Alkusyksystä joukko tutkijoita löysi TLS 1.2 ja sitä vanhemmista TLS- ja SSL-protokollista haavoittuvuuden, joka mahdollistaa TLS-salauksen purkamisen tietyissä olosuhteissa. Haavoittuvuutta on kuitenkin erittäin hankala hyödyntää.
Jatka lukemista ”Raccoon Attack haavoittuvuus mahdollistaa TLS-salauksen purkamisen”
Apple ilmoitti viikolla 8 Bratislavassa pidetyssä CA/Browser Forumin kokouksessa, että Safari-selain hyväksyy 1.9.2020 alkaen enintään 398 päivää voimassa olevat uudet SSL-varmenteet. Pidemmistä varmenteista tulee varoitus. Tuota päivää ennen tehdyt varmenteet saavat olla vielä kahden vuodenkin pituisia. Tämän seurauksena myös Entrust Datacard ilmoitti, että jatkossa julkisten SSL-varmenteiden maksimipituus lyhennetään 398 päivään. Tiedotamme vielä asiakkaitamme tarkemmin, kun muutos astuu virallisesti voimaan.
Jatka lukemista ”Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.”
Paha ”saitti” ei ole vain paha uni, vaan todellisuutta.
Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti kolmannen osan antia.
Jatka lukemista ”Videot seminaaristamme 6.2. ja nostoja osuudesta ”SSL/TLS certificates – what lies ahead?””
Järjestämme keskiviikkona 6.2.2019 klo 11:30 – 16:00 seminaarin Helsingin Jätkäsaaressa. Voit seurata seminaarin kolmea sessiota myös netissä.
Jatka lukemista ”Seminaari 6.2.2019”
Varmenteiden turvallisuuden kolme tasoa
Olemme kirjoittaneet aiheesta kohta jo romaanin verran, mutta ehkäpä on jälleen aika palata aiheeseen. En lähde syvällisesti kuvaamaan varmenteiden kolmea turvallisuuden tasoa (Domain Validation = DV, Organization Validation = OV ja Extended Validation = EV), näistä voitte lukea aiemmista blogeistamme. Sen sijaan otan kantaa siihen miksi organisaatioiden, jotka haluavat näyttää asiakkailleen välittävänsä tietoturvasta, tulisi käyttää vähintään OV tasoisia varmenteita. Referoin tässä hiljattain The Register julkaisun artikkelia, jossa kerrotaan saksalaisten tutkijoiden löytäneen keinon kuinka huijata joitakin varmennuspalveluita (Certificate Authority eli CA) myöntämään varmenteita palveluun hyökkääjälle.
Jatka lukemista ”Miksi ilmainen tai halpa DV varmenne ei välttämättä ole hyvä idea”
Helsingin Sanomat julkaisi 13.8. artikkelin ”Koululaisten Wilma-järjestelmän ongelmat aiheuttivat kaaosta helsinkiläiskodeissa – Joku unohti tehdä elintärkeän päivityksen”
Kyseessä oli vanhentunut wildcard-tyyppinen SSL-varmenne *.edu.hel.fi
Kun nyt ongelman ratkaisun jälkeen katsoo sivulle päivitettyä varmennetta niin huomaa, että se on itse asiassa tehty jo 15.6.2018.
Se on ilmeisesti vain unohtunut päivittää Wilma-sivuille.
Tämä tapahtuma näyttää, kuinka haavoittuva wildcard-varmenne voi olla, jos sitä vain kopioidaan palvelimelta toiselle. Jos wildcard-varmenteita halutaan käyttää, niin onneksi on olemassa uusikin tapa. Tällöin jokaiselle palvelimelle syntyy oma maksuton varmennekopio (duplikaatti), jolloin hallintakonsolilta myös näkyy, minne wildcard-varmenteet on asennettu ja missä ne ovat vanhenemassa.
Heinäkuussa julkaistavasta versiosta 68 alkaen Google Chrome -selain alkaa varoittaa sivustoista, joilla ei ole SSL-varmennetta.
Autamme mielellämme korjaamaan asian: myynti@wesentra.com / 010 338 2170
Olemme tiedottaneet alkukevään aikana asiakkaitamme muutoksesta verifioinnissa. Tässä myös aiheeseen liittyvä kooste blogikirjoituksen muodossa.
Kaikkia varmentajia säätelevä CA/Browser Forum on päättänyt, että 1.8.2018 alkaen kaikkien Certificate Authority (CA) -toimijoiden tulee verifioida domainit muuten, kuin WHOIS-tietoihin kirjatun omistajatiedon perusteella. Tämä muutos koskee kaikkia varmentajia.
Viime viikolla tuli tietoa kohua herättäneestä varmenteiden peruutuksesta. On vaikea ymmärtää, mitä tässä on oikeasti tapahtunut. Kun katson Trusticon ilmoitusta 28.2. ja sitten DigiCertin ilmoitusta varmenteiden peruuttamisesta 28.2. en voi välttää ajatusta: ”Miten ihmeessä Trusticolla oli hallussaan myöntämiensä SSL-varmenteiden privaattiavaimet?”
Jatka lukemista ”23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.”
