Pull to refresh
  • by relevance
  • by date
  • by rating

Let's Encrypt начнёт выдавать wildcard-сертификаты в январе 2018 года

HostingDomain names administratingServer Administration
Одним из ограничений бесплатного центра сертификации Let's Encrypt является то, что он не выдаёт сертификаты типа wildcard на поддомены (см. «Полное руководство по переходу с HTTP на HTTPS»). Такие сертификаты покрывают основной домен, а также неограниченное количество поддоменов (*.example.com ) — например, example.com, www.example.com, mail.example.com, ftp.example.com и т. д. Некоторые центры сертификации продают такие сертификаты от $475 в год. Let's Encrypt будет выдавать их бесплатно.

Сервис Let's Encrypt предоставляется организацией Internet Security Research Group (ISRG). Вчера она сообщила приятную новость: wildcard-сертификаты начнут выдавать с января 2018 года! Такие сертификаты были одной из самых запрашиваемых фич, о которой упоминали пользователи. И в самом деле, пользоваться подстановочными знаками (*.example.com) в некоторых случаях гораздо удобнее, чем перечислять каждый домен в отдельности, что разрешают стандартные DV-сертификаты Let's Encrypt. В некоторых случаях это упрощает переход на HTTPS, а ведь всеобщий переход на шифрование — и есть главная цель проекта Let's Encrypt, который действует для общественного блага и живёт на пожертвования. В конечном итоге, 100% веба должно быть зашифровано нашими совместными усилиями.
Читать дальше →
Total votes 32: ↑32 and ↓0 +32
Views13.6K
Comments 50

Rutracker перешёл на HTTPS

Information Security

Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views19.8K
Comments 55

ФСБ рекомендует внедрить шифры «Магма» и «Кузнечик» в TLS 1.3 для сайтов Рунета

Information SecurityWebsite developmentCryptographyLegislation in IT


Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) подготовил проекты рекомендаций по использованию отечественных криптографических алгоритмов «Магма» и «Кузнечик» в ключевых протоколах интернета. Деятельностью комитета руководит ФСБ.
Читать дальше →
Total votes 21: ↑19 and ↓2 +17
Views16.5K
Comments 119

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

GlobalSign corporate blogDomain names administratingInterfacesServer AdministrationBrowsers


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views11.7K
Comments 36

Браузеры Chrome и Firefox поместили государственный сертификат Казахстана в отозванные

FirefoxInformation SecurityGoogle ChromeBrowsersLegislation in IT

Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).



А что у Mozilla Firefox (по следам вопроса @Meklon в коментариях)?

Инициативы придерживается и Mozilla Firefox (ссылка):


В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.
Читать дальше →
Total votes 23: ↑23 and ↓0 +23
Views14.3K
Comments 20

Российские хакеры модифицировали Chrome и Firefox. Они отслеживают шифрованный трафик пользователей

FirefoxInformation SecurityAntivirus protectionGoogle ChromeBrowsers
image

Kaspersky опубликовала отчет о попытках российской группы Turla отследить шифрованный сетевой трафик путем модификации Chrome и Firefox. Как правило, хакеры не вскрывают браузеры за пределами эксплуатации их уязвимостей.

Данный процесс требует заразить компьютер вирусом-трояном Reductor с удаленным доступом, схожим с COMPfun. Тот модифицирует браузеры для перехвата трафика от хоста, начиная с установки собственных сертификатов. Они патчат псевдо-случайный генератор чисел, используемый для безопасных подключений. Это позволяет злоумышленникам добавлять «отпечаток» к каждому TLS-действию и пассивно отслеживать шифрованный трафик.

Издание ZDNet предположило, что хакеры могли пойти на этот ход на случай обнаружения трояна, когда пользователи не переустанавливают зараженный браузер.
Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Views13.6K
Comments 2

На ресурсах Хабра заканчивается поддержка старых версий TLS

Habr corporate blogHabrNetwork technologiesBrowsers

Поддержка устаревших версий TLS 1.0 и 1.1 отключена на ресурсах Хабра c 15 января 2020 года. Для установления защищённых соединений с нашими сайтами доступны версии TLS 1.2 и экспериментальная 1.3 (наборы TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256). Если у вас безумно старый браузер или ОС, настало время что-то с этим сделать, так как прогресс не стоит на месте.



CC-BY-CA Vadim Rybalko, based on meme

Читать дальше →
Total votes 29: ↑29 and ↓0 +29
Views5.3K
Comments 10

Zoom уличили в отсутствии сквозного шифрования. Вместо него компания использует TLS

Information SecurityVideo conferencing
imageФото: theintercept.com

Сервис видеоконференцсвязи Zoom утверждает, что внедряет сквозное шифрование, однако выяснилось, что платформа фактически использует свое собственное определение термина, которое позволяет Zoom получать доступ к незашифрованному видео и аудио с видеоконференций.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views6.5K
Comments 8

Cloudflare, Apple и Fastly объявили о создании нового протокола DNS

Information SecurityNetwork technologiesDNS
image

Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Читать дальше →
Total votes 24: ↑16 and ↓8 +8
Views9.4K
Comments 15

Исследователи выявили уязвимость в методе обхода цензуры Signal

Information SecurityInstant MessagingGitHub

Мессенджер Signal после блокировки в Иране предложил пользователям использовать TLS-прокси, чтобы обойти цензуру в стране. Однако исследователи безопасности уже обнаружили в ней недостатки.

Когда они сообщили о дырах безопасности через репозиторий Signal на GitHub, то компания заблокировала пользователей и удалила все их сообщения.

Читать далее
Total votes 5: ↑4 and ↓1 +3
Views5.4K
Comments 4

Браузер Chrome начал по умолчанию добавлять https:// ко всем адресам

ITSumma corporate blogInformation SecurityGoogle ChromeIT StandardsBrowsers


Начиная с версии Chrome 90 ко всем адресам в браузере начал автоматически подставляться префикс https://. По мнению разработчиков, это улучшит защиту приватности пользователей и даже повысит скорость загрузки страниц.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views11.4K
Comments 29

Популярные ошибки администраторов jabber-серверов

Instant Messaging
В связи с тем, что после недавних событий стали как грибы после дождя плодиться топики о том, как настроить свой jabber-сервер, я решил перечислить некоторые основные ошибки и заблуждения тех, кто настраивает jabber-сервер в первый раз. Речь пойдет про:
  • SRV-записи
  • SSL-сертификаты
  • Заблуждения о транспортах
Читать дальше →
Total votes 75: ↑70 and ↓5 +65
Views27.7K
Comments 60

Релиз OpenSSL 1.0.0 с поддержкой ГОСТ

Cryptography
После 11 лет разработки организация OpenSSL выпустила первую официальную версию этого криптографического пакета с открытым исходным кодом для работы с SSL/TLS. См. официальное сообщение.

OpenSSL позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT. Также имеется возможность шифрования данных и тестирования SSL/TLS соединений. В новой версии исправлено множество недостатков 0.9.8n, а также добавлены новые фичи (например, поддержка BeOS и российских алгоритмов шифрования, закреплённых в ГОСТах). Полный список изменений см. здесь.

Пакет OpenSSL основан на технологии SSLeay, написанной Эриком Янгом (Eric A. Young) и Тимом Хадсоном (Tim Hudson), которые неофициально закончили работать над ней в декабре 1998 года, после чего перешли в RSA Security.
Total votes 42: ↑36 and ↓6 +30
Views12.8K
Comments 25

StartSSL или как избавиться от самоподписанных сертификатов

System administration
Мне по долгу работы пришлось предостаточно навозиться с самоподписанными SSL-сертификатами: это и разные панели управления, и почта, и серверы приложений. Вообще всего и не вспомнить, в большинстве случаев можно легко обойтись самоподписанными сертификатами, но даже в этих случаях напрягает постоянно импортировать их в браузер(иногда это нетривиально, как например в гугл хром) или почтовый клиент(как Mail App), а если говорить о почте например так там вообще полная засада, если у Вас много пользователей то некоторый процент обязательно позвонит к вам что бы сообщить что у них ошибка «что-то про сертификат». Конечно можно научить юзеров импортировать их, но на много приятней когда вообще ничего выше описанного не происходит. С другой стороны покупать сертификат не дешевое удовольствие, как минимум 15 баксов если поискать, это всегда меня останавливало, так как критичной необходимости в подписанном сертификате вроде бы и нет, и отдавать свои кровные не хочется. Так я вот жил на самоподписанных сертификатах с незапамятных времен.
Читать дальше →
Total votes 117: ↑109 and ↓8 +101
Views52.2K
Comments 77

Google FalseStart на 30% ускоряет «рукопожатие» SSL

IT Standards


В блоге Chromium разработчики из Google рассказали о своих успехах по внедрению SSL FalseStart (RFC). Это клиентская технология для браузера, которая не требует никаких изменений на стороне сервера, но при этом на 30% ускоряет подтверждение связи SSL (задержка измеряется как время между первоначальным пакетом TCP SYN и окончанием процедуры по TLS).
Читать дальше →
Total votes 39: ↑29 and ↓10 +19
Views795
Comments 8

Apache HTTP Server: Обслуживание нескольких HTTPS-хостов на одном IP-адресе

Server Administration
Sandbox
При миграции сервера в облако возникла необходимость разместить несколько веб-сайтов, работающих по HTTPS на одном физическом IP-адресе.
При этом нужно было остаться на той же операционной системе CentOS 5.6 и штатном apache-2.2.19.
Готового решения для CentOS не нашел, поэтому предлагаю свой вариант решения.

Теория


Согласно RFC 4366, раздел 3.1. Server Name Indication это возможно.
Для полноценной работы это расширение должен поддерживать и сервер и клиент (браузер).

Практика


Поддержка расширения SNI согласно Wikipedia появилась в Apache HTTP Server начиная с версии 2.2.12.
Подробности есть в Apache Wiki.
Для работы расширения нужна библиотека OpenSSL версии 0.9.8f или выше.
Проблема в том, что в CentOS 5.6 встроен OpenSSL версии 0.9.8e, и «поднять» ему версию не так то просто, т.к. именно на эту версию завязано много других компонент.
Собирать отдельный OpenSSL и Apache вне дерева пакетов — неспортивно.
В процессе поиска решения наткнулся на альтернативу: библиотеку gnutls и модуль mod_gnutls.
Библиотека gnutls в системе тоже присутствует и тоже очень старая, правда достаточно безболезненно удаляется вместе с зависимостями.

В результате были собраны и установлены «свежие» пакеты gnutls и mod_gnutls, которые дали нужный функционал с минимальным влиянием на остальную систему. Под катом подробности по процессу сборки и примеры файлов конфигурации.
Читать дальше →
Total votes 32: ↑29 and ↓3 +26
Views17.9K
Comments 32

Convergence — возможная замена Certification Authority System

Information Security


Доброго всем времени суток!

Сразу хотелось бы дать две ссылки на материалы, на основе которых составлена эта заметка. Можно ознакомиться непосредственно с источниками и не читать топик, представляющий из себя всего-навсего мой вольный перевод-пересказ основных моментов с небольшим количеством отсебятины.
BlackHat USA 2011: SSL And The Future Of Authenticity
Moxie Marlinspike :: Blog — SSL And The Future Of Authenticity

Читать дальше →
Total votes 35: ↑30 and ↓5 +25
Views3.1K
Comments 55

FreeRADIUS for WPA & WPA2 Enterprise: Windows 7, Android, Symbian, iPhone

Wireless technologies
В этой статье прекрасно описана конфигурация FreeRADIUS для WPA2 Enterprice, по ней я успешно сконфигурировал связку FreeRADIUS2 + WPA2 + EAP-TLS (аутентификация пользователя по WIFI WPA / WPA2 Enterprise, при помощи сертификатов). По этому утруждать ни себя ни вас, переводом я не стану.
Тем не менее в статье не хватает информации о тонкостях конфигурирования клиентов Android, Nokia Symbian, iPhone и Windows 7, для вышеописанной связки.
Что я и собираюсь сделать в этой дополняющей статье.

Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views23.9K
Comments 0

Первая работающая атака на SSL/TLS-протокол

Журнал Хакер corporate blog
Передаваемые по SSL-соединению данные можно расшифровать! Для этого Джулиану Риццо и Тай Дуонгу удалось использовать недоработки в самом протоколе SSL. И пусть речь пока не идет о полной дешифровке трафика, разработанная ими утилита BEAST может извлечь из зашифрованного потока то, что представляет собой наибольший интерес, — секретные кукисы с идентификатором сессии пользователя.


Читать дальше →
Total votes 84: ↑77 and ↓7 +70
Views52.6K
Comments 22

Google улучшает защиту SSL-сессий

Cryptography
Google первой среди крупных интернет-компаний внедрила на HTTPS-серверах функцию защиты от будущей потери секретного ключа (функция называется perfect forward secrecy или PFS). Для этого разработано open-source дополнение к OpenSSL, в частности, написан быстрый генератор ключей на эллиптических кривых P-224, P-256 и P-521. По ходу работы специалисты Google также исправили несколько багов в OpenSSL.

PFS означает, что даже в случае получения (взлома) секретного серверного ключа злоумышленник не сможет расшифровать ранее перехваченный и записанный HTTPS-трафик. Пример из реальной жизни: предположим, что какая-то организация на уровне провайдера записывает и хранит весь ваш HTTPS-трафик, а в случае необходимости получает на сервере секретный ключ (или через много лет мощности компьютеров хватит, чтобы его взломать простым брутфорсом), после чего без проблем читает всю накопленную переписку.

В случае с Google такой вариант не пройдёт. Теперь здесь используются недолговечные («эфемерные») сеансовые ключи, которые обмениваются по схеме ECDHE (аббревиатура ECDHE расшифровывается как «эфемерный алгоритм Диффи-Хеллмана с использованием эллиптических кривых»). После сеанса связи ключи уничтожаются, и даже владелец сервера не сможет расшифровать сессию, которую его сервер зашифровал прошлым ключом.
Читать дальше →
Total votes 63: ↑56 and ↓7 +49
Views8.4K
Comments 19