Как стать автором
Обновить

Сертификаты Let's Encrypt обрели официальную поддержку

Информационная безопасность *
image

В записи блога от 19 октября исполнительный директор организации Let's Encrypt Джош Аас [Josh Aas] объявил, что её сертификаты получили подписи от консорциума IdenTrust. Это значит, что теперь сертификатам Let's Encrypt будут автоматически доверять все основные браузеры.

Подписи получили оба промежуточных сертификата, Let’s Encrypt Authority X1 и Let’s Encrypt Authority X2. Организаторы проекта выпустили утилиту, которая автоматически настроит поддержку этих сертификатов в системе. Убедиться в поддержке этих сертификатов в вашем браузере можно на специально подготовленном для этого сайте.
Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Просмотры 9.1K
Комментарии 5

Rutracker перешёл на HTTPS

Информационная безопасность *

Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.
Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Просмотры 20K
Комментарии 55

Казахстан внедряет свой CA для прослушивания всего TLS-трафика, продолжение

Информационная безопасность *
В 2015 и 2016 годах были новости о том, что Казахстан внедряет сертификат для прослушивания HTTPS-траффика. Об этом писали в новостях и на Хабре.

Сегодня, 18 июля 2019 года, многим пользователям мобильной связи разослали различные СМС и оповещения схожего содержания:
В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев, был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз.

В соответствии с Законом РК «О связи» и п.11 «Правил выдачи и применения сертификата безопасности» Компания информирует абонентов о необходимости установки «Сертификата безопасности» на устройствах с доступом в Интернет. Согласно требованиям Законодательства, операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи.

В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным Интернет-ресурсам
Читать дальше →
Всего голосов 40: ↑25 и ↓15 +10
Просмотры 13K
Комментарии 8

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

Блог компании GlobalSign Администрирование доменных имен *Интерфейсы *Серверное администрирование *Браузеры


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 12K
Комментарии 36

Microsoft реализует DoH в будущих выпусках Windows 10

Информационная безопасность *Сетевые технологии *DNS *Стандарты связи Разработка под Windows *
image

Microsoft внедрит в будущие версии Windows 10 протокол «DNS поверх HTTPS» (DNS over HTTPS, DoH). Кроме того, станет доступен протокол «DNS поверх TLS» (DNS over TLS, DoT).

Таким образом компания хочет усилить защиту приватности пользователей путем шифрования всех их DNS-запросов.

DoH и DoT
Первый позволяет выполнять разрешение DNS поверх зашифрованного HTTPS-соединения. Второй шифрует и «упаковывает» DNS-запросы через протокол Transport Layer Security (TLS).

«Мы должны относиться к конфиденциальности как к праву человека. Мы должны иметь комплексную кибербезопасность, встроенную в технологию. Бытует мнение, что шифрование DNS может осуществляться только централизованно. Это верно только в случае, если внедрение шифрования DNS не является повсеместным. Для того чтобы сохранить децентрализацию DNS, и операционные системы клиентов (например, Windows), и интернет-провайдеры должны внедрить шифрование DNS», — заявили в Microsoft.
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 11K
Комментарии 14

Google запретит загрузку файлов по протоколу HTTP в Chrome 86 в октябре

Информационная безопасность *Google Chrome Браузеры
imageФото: www.bleepingcomputer.com

Google в рамках усиления политики безопасности в Chrome полностью перейдет на использование протокола HTTPS при загрузке файлов. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.
Читать дальше →
Всего голосов 22: ↑20 и ↓2 +18
Просмотры 15K
Комментарии 42

Google на время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS

Google Chrome Браузеры


3 апреля 2020 года Джастин Шух (Justin Schuh), директор отдела Chrome Engineering, сообщил в корпоративном блоге Chromium Blog о том, что Google на неопределенное время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS.
Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 7.5K
Комментарии 11

Ошибка выполнения кода в OpenWRT создала угрозу для миллионов устройств

Информационная безопасность *Сетевые технологии *Сетевое оборудование
image

Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется.
Читать дальше →
Всего голосов 24: ↑16 и ↓8 +8
Просмотры 10K
Комментарии 11

Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней

Информационная безопасность *Администрирование доменных имен *Серверное администрирование *Браузеры
image

С 1 сентября 2020 года браузеры и устройства Apple, Google и Mozilla перестанут принимать новые сертификаты TLS, срок службы которых превышает 398 дней. Объединение центров сертификации CA/B Forum выступало против этого шага.
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 9.5K
Комментарии 28

«Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI

Информационная безопасность *IT-инфраструктура *Сетевые технологии *Законодательство в IT


Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.
Читать дальше →
Всего голосов 55: ↑53 и ↓2 +51
Просмотры 43K
Комментарии 222

В Firefox 83 внедрили режим «только HTTPS»

Firefox Браузеры
image

Mozilla выпустила версию Firefox 83.0. В ней появился новый режим «только HTTPS», повысилась производительность движка SpiderMonkey JavaScript, а также внедрена совместимость с новыми Apple Mac на чипах M1.
Читать дальше →
Всего голосов 37: ↑36 и ↓1 +35
Просмотры 18K
Комментарии 141

Власти Казахстана снова принуждают пользователей устанавливать сертификат, чтобы читать зашифрованную переписку

Информационная безопасность *Криптография *Законодательство в IT
image

Правительство Казахстана обязало жителей столицы Нур-Султан, а также приезжих устанавливать на мобильные устройства сертификат безопасности. Официально это объясняют «учениями по кибербезопасности». Однако после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик посредством атаки посредника (Man-in-the-Middle).
Читать дальше →
Всего голосов 32: ↑30 и ↓2 +28
Просмотры 16K
Комментарии 75

Cloudflare, Apple и Fastly объявили о создании нового протокола DNS

Информационная безопасность *Сетевые технологии *DNS *
image

Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Читать дальше →
Всего голосов 24: ↑16 и ↓8 +8
Просмотры 10K
Комментарии 15

Разработчики Chrome внедряют принудительное открытие сайтов через HTTPS

Блог компании Дата-центр «Миран» Информационная безопасность *Разработка веб-сайтов *Google Chrome Браузеры

Один из членов команды разработки Google Chrome, Эмили Старк, сообщила через Твиттер, что в бета-сборку Chrome Canary, а также в Dev-версию браузера будет добавлен экспериментальный флаг "#omnibox-default-typed-navigations-to-https".

Для указанных сборок флаг "#omnibox-default-typed-navigations-to-https" будет включен по умолчанию. Также новая функция будет добавлена в выпуск 89, релиз которого намечен на завтра, 02.03.2021 г.

Читать далее
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 8.7K
Комментарии 10

Браузер Chrome начал по умолчанию добавлять https:// ко всем адресам

Блог компании ITSumma Информационная безопасность *Google Chrome IT-стандарты *Браузеры


Начиная с версии Chrome 90 ко всем адресам в браузере начал автоматически подставляться префикс https://. По мнению разработчиков, это улучшит защиту приватности пользователей и даже повысит скорость загрузки страниц.
Читать дальше →
Всего голосов 33: ↑32 и ↓1 +31
Просмотры 13K
Комментарии 29

96% госсайтов не соответствуют требованиям НПА по информационной безопасности

Информационная безопасность *Администрирование доменных имен *Законодательство в IT

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 7.2K
Комментарии 33

В превью Windows 11 появился DNS-over-HTTPS

Информационная безопасность *DNS *Разработка под Windows *Софт

Microsoft добавила в Windows 11 функцию DNS-over-HTTPS, позволяющую пользователям выполнять DNS-запросы через зашифрованное HTTPS-соединение, а не через обычный текстовый поиск, который можно отследить. DoH позволит пользователям обходить цензуру, предотвращать атаки спуфинга и повысить конфиденциальность.

Читать далее
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 7K
Комментарии 20

Google добавляет в Chrome режим HTTPS-First

Информационная безопасность *Google Chrome DNS *Расширения для браузеров Браузеры

Google собирается повысить безопасность пользователей Chrome с помощью новой функции, которая позволит автоматически обновлять веб-страницы до HTTPS. Режим HTTPS-First напоминает режим HTTPS-Only в Firefox.

Читать далее
Всего голосов 18: ↑16 и ↓2 +14
Просмотры 7.3K
Комментарии 16

HTTPS реально победил, расширение HTTPS Everywhere закрывается

Блог компании ITSumma Информационная безопасность *Криптография *Расширения для браузеров Браузеры


Более десяти лет назад Фонд электронных рубежей (EFF) выпустил расширение HTTPS Everywhere. Его функциональность была простой, но полезной: если ввести адрес http://, то расширение автоматически заменяло его на https:// в случае наличия защищённой версии сайта. Такой режим принудительной переадресации гарантировал шифрование канала, когда возможно.

Но сейчас эту функциональность внедрили все популярные браузеры, поэтому необходимость в специальном расширении отпала.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры 8.3K
Комментарии 16

Let's Encrypt отзовет около 2 млн сертификатов 28 января

Информационная безопасность *Администрирование доменных имен *

Поставщик сертификатов HTTPS Let’s Encrypt планирует отозвать около 2 млн SSL/TLS-сертификатов 28 января, поскольку они были выпущены ненадлежащим образом.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 13K
Комментарии 9