Одним из ограничений бесплатного центра сертификации Let's Encrypt является то, что он не выдаёт сертификаты типа wildcard на поддомены (см. «Полное руководство по переходу с HTTP на HTTPS»). Такие сертификаты покрывают основной домен, а также неограниченное количество поддоменов (*.example.com ) — например, example.com, www.example.com, mail.example.com, ftp.example.com и т. д. Некоторые центры сертификации продают такие сертификаты от $475 в год. Let's Encrypt будет выдавать их бесплатно.

Сервис Let's Encrypt предоставляется организацией Internet Security Research Group (ISRG). Вчера она сообщила приятную новость: wildcard-сертификаты начнут выдавать с января 2018 года! Такие сертификаты были одной из самых запрашиваемых фич, о которой упоминали пользователи. И в самом деле, пользоваться подстановочными знаками (*.example.com) в некоторых случаях гораздо удобнее, чем перечислять каждый домен в отдельности, что разрешают стандартные DV-сертификаты Let's Encrypt. В некоторых случаях это упрощает переход на HTTPS, а ведь всеобщий переход на шифрование — и есть главная цель проекта Let's Encrypt, который действует для общественного блага и живёт на пожертвования. В конечном итоге, 100% веба должно быть зашифровано нашими совместными усилиями.

В записи блога от 19 октября исполнительный директор организации Let's Encrypt Джош Аас [Josh Aas] объявил, что её сертификаты получили подписи от консорциума IdenTrust. Это значит, что теперь сертификатам Let's Encrypt будут автоматически доверять все основные браузеры.

Подписи получили оба промежуточных сертификата, Let’s Encrypt Authority X1 и Let’s Encrypt Authority X2. Организаторы проекта выпустили утилиту, которая автоматически настроит поддержку этих сертификатов в системе. Убедиться в поддержке этих сертификатов в вашем браузере можно на специально подготовленном для этого сайте.

Государство будет следить за безопасностью передачи данных в отечественном сегменте Сети


Фото: Дмитрий Коротаев / Коммерсантъ

Администрация президента сейчас ведет работу по созданию государственного удостоверяющего центра (УЦ), который будет выдавать сайтам в русскоязычном сегменте Сети государственные SSL-сертификаты, пишет «Коммерсант». «Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете»,— сообщил источник, близкий к администрации президента (АП).

О начале реализации такого проекта сообщил и глава Фонда информационной демократии Илья Массух. Он сказал, в частности, что создание УЦ бужет обсуждаться специальной рабочей группой «по использованию информационно-телекоммуникационной сети интернет в отечественной экономике». Эта группа создана в начале февраля этого года решением главы администрации президента Сергея Иванова. В рамках группы создана подгруппа «Интернет плюс суверенитет», в которой «будут вырабатываться предложения по созданию УЦ с учетом мнения экспертов и компаний-разработчиков отечественных браузеров — „Яндекс.Браузер“ и „Спутник“».

Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.

Внешний вид веб-интерфейса GitHub 2 ноября 2020 года (примерно с 2 до 3 часов ночи по московскому времени). Нормально отображался текст, ссылки и эскизы.

По информации издания Bleeping Computer, сегодня ночью в течение часа веб-интерфейс сервиса GitHub не работал как положено. В нем не было изображений, также пользователи фиксировали проблемы с работой JavaScript-сценариев.

Начиная с версии Chrome 90 ко всем адресам в браузере начал автоматически подставляться префикс https://. По мнению разработчиков, это улучшит защиту приватности пользователей и даже повысит скорость загрузки страниц.

Более десяти лет назад Фонд электронных рубежей (EFF) выпустил расширение HTTPS Everywhere. Его функциональность была простой, но полезной: если ввести адрес http://, то расширение автоматически заменяло его на https:// в случае наличия защищённой версии сайта. Такой режим принудительной переадресации гарантировал шифрование канала, когда возможно.

Но сейчас эту функциональность внедрили все популярные браузеры, поэтому необходимость в специальном расширении отпала.

The Bat!, ещё один любимец на просторах Восточной Европы. Особенная программа, с массой функций, облегчающих жизнь при наличии интенсивной переписки и работе с несколькими почтовыми ящиками. При необходимости The Bat! поможет отсортировать и перенаправить почту, проверить заголовки писем для скачивания только необходимых, зашифрует корреспонденцию средствами сильного шифрования и заберёт почту с серверов поддерживающих защищённые (SSL) соединения по протоколам SMTP и POP3.

Скачать The Bat! 3.98.1:
— thebat_pro_3-98-1.msi (12.8Mb, версия The Bat! Pro)
— thebat_home_3-98-1.msi (5.9Mb, версия The Bat! Home)
— intpack_3-98-1.msi (4.6Mb, языковой модуль)

О разнице между версиями Pro и Home можно почитать на официальном сайте. В двух словах: Pro версия сразу после установки имеет все доступные языки интерфейса и поддерживает аппаратные средства средства авторизации (токены). Поддержку дополнительных языков интерфейса можно включить и в версии Home, но для этого надо скачивать и устанавливать языковой модуль.

Что нового в версии The Bat 3.98.1?

На хакерской конференции Black Hat в этом году было много интересных докладов и презентаций. Например, один из докладов был посвящён перехвату личных данных, которые передаются по беспроводной сети WiFi. Взлом основан на считывании cookies, так что этой уязвимости подвержены любые современные веб-сервисы, включая почтовые службы Gmail и Yahoo Mail.

Роб Грэм, исполнительный директор хакерской компании Errata Security лично продемонстрировал, как работает сниффер. Он функционирует следующим образом: анализируя трафик, программа вычисляет «кукисы», которые используются для авторизации сессий. Копируя их на свой компьютер, злоумышленник получает возможность зайти на тот или иной веб-сайт от имени жертвы.

Банковская ссылка (pangalink) — способ обмена данных купли-продажи между клиентом, банком и магазином, распространённая прежде всего в Эстонии. Этот способ предоставляется банками в виде платной услуги магазинам и кроме возможности оплаты имеется возможность авторизации пользователей (что используется например на учебном sais.ee ). Зачем это надо? Потому что для клиента это очень удобно, судите сами — весь процесс оплаты счёта:

1. Клиент выбирает нужные товары и получает в итоге счёт и ссылку на банк
2. Внутри ссылки зашиты все данные об оплате и счетах, и подтверждены криптоустойчивой подписью (signature). Клиент оплачивает в банке полноценный информативный счёт.
3. Банк редиректит клиента обратно на сайт опять со всеми данными об оплате вместе с подписью.

Отчасти поэтому в Эстонии уже есть и arved.ee и практически в каждом магазине иконки банков. В общем для работы необходимы:

• уникальный id, выдаётся в банке после заключения договора
• сертификаты — публичныйключ банка и собственные публичные и приватные ключи
• собственно программа для обмена данными

Криптография

Поскольку всё происходит в защёщённом SSL режиме, то надо иметь банковский публичный ключ что-бы сгенерировать сообщение банку и наоборот, иметь личный ключ что-бы разкодировать сообщение которое сгенерировал банк публичным ключём магазина. Таким образом приватный ключ магазина выглядит примерно так (данных в base64 -кодировке больше просто)-----BEGIN RSA PRIVATE KEY-----
MIICWwIBAAKBgQC6GI5uaA7hEkgeP98VHL6TSxJwwPI+Mh+rFx KQPCgarT3/nZCS
Gz1r223+gfH/adV4IDvlbYT18VQ4vSspX+QRAidFeZvsfv99Fe wnwNoTL3LwYp/K
r9eW5YCpCEe8Crziks0vf92PNoHgNAL0iVo0Zma1ScDBSPBlQJ oZ1UiwoQIDAP//
-----END RSA PRIVATE KEY-----И соответсвенно вместо PRIVATE, у публичного ключа другие данные и PUBLIC заголовок. Естественно что приватный ключ на то и приватный, и если он вдруг засветится, то любой желающий с достаточным умением сможет подписать фиктивную оплату товара. Ключи можно сгенерировать при помощи OpenSSL.

За работу на php

Я пишу на php, храню ключи в .pem файле и методом POST передаю всё в банк формой. А именно..Создаём форму с POST методом, в качестве action ставим URL банка где данные принимаются. Для hanza это www.hanza.net/cgi-bin/hanza/pangalink.jsp. Теперь в форму прописываем hidden-поля с названиями типа VK_RETURN (ссылка куда надо вернуться после оплаты). У каждого банка свои переменные и свой порядок. Всё это дело подписывается такой же переменной VK_MAC, которая генерируется фукциями openssl_pkey_get_private и openssl_sign.После того как товар оплачен надо сделать подтверждение оплаты на своём сайте. Для этого мы из REQUEST переменной выдираем что нам выслал банк и подтверждаем подпись используя openssl_pkey_get_public и openssl_verify из той же VK_MAC. Ну а если подпись банка правильная и VK_SERVICE=1101, то всё в порядке.Вот пример zone.ee — pay.php с формой оплаты, notify.php с подтверждением и config.php с настройками. Подобное можно сотворить и на c++, но естественно с большими нервами.

Компания VeriSign объявила о масштабной реструктуризации с целью продажи непрофильных активов, чтобы сосредоточиться на своём основном бизнесе регистрации доменных имён и сертификации сайтов. Как известно, гигант домейнерского бизнеса является главным регистратором доменов .com, .net, .tv, а также поддерживает два из корневых серверов DNS и выдаёт сертификаты для системы Secure Socket Layer (SSL). В данной сфере VeriSign работает с самого момента своего основания двенадцать лет назад. «Два абсолютно ключевых сервиса, которые у нас есть — это SSL и DNS, — говорит Кен Силва, вице-президент и директор по безопасности VeriSign. — Мы участвовали в создании этих рынков с момента создания этих протоколов… Они находятся в самом сердце того, что мы делаем». Именно эти активы приносят VeriSign основную часть прибыли, а всё лишнее планируется продать.

Переживёт реструктуризацию также подразделение VeriSign Identity Protection. По мнению руководства, бизнес защиты доменов от киберсквоттеров имеет хорошие перспективы роста.

Сменит собственника ряд подразделений, в том числе коммуникационные сервисы и подразделение платёжных систем. Возможно, будут проданы также подразделения Managed Security Services, Mobile Messaging и Content Delivery Network. Продажа активов будет осуществлена в течение 2008 года, крайний срок — начало 2009 года.

via Internet News

В Денвере-3, в отличие от Денвера-2, по умолчанию используются Apache 2, PHP 5 и MySQL 5 и поддерживается SSL.
Официальный сайт
Загрузить (5,4 МБ)
Переход с Денвера-2 на Денвер-3

Захотелось мне стать владычицей морскою… ну, то есть чтобы моей сетью домашней я могла управлять, будучи в любом месте (оборудованном доступом в Интернет, разумеется). С удаленным управлением отдельного компьютера справиться легко — решений по удаленному администрированию множество…
Но у меня дома три компьютера, и хочется в любое время иметь доступ к информации на каждом из них без хлопот и забот.

Роберт Грэхэм (Robert Graham), генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам (session cookie). Это является продолжением его сообщений, сделанных в августе 2007 г., о том, что SSL HTTPS сессии Gmail должны иметь лучшую защиту.

Грэхэм, работающий с Дэвидом Мэйнором (David Maynor), создал два инструмента (Ferret and Hamster), которые вместе помогают ему получить доступ к временным файлам, например, в местном хот-споте, таком, как интернет-кафе. Временные файлы позволяют делать покупки в онлайн-магазинах, а затем вернуться к странице магазина позже без повторного ввода пароля. Используя временные файлы, полученные с ПК пользователя, даже не придется декодировать пароль, пишет The Register.

Грэхэм произвел демонстрацию атаки на аккаунт Gmail во время конференции Black Hat USA 2007, показывая, как попасть в папку «Входящие».

Теперь Грэхэм в своем блоге говорит, что Gmail, в частности, подключается к хот-споту в первую очередь через Javascript, а не SSL, и это позволяет использовать сервис для считывания временных файлов и получения доступа к чужой электронной почте. То же самое может касаться Amazon.com и других Web 2.0-сайтов.
Почитать еще

Ситуация такая: пишим проект на ASP. NET.

Задание: Сделать мульти-аплоад для файлов. Не просто мультиаплоад. А чтобы и файлов сразу при нажатии на BROWSE можно много выбирать было.

Упс: input type=«file»… этого не умеет =)

Решение: использовать Flash Multiuploader. Любой. Взяли swfupload

Как работает: есть JS, есть Flash. Они общаются друг с дружкой. При нажатии на кнопку browse, JS вызывает функцию FLASH компонента, она открывает файловый диалог, юзер выбирает файлы, жмет open, flash (ему при создании указывается урл куда загружать) начинает поочереди post-ить файлы по определенному урлу. Работает!!!

Что беспокоит? =) Клиент захотел SSL. Везде. Включили. Во всех браузерах кроме IE перестали загружаться файлы. IOError.

Погуглил. Многие сталкиваются с этой проблемой. На официальном сайте swfupload по поводу SSL оказывается написано:
«There have been some reports that the Flash Player cannot upload through SSL. The issue has not been pinned down but uploading over SSL may be unreliable.»

Хо-хо-хо. Вот где задница, извините. Придется юзать jupload наверное — уродский джава-апплет.

Конец.

Никто не застрахован от ошибок. Вот и Google порадовал меня вот таким вот предупреждением:



И поподробней:



А ведь совсем недавно решали проблемы со сроками. Нехорошо…

Платёжная система PayPal планирует заблокировать доступ к своим финансовым сервисам с помощью браузеров, которые не поддерживают технологию автоматического блокирования поддельных сайтов, а также не поддерживают сертификаты EV SSL. В число запрещённых может войти и Safari, где поддержка EV SSL пока не планируется.

Компанию PayPal можно понять, ведь она является одной из главных целей для фишинга. По словам представителей платёжной системы, если разрешить браузеры без антифишинговой технологии, то это равносильно тому, как если бы производители автомобилей разрешили пользователям покупать машины без ремней безопасности. Позволяя таким «безбашенным» юзерам спокойно ходить по своему сайту, компания PayPal, фактически, удобряет почву для фишеров.

На первом этапе пользователи с небезопасными браузерами будут получать предупреждения, а в ближайшем будущем некоторые из браузеров планируется запретить полностью.

Возможно, примеру PayPal вскоре последуют банки и другие финансовые сервисы, которые традиционно страдают от фишинга. По статистике Gartner, в прошлом году жертвами таких мошенничеств стали 3,6 млн клиентов финансовых сервисов, которые потеряли в общей сложности $3,2 млрд.

Сегодня, этим сонным летним утром, я расскажу вам про SSL соединение из PHP скрипта. Расскажу исходя не только лишь из теории, а ещё и решая вполне себе практическую задачу — логин на гугловский блогосервис blogger.com.

Очередной релиз вышедший еще в июле не содержит экстра важных багфиксов, но как событие имел место.

На хакерской конференции Defcon был показана программа The Middler (с открытыми исходниками, написана на Ruby) для автоматического сбора аккаунтов у пользователей Gmail, которые не включили у себя в настройках функцию всегда использовать защищённое соединение (“Always use https”).



Кстати, программа подходит не только для Gmail, но и для других сервисов, которые используют HTTPS только для аутентификации, а потом не защищают сессию. На хакерской конференции был успешно произведён демонстрационный взлом одного из онлайн-банков, сервисов LinkedIn, LiveJournal и Facebook, вмешательство в процесс апдейта программного обеспечения на ПК и iPhone и внедрение вредоносного Javascript прямо в сессии браузера во время сёрфинга по безопасным сайтам.

The Middler не только автоматически анализирует сетевой трафик и находит в нём кукисы, но и самостоятельно запрашивает кукисы со стороны клиента, то есть процесс автоматизирован по максимуму. Программа гарантирует сбор всех незащищённых аккаунтов в компьютерной сети (или публичном хотспоте), к трафику которой она имеет доступ.