Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací.

Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací. Všude kde jste použili jejich HeadSetup software se vám do systému dostal TLS root certifikát jehož privátní klíč je k dispozici přímo v software od Sennheiseru. Což případným útočníkům umožní generovat HTTPS certifikáty pro jakýkoliv web se jim bude zlíbit. Viz Sennheiser discloses monumental blunder…

Let’s Encrypt nabízí zdarma dostupné “*” certifikáty

Let’s Encrypt nabízí zdarma dostupné “*” certifikáty. Přibližuje se tak možnost mít bezpečnou šifrovanou podobu webu pro každý web na doméně. Viz Let’s Encrypt takes free “wildcard” certificates live a ACME v2 and Wildcard Certificate Support is Live

StartCom definitivně končí coby certifikační autorita (StartSSL)

StartCom definitivně končí (viz Termination of StartCom business) coby certifikační autorita (StartSSL). Z prohlížečů se pro nedůvěru ztratil už někdy před rokem, pro řadu zásadních přehmatů a akvizici WoSign certifikační autoritou (ve Čína mimochodem). Součástí přehmatů bylo vydávání neověřených certifikátů, včetně například certifikátu pro GitHub.com. Viz starší Problémové autority WoSign a StartCom se oddělí a…

Symantec opět vydává nebezpečné HTTPS certifikáty

Symantec opět vydává nebezpečné HTTPS certifikáty. Nejde přitom o žádnou maličkost, přes stovku vydaných certifikátů nikdy neměli vydat, ohrožují bezpečnost a umožňují v řadě případů odposlouchávat https komunikaci. Viz Already on probation, Symantec issues more illegit HTTPS certificates a Misissued/Suspicious Symantec Certificates kde najdete příklad certifikátů vydaných pro example.com o které vlastník nežádal.

Děravý Juniper Junos umožňoval šmírovat

Děravý Juniper Junos umožňoval šmírovat a to, prosím pěkně, dost nepochopitelnou bezpečnostní chybou. Protože aby si operační systém v síťovém produktu nechal předložit podvržený certifikát a v pohodě se s ním uspokojil, to opravdu moc pochopitelné není. Zejména pokud na přijetí stačilo aby se shodovalo jméno, tedy čistě textové pole. Viz Crypto flaw made it…

Mírně absurdní slovní kopaná mezi Let’s Encrypt a Comodo.

Mírně absurdní slovní kopaná mezi Let’s Encrypt a Comodo. Viz Defending Our Brand od Let’s Encrypt a poté diskuze v Shame on you, Comodo! kde najdete poněkud hysterickou reakci Comoda. Ale nenechte se zmást emocemi a počtem vykřičníků, některé z probíraných věcí jsou podstatné a zajímavé.

Kickass Torrent blokuje chyba SSL certifikátu

Kickass Torrent blokuje chyba SSL certifikátu, tedy alespoň ten Kickass torrent co ještě v úterý běžel bez problémů na www.kat.cr – to co o certifikátu dostanete v Chrome je takové poněkud zábavné. V Edge a Firefoxu se na kat.cr nedá dostat vůbec, ale tam to spíše vypadá, jako kdyby kat.cr bylo pod DDoS útokem.

Paypal-office.com a pár další podvodných domén i s certifikáty použito pro phishing.

Paypal-office.com a pár další podvodných domén i s certifikáty použito pro phishing. Certifikáty pro paypal-office.com, myaccount-paypal.com a paypal-sign.com vydal v červnu 2015 Trustwave a byly využity v phishingové kampani. Viz Fraudsters use paypal-office.com OV certificate for phishing kde se dočtete, že na tomto případu je zajímavé například i to, že certifikáty jsou OV typu, tedy…