Let’s Encrypt přestane podepisovat nové certifikáty s DST Root X1. Pro starší Androidy (ale i jiné systémy kde Let’s Encrypt root certifikát není přítomen) to bude znamenat znepřístupnění webů od 1. září 2021 (ale spíše už od 11. ledna 2021). Viz Standing on Our Own Two Feet kde zjistíte, že se to může týkat až…
Apple bude odmítat v Safari HTTPS/SSL certifikáty s platností delší než 13 měsíců. Jednostranné rozhodnutí Apple, stávající maximální délka platnosti certifikátu je dva roky (dříve to bylo dokonce pět let). Radost z toho budou mít ti, kdo certifikáty vystavují za peníze. Bezpečnost to reálně nijak neovlivní ale pro provozovatele webů to přinese jen další zbytečné…
Microsoft Teams postihl skoro tříhodinový výpadek. Microsoft zapomněl zaplatit obnovení certifikátu
Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací. Všude kde jste použili jejich HeadSetup software se vám do systému dostal TLS root certifikát jehož privátní klíč je k dispozici přímo v software od Sennheiseru. Což případným útočníkům umožní generovat HTTPS certifikáty pro jakýkoliv web se jim bude zlíbit. Viz Sennheiser discloses monumental blunder…
Let’s Encrypt nabízí zdarma dostupné “*” certifikáty. Přibližuje se tak možnost mít bezpečnou šifrovanou podobu webu pro každý web na doméně. Viz Let’s Encrypt takes free “wildcard” certificates live a ACME v2 and Wildcard Certificate Support is Live
StartCom definitivně končí (viz Termination of StartCom business) coby certifikační autorita (StartSSL). Z prohlížečů se pro nedůvěru ztratil už někdy před rokem, pro řadu zásadních přehmatů a akvizici WoSign certifikační autoritou (ve Čína mimochodem). Součástí přehmatů bylo vydávání neověřených certifikátů, včetně například certifikátu pro GitHub.com. Viz starší Problémové autority WoSign a StartCom se oddělí a…
Symantec opět vydává nebezpečné HTTPS certifikáty. Nejde přitom o žádnou maličkost, přes stovku vydaných certifikátů nikdy neměli vydat, ohrožují bezpečnost a umožňují v řadě případů odposlouchávat https komunikaci. Viz Already on probation, Symantec issues more illegit HTTPS certificates a Misissued/Suspicious Symantec Certificates kde najdete příklad certifikátů vydaných pro example.com o které vlastník nežádal.
Stovky SSL certifikátů obsahující slovo “PayPal”. K čemu asi tak budou sloužit? Jak zjistíte v CERTIFIED MALICE (a jak asi tušíte), tak samozřejmě pro phishing/rhybaření. Prostě něco jako www_paypal.com-cokolivsivzpomenete_com (místo teček jsou uvedena podtržítka). A teď, babo raď, co s tím?
Mírně absurdní slovní kopaná mezi Let’s Encrypt a Comodo. Viz Defending Our Brand od Let’s Encrypt a poté diskuze v Shame on you, Comodo! kde najdete poněkud hysterickou reakci Comoda. Ale nenechte se zmást emocemi a počtem vykřičníků, některé z probíraných věcí jsou podstatné a zajímavé.
Dell stále v problémech, objevil se druhý certifikát, který nemá v počítačích co dělat. Ukázalo se, že další nezvaný certifikát do počítačů od Dellu pašuje ještě navíc Dell System Detect aplikace. Po eDellRoot je tu ještě DSDTestProvider a chytnete ho pokud navštívíte web podpory Dellu a použijete Detect Product. Je stejně nebezpečný jako předchozí. Viz…