Etiqueta: SSL

Inicio
Lunes, 6 de febrero de 2012 Creado por

VeriSign víctima de robo de datos

VeriSign, una de las principales entidades certificadoras del mundo, ha sido víctima de una intrusión en el 2010 en la que se ha perdido información muy importante.

La noticia tiene un calado muy importante, ya que esta entidad certificadora ha emitido los certificados SSL de la gran mayoría de sitios web que operan actualmente en la red además de gestionar un parque enorme de dominios. Lo más grave de todo el asunto es que esta entidad ha venido sufriendo ataques desde el año 2010, concretamente en su filial Reston, responsable de la gestión de los dominios .com, .net y .gov, aunque dichos ataques han sido ocultados a la opinión pública.

La compañía no cree que estas brechas de seguridad hayan afectado a los sistemas de DNS por lo que no hay peligro mediante redirecciones fraudulentas, aunque no es seguro a ciencia cierta…

De momento VeriSign no se ha pronunciado al respecto, pero la cosa es muy grave teniendo en cuenta que la entidad tiene un volumen de datos enorme: más de 50.000 millones de peticiones diarias (incluyendo comunicaciones del gobierno de Estados Unidos o de algunas empresas).

Personalmente este asunto me recuerda el caso de Diginotar, cuando fueron víctimas del robo de certificados SSL. Seguiremos atentos…

Comenta esta noticia
Viernes, 23 de septiembre de 2011 Creado por

Vulnerabilidad grave en SSL/TLS 1.0

Se ha descubierto una vulnerabilidad grave en el protocolo SSL (Secure Sockets Layer) en la versión 1.0 y anteriores de TLS (Transport Layer Security).

La vulnerabilidad descubierta permitiría a un atacante descifrar los datos que se pasan entre un servidor Web y el navegador del usuario. Lo realmente grave del asunto es que aunque las versiones posteriores 1.1 y 1.2 de TLS no son vulnerables la mayoría de los navegadores y sitios Web no las soportan, por lo que portales como Paypal, Gmail y otros muchos que usan la versión 1.0 o anteriores son vulnerables.

En Buenos Aires tendrá lugar la conferencia de seguridad ekoparty, donde los investigadores Duong y Juliano Rizzo realizarán una demostración con un exploit al que han bautizado como BEAST (Browser Exploit Against SSL/TLS) que emplea Javascript y un sniffer de red para descifrar las cookies y acceder a cuentas restringidas de usuario. En la demostración se usará una cookie de autenticación de Paypal.

Sin duda un asunto muy grave. Google ya ha realizado una actualización en la versión de desarrollo de Chrome con el fin de acotar este problema. Veremos cómo van reaccionando el resto de afectados.

Vía: The Register

 

Comenta esta noticia
Martes, 9 de agosto de 2011 Creado por

HTTPS Everywhere sale de Beta para convertirse en Final

HTTPS Everywhere, la extensión para navegadores Mozilla Firefox que “fuerza” la conexión con determinados servicios mediante SSL, sale de Beta para convertirse en versión final.

Afortunadamente cada vez más los usuarios se van concienciando de la necesidad imperiosa de blindar sus conexiones. No ya sólo en operaciones críticas (como transacciones, pagos online, etc…) sino en todas las que sea posible (lectura de correos, acceso a redes sociales, navegación web, etc…). Este proyecto arrancó hace un año de la mano de la Electronic Frontier Foundation (EFF) junto con la colaboración del Proyecto Tor.

Con esta extensión instalada Firefox forzará el uso del protocolo seguro SSL en aquellos servicios que lo soporten. Por ejemplo, si no hemos activado en Twitter o Facebook el uso de SSL esta extensión forzará su utilización, así como las búsquedas en Google, Wikipedia, bit.ly, WordPress.com, PayPal, Tor, etc…

Simplemente hay que bajar la extensión e instalarla a través del administrador de complementos de Firefox. Una vez hecho este sencillo paso podremos configurar los servicios en los que queremos forzar el cifrado, aunque ya de por sí vienen activados casi todos (por si las moscas).

Web: eff.org


1 Comentario, leélo
Miércoles, 25 de mayo de 2011 Creado por

SSL False Start: Nueva tecnología de Google de aceleración para conexiones SSL

Los de Google siguen con su afán de crear una web más rápida (WebP, WebM, SPDY) y en esta ocasión presentan SSL False Start, una herramienta que promete acelerar las conexiones SSL hasta en un 30%.

Concretamente han sido dos desarrolladores de Google (Nagendra Modadugu y Bodo Moeller) los que han presentado el mencionado programa llamado SSL False Start, que (como ya he dicho y tal y como se puede apreciar en el gráfico) promete mejoras de hasta un 30% en el tiempo de carga de las conexiones SSL (Secure Sockets Layer).

Las pruebas que Modadugu y Moeller han estado realizando han sido bajo el navegador Chrome 9 y los resultados obtenidos muestran que se reduce el tiempo de latencia del handshake (ClientHello y ServerHello) en un 30%.

Además aseguran que SSL FalseStart fue desarrolado cumpliendo con todas las especificaciones SSL, con lo que la compatibilidad con el protocolo está asegurada, obteniendo tasas de éxito del 94,6%, con un 5% de respuestas “time out” y un porcentaje de error de apenas el 0,4%.

Vía: Blog de Chromium

1 Comentario, leélo
Lunes, 8 de noviembre de 2010 Creado por

Hotmail: SSL durante toda la sesión

Ya tenemos completamente activa la nueva opción que nos permite usar SSL durante toda la sesión en Hotmail (y Windows Live en general) y no sólo en el momento del logueo como ocurría antes.

SSL (Secure Sockets Layer -Protocolo de Capa de Conexión Segura) proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Así que a partir de ahora nuestras sesiones serán más seguras.

Para comenzar a disfrutar de esta mejorada característica de seguridad, simplemente tenemos que acceder a https://www.hotmail.com (la “s” después del “http” es la importante aquí) y acto seguido se nos preguntará si queremos usar la seguridad SSL sólo esta vez, o siempre. Si elegimos siempre se nos redirgirá a al sitio HTTPS cada vez que iniciemos sesión en Hotmail, Calendario o Contactos. La desventaja es que al elegir usar el protocolo SSL para toda la sesión hará que probablemente tengamos problemas si usamos Hotmail con clientes de correo…

Vía: LiveSide

1 Comentario, leélo
Viernes, 2 de octubre de 2009 Creado por

Microsoft sigue sin solucionar un par de vulnerabilidades

microsoft-logo

Microsoft sigue sin dar solución a un par de vulnerabilidades encontradas desde hace unas semanas en su protocolo de cifrado SSL y un bug en la API de Microsoft CryptoAPI.

Ambas vulnerabilidades son muy peligrosas, ya que algún desalmado podría por ejemplo suplantar una web como la de Paypal y el navegador (usando CryptoAPI) validaría como que es la original… Con este claro ejemplo podéis haceros una idea aproximada de la peligrosidad que implican esos errores. Pues bien, a día de hoy Microsoft sigue sin ofrecer una solución a dichos problemas, por lo que miles de usuarios están desprotegidos. Esperemos que se esté trabajando para solucionarlo en breve…

Comenta esta noticia
Lunes, 20 de agosto de 2007 Creado por

Accede mediante SSL a los servicios de Google automáticamente

Google SSLDe manera tradicional, podemos acceder a los servicios de google mediante conexión segura SSL tan sólo añadiendo una s al final de http, pero si no te gusta tener que añadirlo manualmente Google Secure Pro te ahorra esa ardua tarea cotidiana y rudimentaria.

Para instalarlo lo único que necesitas es descargar la extensión para Firefox llamada GreaseMonkey, y una vez descargada tan sólo tendréis que instalarle el script Google Secure Pro, y et voilà, tendrás conexión segura para Gmail, Gcal, Google Docs, Google History, Google Bookmarks y Google Reader.

Vía: Bitslab
Enlace: Descargar Google Secure Pro

Comenta esta noticia