Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací.

Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací. Všude kde jste použili jejich HeadSetup software se vám do systému dostal TLS root certifikát jehož privátní klíč je k dispozici přímo v software od Sennheiseru. Což případným útočníkům umožní generovat HTTPS certifikáty pro jakýkoliv web se jim bude zlíbit. Viz Sennheiser discloses monumental blunder that cripples HTTPS on PCs and Macs a Vulnerability Report – CVE-2018-17612. Pokud jste kdy tohle použili, tak pozor, ten podivný certifikát musíte odstranit.

key-extraction.png

Reklamy

Let’s Encrypt nabízí zdarma dostupné „*“ certifikáty

Let’s Encrypt nabízí zdarma dostupné „*“ certifikáty. Přibližuje se tak možnost mít bezpečnou šifrovanou podobu webu pro každý web na doméně. Viz Let’s Encrypt takes free “wildcard” certificates live a ACME v2 and Wildcard Certificate Support is Live

2018-03-17 10_41_53-Let's Encrypt - Free SSL_TLS Certificates.png

StartCom definitivně končí coby certifikační autorita (StartSSL)

StartCom definitivně končí (viz Termination of StartCom business) coby certifikační autorita (StartSSL). Z prohlížečů se pro nedůvěru ztratil už někdy před rokem, pro řadu zásadních přehmatů a akvizici WoSign certifikační autoritou (ve Čína mimochodem). Součástí přehmatů bylo vydávání neověřených certifikátů, včetně například certifikátu pro GitHub.com. Viz starší Problémové autority WoSign a StartCom se oddělí a vymění vedení

2017-12-03 12_03_32-StartSSL™ Certificates & Public Key Infrastructure.png

Symantec opět vydává nebezpečné HTTPS certifikáty

Symantec opět vydává nebezpečné HTTPS certifikáty. Nejde přitom o žádnou maličkost, přes stovku vydaných certifikátů nikdy neměli vydat, ohrožují bezpečnost a umožňují v řadě případů odposlouchávat https komunikaci. Viz Already on probation, Symantec issues more illegit HTTPS certificates a Misissued/Suspicious Symantec Certificates kde najdete příklad certifikátů vydaných pro example.com o které vlastník nežádal.

2017-02-05 10_40_26-crt.sh _ test.png

Děravý Juniper Junos umožňoval šmírovat

Děravý Juniper Junos umožňoval šmírovat a to, prosím pěkně, dost nepochopitelnou bezpečnostní chybou. Protože aby si operační systém v síťovém produktu nechal předložit podvržený certifikát a v pohodě se s ním uspokojil, to opravdu moc pochopitelné není. Zejména pokud na přijetí stačilo aby se shodovalo jméno, tedy čistě textové pole. Viz Crypto flaw made it easy for attackers to snoop on Juniper customers

2016-01-09 10_50_19-Juniper Networks - Network Security & Performance

Mírně absurdní slovní kopaná mezi Let’s Encrypt a Comodo.

Mírně absurdní slovní kopaná mezi Let’s Encrypt a Comodo. Viz Defending Our Brand od Let’s Encrypt a poté diskuze v Shame on you, Comodo! kde najdete poněkud hysterickou reakci Comoda. Ale nenechte se zmást emocemi a počtem vykřičníků, některé z probíraných věcí jsou podstatné a zajímavé.

2016-06-24 07_42_03-Shame on you, Comodo! - General Discussion (off topic) Anything and everything..