляется вместе с зависимостями.

В результате были собраны и установлены «свежие» пакеты gnutls и mod_gnutls, которые дали нужный функционал с минимальным влиянием на остальную систему. Под катом подробности по процессу сборки и примеры файлов конфигурации.
Читать дальше →
Всего голосов 32: ↑29 и ↓3 +26
Просмотры 18K
Комментарии 32

Convergence — возможная замена Certification Authority System

Информационная безопасность *


Доброго всем времени суток!

Сразу хотелось бы дать две ссылки на материалы, на основе которых составлена эта заметка. Можно ознакомиться непосредственно с источниками и не читать топик, представляющий из себя всего-навсего мой вольный перевод-пересказ основных моментов с небольшим количеством отсебятины.
BlackHat USA 2011: SSL And The Future Of Authenticity
Moxie Marlinspike :: Blog — SSL And The Future Of Authenticity

Читать дальше →
Всего голосов 35: ↑30 и ↓5 +25
Просмотры 3.1K
Комментарии 55

FreeRADIUS for WPA & WPA2 Enterprise: Windows 7, Android, Symbian, iPhone

Беспроводные технологии *
В этой статье прекрасно описана конфигурация FreeRADIUS для WPA2 Enterprice, по ней я успешно сконфигурировал связку FreeRADIUS2 + WPA2 + EAP-TLS (аутентификация пользователя по WIFI WPA / WPA2 Enterprise, при помощи сертификатов). По этому утруждать ни себя ни вас, переводом я не стану.
Тем не менее в статье не хватает информации о тонкостях конфигурирования клиентов Android, Nokia Symbian, iPhone и Windows 7, для вышеописанной связки.
Что я и собираюсь сделать в этой дополняющей статье.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 24K
Комментарии 0

Первая работающая атака на SSL/TLS-протокол

Блог компании Журнал Хакер
Передаваемые по SSL-соединению данные можно расшифровать! Для этого Джулиану Риццо и Тай Дуонгу удалось использовать недоработки в самом протоколе SSL. И пусть речь пока не идет о полной дешифровке трафика, разработанная ими утилита BEAST может извлечь из зашифрованного потока то, что представляет собой наибольший интерес, — секретные кукисы с идентификатором сессии пользователя.


Читать дальше →
Всего голосов 84: ↑77 и ↓7 +70
Просмотры 53K
Комментарии 22