SSL

SSL – криптографический протокол, обеспечивающий защиту обмена данными между клиентом и сервером, которые используют транспортные протоколы TCP/IP. Алгоритм работы SSL основан на принципе публичных ключей. Этот принцип базируется на использовании пары ассиметричных ключей (публичного и приватного) для кодирования/декодирования информации. Публичный ключ раздается всем желающим пользователям. С его помощью происходит шифрование необходимых данных, которые можно дешифровать только с помощью публичного ключа.

Этот протокол интегрирован в большинство браузеров и веб-серверов. Значительное использование протокола SSL послужило причиной формирования протокола HTTPS, который поддерживает шифрование. Данные, которые передаются с помощью протокола HTTPS, «упаковываются» в криптографический протокол SSL или TLS, обеспечивая тем самым защиту этих данных. Такой способ защиты используется при передаче данных в приложениях, в которых важна безопасность соединения, к примеру, в платежных системах.

article-title

Positive Technologies приглашает на вебинар «Как выявлять активность злоумышленников в зашифрованном трафике»

Вебинар состоится 28 марта в 14:00.

article-title

BREACH-атака позволяет быстро расшифровать HTTPS трафик

Эксперты продемонстрировали атаку на примере Gmail и чата Facebook.

article-title

Анализ безопасности SSL-соединений онлайн-банкинга ТОП-50 российских банков

23% проверенных сайтов банков позволяют осуществить MitM атаку на своих клиентов.

article-title

SecurityLab провел повторную проверку надежности SSL-соединений самых популярных почтовых серверов в РФ

По результатам, у Rambler самое надежное шифрование соединения для отправки и получения почты.

article-title

Выпущен инструмент для проверки надежности SSL-соединений в почтовых сервисах (обновлено)

Доступен бесплатный сканер SSL, который можно использовать для сканирования и проверки безопасности любой SSL/TLS службы.

article-title

Появился новый бесплатный сервис для проверки безопасности SSL/TLS

Разработчиком сервиса стала ИБ-компания High-Tech Bridge.

article-title

Индустрия платежных карт окончательно откажется от SSL

Согласно обновленному стандарту безопасности данных PCI DSS 3.1, интернет-сообществу стоит перейти на TLS.

article-title

Уязвимость 13-летней давности в SSL/TLS упрощает хищение конфиденциальных данных

С помощью новой атаки «бар-мицва» можно раскрыть SSL/TLS-трафик, не прибегая к атаке «человек посередине».

article-title

В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности

Брешь FREAK Attack существует из-за экспортных ограничений, действовавших на территории США в 90-х годах.

article-title

Qualys: POODLE можно эксплуатировать для атак по TLS

Специалисты Google считают, что для обеспечения криптографической безопасности необходимо использовать, по меньшей мере, TLS 1.2 с поддержкой AEAD.

article-title

Google выпустила утилиту для обнаружения уязвимостей в TLS/SSL

Приложение совместимо с большинством современных десктопных и мобильных ОС, а его исходный код находится в открытом доступе.

article-title

Apple прекратит поддержку SSL 3.0 в push-уведомлениях

Причиной прекращения поддержки SSL стала критическая уязвимость POODLE.

article-title

С помощью Pineapple Wi-Fi эксперт продемонстрировал ошибки реализации SSL

Эксперт показал, как анализатор может использоваться для похищений, преследования, шпионажа и даже нанесения физического ущерба жертвам.

article-title

Шведский ИБ-эксперт создал список «плохих» SSL-сертификатов

Список будет обновляться каждые 15 минут и предоставлять администраторам хеши SHA-1 SSL-сертификатов и IP-адреса связанных с ними ботнетов и вредоносного ПО.

article-title

Индийский NIC выдавал поддельные сертификаты для доменов Google

В Google говорят, что опасности подвержены только пользователи Windows-устройств.

article-title

Heartleech позволяет автоматизировать поиск и извлечение секретных SSL-ключей

Инструмент можно использовать для автоматизации сканирования ОЗУ во время эксплуатации уязвимости Heartbleed.

article-title

Методы шифрования в WhatsApp - мечта АНБ

Реализация SSL шифрования раскрывает широкий горизонт возможностей перед злоумышленниками.

article-title

Пользователей Apple накрыла волна фишинговых писем об «обновлении через новые SSL-серверы»

Целью злоумышленников является хищение финансовой информации, а также учетных данных клиентов компании.

article-title

В Google сообщили об обнаружении поддельных SSL-сертификатов

По данным поисковика, фиктивные протоколы агентства ANSSI предназначены сразу для нескольких доменов компании.

article-title

High-Tech Bridge: 75% сайтов интернет-магазинов не поддерживают SSL сертификаты расширенной проверки

Только 2% проверенных сайтов защищают данные клиентов посредством принудительного задействования протоколов защищенной связи.

article-title

Google перешла на использование 2048-битных SSL-ключей

2048-битные ключи дополнили существующие меры безопасности компании в отношении своих клиентов.

article-title

Администрация PHP.net сбросила пароли пользователей

SSL-сертификат портала был отозван и вскоре будет заменен.

article-title

Администрация php.net подтвердила факт взлома двух серверов

Представители ресурса ведут работы по восстановлению работоспособности скомпрометированных служб.

article-title

Сервис Yahoo Mail переходит на использование SSL-протокола по умолчанию

Нововведение вступит в силу 8 января следующего года.

article-title

Официальный web-сайт президента США остался без SSL-сертификата

При попытке посетить портал через HTTPS пользователи сталкиваются с предупреждением об истечении срока давности сертификата.

article-title

Появился инструмент для осуществления BREACH-атаки на TLS/SSL

Авторы эксплойта BREACH опубликовали в открытом доступе программу для пентестинга, предназначенную «только оценки своего сайта».

article-title

Исследователи раскрыли метод компрометации данных пользователей Dropbox

На конференции USENIX 2013 раскрыли способ обхода двухфакторной аутентификации сервиса для получения доступа к конфиденциальным данным.

article-title

Проект Mozilla намерен заблокировать SSL-сертификаты TeliaSonera

По мнению компании, оператор связи продает технологии, предназначенные для скрытой слежки за пользователями.

article-title

Создан совет по усилению безопасности SSL-подключений

Ведущие центры сертификации сформировали совет, который будет заниматься разработкой и внедрением методов защиты передачи данных в Интернет.

article-title

Брешь в реализации SSL позволяет осуществлять MitM атаки на платежные системы

Исследователи обнаружили некорректную реализацию SSL шифрования, которая позволяет осуществить атаки на огромное количество приложений и сервисов, предоставляемых PayPal, Amazon, Microsoft, Google, Yahoo.

article-title

Ученые запустили службу для проверки подлинности SSL сертификатов

Служба ICSI Certificate Notary позволяет проверить достоверность сгенерированных SSL-сертификатов, предоставляемых сайтами.

article-title

Исследование: Приложения Android часто содержат ошибки реализации SSL

Сотрудники двух немецких университетов установили, что 17% Android-приложений с SSL позволяет злоумышленнику провести атаку «человек посередине».

article-title

Исследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты

Для проверки подлинности SSL-сертификатов расширение TACK TLS совмещает проверку открытого ключа с самоподписанным ключом.

article-title

Web-сайты с поддержкой протокола HTTPS уязвимы к MiM-атакам

По данным компании TIM, небезопасными являются 90% крупнейших сайтов.

article-title

Google исправила ошибку проверки подлинности SSL сертификатов

Релиз 18.0.1025.152 восстанавливает для пользователей возможность подключения через HTTPS протокол.

article-title

Ошибка в Chrome блокирует проверку SSL сертификатов

После обновления Google Chrome браузер прекратил осуществлять подключения по протоколу HTTPS.

article-title

Firefox будет шифровать поиск в Google по умолчанию

Данное нововведение позволит пользователям защититься от атак «человек посередине».

article-title

Разработчики Chrome намерены отключить онлайн проверку SSL-сертификатов

Ведущий программист компании Google считает, что эта мера предосторожности является устаревшей и неэффективной.

article-title

CAB Forum предъявил новые требования к центрам сертификации

Организация опубликовала список требований, призванных повысить уровень безопасности систем SSL-сертификации.

article-title

EFF предлагает новый метод укрепления безопасности в Интернете

Новое решение от EFF обеспечит дополнительный уровень безопасности для центров сертификации.

article-title

Компания Qualys поддержала проект Convergence

Целью проекта Convergence является увеличение уровня безопасности зашифрованного SSL-трафика.

article-title

Старые алгоритмы шифрования защитят от уязвимости в TLS/SSL

Эксперты компании PhoneFactor рекомендуют использовать протокол шифрования RC4, так как он не подвержен уязвимости в TLS 1.0.

article-title

SSL-шифрование ненадежно, брешь распространяется на миллионы сайтов

Исследователи Таи Дуонг и Джулиано Риццо планируют выступить на конференции Ekoparty в Буэнос-Айрес с докладом, описывающим уязвимости в протоколе TLS 1.0.

article-title

SSL

article-title

Иранский хакер взял на себя ответственность за взлом сертификатов DigiNotar

Хакер под псевдонимом Сomodohacker заявил, что причиной взлома DigiNotar стала месть за преступления правительства Голландии за преступления перед мусульманами.

article-title

Microsoft: Windows Update не установит ложные обновления через SSL-сертификаты от DigiNotar

Представители Microsoft заявили о невозможности использования Windows Update для установки вредоносного ПО через похищенные SSL-сертификаты.

article-title

Участники конференции Black Hat обговорили проблемы использования протокола SSL

Многие web-ресурсы, декларирующие использование SSL, сознательно не шифруют передаваемые пароли.

article-title

Компании Solera Networks и Netronome намерены разработать решение для анализа SSL-трафика

Новое решение позволит сетевым администраторам быстро воссоздавать сценарии инцидентов безопасности.

article-title

Иранский хакер признался в краже SSL-сертификатов

Иранский хакер утверждает, что ему в одиночку удалось похитить цифровые сертификаты для обеспечения безопасности онлайн-транзакций ряда крупнейших Интернет-сайтов, в том числе Google, Microsoft, Skype и Yahoo.

article-title

Comodo обвиняет Иран в краже SSL-сертификатов

Успешная атака против одного из партнеров компании Comodo позволила неизвестным взломщикам получить легитимные цифровые сертификаты для ряда крупнейших сетевых ресурсов - Google и Gmail, Microsoft, Skype, Yahoo.

article-title

Заработал интернет-проект по размещению закрытых SSL-ключей

Группа энтузиастов, называющая себя /dev/ttyS0, запустила сайт LittleBlackBox Project, где все желающие могут публиковать полученные ими приватные SSL-ключи, аппаратно встроенные во многие электронные устройства, такие как домашние WiFi-роутеры или различные интернет-планшеты.

article-title

Ростелеком забыл обновить ssl-сертификат gosuslugi.ru

Сообщение об истекшем сроке действия сертификата (о недоверенном соединении и т.п.) могут наблюдать посетители личного кабинета портала государственных и муниципальных услуг gosuslugi.ru.

article-title

SSL Appliance - аппаратный анализатор SSL-трафика от Sourcefire

SSL Appliance позволяет системе предотвращения вторжений (IPS) производить инспекцию SSL (Secure Sockets Layer) трафика, блокируя потенциально вредоносную часть, которая может быть замаскирована шифрованием.

article-title

В протоколах TLS и SSL найдена серьезная уязвимость

В представленных технических данных сказано, что уязвимость в TLS кроется в процессе аутентификации. Потенциальный злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера.

article-title

Black Hat: Обнаружены проблемы с безопасностью в протоколе SSL

Эксперты Дэн Камински и Лен Сассман обнаружили проблемы с безопасностью в шифровальном протоколе SSL (Secure Sockets Layer), который используется для безопасных соединений в Интернете.

article-title

SSL-шифрование Gmail не защищает от атак

Роберт Грэхэм, генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам.

article-title

Microsoft отказалась от обязательного SSL для CardSpace

Отказ вызван желанием компании сделать технологию более массовой. Теперь при отсутствии SSL-сертификата на сайте CardSpace будет предупреждать пользователя о том, что трафик не шифруется.