На перекрестке науки и фантазии — наш канал
Специалисты Rapid7 в пух и прах разгромили безопасность немецкого продукта для менеджмента виртуальных серверов.
Количество затронутых активных сертификатов может достигать миллионов.
Наиболее вероятной причиной проблемы является истечение срока действия SSL-сертификата.
Предприятия, не выполняющие проверку SSL-сертификатов, подвергают себя большому риску атак.
Изменение не распространяется на старые сертификаты, выданные до 1 сентября 2020 года.
Исследователи проанализировали 379 случаев ошибочно выданных SSL-сертификатов из более чем 1300 инцидентов.
Сокращение жизненного цикла сертификатов увеличит затраты компаний и доставит дополнительные хлопоты.
Инженеры в тестовом режиме запустили функцию импорта корневых сертификатов Windows в Firefox.
Источником проблемы является то, как многие разработчики плагинов и PHP-библиотек конфигурируют свой код, в частности, некоторые опции cURL.
С выходом Chrome 70 браузер перестанет доверять цифровым сертификатам Symantec, однако многие сайты не готовы к этому.
Новый метод позволяет похищать учетные данные и распространять вредоносное ПО с помощью одного лишь ноутбука.
Для сохранения анонимности администраторы должны настроить серверы на прослушивание только localhost (127.0.0.1).
В ответ на предупреждение ИБ-эксперта «Сбербанк» предложил для входа в «Сбербанк Онлайн» использовать не Google, а гиперссылки на официальном сайте финансовой организации.
Если после окончания срока регистрации домена SSL-сертификат остается действительным, предыдущий владелец может атаковать домен.
Теперь в сети нельзя добавлять новые подразделения компаний и выпускать новые сертификаты для устройств.
Пользователи не смогут предоставить юридически заверенный документ о владении доменным именем для получения сертификата SSL/TLS.
Эксперты в области кибербезопасности обвинили Trustico в логировании копий закрытых ключей SSL-сертификатов.
С помощью EV SSL-сертификатов мошенники могут создавать сайты, вызывающие у жертв полное доверие.
В течение нескольких лет ключи SSL-сертификата сайта dji.com находились в открытом репозитории на GitHub.
В связи со случаями ошибочной выдачи TLS-сертификатов Symantec должна в течение года заменить все свои цифровые сертификаты.
Удостоверяющий центр Comodo выпустил SSL-сертификат, который не должен был выпускать.
Проверка работы сертификатов будет проводиться на сайте поисковой системы «Спутник» и на портале госуслуг.
За год количество сайтов с SSL-сертификатами увеличилось в четыре раза.
Компания не будет доверять сертификатам, выпущенным после 26 сентября 2017 года.
Symantec придется полностью изменить процесс выдачи SSL-сертификатов, если компания планирует остаться на рынке.
В сертификате, выданном правительством США, отсутсвует подпись авторитетного УЦ.
Проблема затрагивает не только тех, кто приобрел сертификаты у посредников, но также тех, кто купил их у Symantec.
Как показало расследование Google, за несколько лет Symantec по ошибке выпустила более 30 тыс. сертификатов.
Некоторые сертификаты подключались к домену example.com, а в других содержалось слово test.
Заявитель может получить бесплатный SSL-сертификат для базового домена, если сможет подтвердить контроль над поддоменом.
Срок действия SSL-сертификата, выданного сайту реестра отечественного ПО в июле минувшего года, истек 22 августа.
Уязвимость позволяет принять недоверенный SSL-сертификат.
В первую очередь SSL-сертификаты с российскими алгоритмами шифрования от местного УЦ будут использовать правительственные ресурсы.
Хакеры могли обойти систему безопасности сайта, подделав HTTP-запрос и изменив электронный адрес.
Мера поможет обеспечить дополнительную безопасность передачи данных в рунете в случае конфликта с зарубежными партнерами.
Было пропущено 2458 сертификатов для незарегистрированных доменных имен.
В числе поддельных сайтов также находятся ресурсы якобы принадлежащие Apple и PayPal.
Ответственные за ошибку сотрудники Symantec были уволены из компании.
Центр сертификации базирующейся в Турции компании E-Guven не предоставил отчеты аудита, что привело к ответным действиям Mozilla.
Одной из целей проекта Let's Encrypt является исключение лишних звеньев и автоматизация процедуры получения сертификатов безопасности.
Все клиенты компании получат SSL-сертификат, принимающий соединения через HTTPS.
Выпущенный патч затрагивает ПК на базе Windows Vista, Windows 8, 8.1, RT, RT 8.1, Server 2012, Server 2012 R2, а также на мобильные устройства, работающие под управлением Windows Phone 8.
В некоторых случаях злоумышленники не подделывают цифровые подписи сертификатов безопасности, а используют похищенные.
В уведомлении техногигант благодарит Google за обнародование данных касательно поддельных SSL-сертификатов.
Технологические гиганты выпустили обновления и добавили фиктивные сертификаты ANSSI в черный список.
Только 2% проверенных сайтов защищают данные клиентов посредством принудительного задействования протоколов защищенной связи.
2048-битные ключи дополнили существующие меры безопасности компании в отношении своих клиентов.