Недавно вспомнилось мне, что есть такой сервис — StartSsl, который совершенно бесплатно раздаёт trusted сертификаты владельцам доменов для личного использования. Да и выходные попались свободные. В общем сейчас напишу, как в nginx настроить HTTPS, чтобы при проверке в SSL Labs получить рейтинг А+ и обезопасить себя от последних багов с помощью выпиливания SSL.
Итак приступим. Будем считать, что у вы уже зарегистрировались на StartSsl, прошли персональную проверку и получили вожделенный сертификат. Для начала я опубликую итоговый конфиг, а после этого, разберу его.
Читать полностью »
Рубрика «TLS» - 11
Nginx и https. Получаем класс А+
2015-03-11 в 20:41, admin, рубрики: HTTPS, nginx, SSL, TLS, информационная безопасность, Тестирование веб-сервисов, метки: https, sslМигрируем на HTTPS
2015-03-08 в 22:22, admin, рубрики: http, HTTPS, TLS, информационная безопасностьВ переводе этого документа описываются шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS. Шаги можно выполнять с любой скоростью – либо всё за день, либо один шаг за месяц. Главное, делать это последовательно.
Каждый шаг улучшает ваш сервер и важен сам по себе. Однако, сделать их все – обязательно для того, чтобы гарантировать безопасность вашим посетителям.
Читать полностью »
TLS в HTTP-2
2015-03-08 в 17:42, admin, рубрики: http, http/2, HTTPS, TLS, информационная безопасность, Сетевые технологии, шифрование 
Я написал обзор «http2 explained» и сделал несколько выступлений по поводу HTTP/2. После я получил много вопросов по поводу связки TLS и HTTP/2, поэтому я хотел бы ответить на некоторые из них в данной статье.
TLS не обязателен
В одобренной спецификации HTTP/2, которая скоро станет официальным RFC, нет ничего об обязательном использовании TLS. Наоборот, там рассказывается, как можно передавать данные открытым текстом TCP, и как – через TLS.
Читать полностью »
Поддержка TLS1.1+ для устаревших версий CommuniGate
2015-02-17 в 6:37, admin, рубрики: communigate, dovecot, gmail, ldap, postfix, TLS, Настройка Linux, Серверное администрирование, метки: Communigate, Gmail, tlsПочтовый сервер CommuniGate Pro достаточно известен и популярен в России. Это действительно производительный и очень функциональный почтовый сервер (сейчас, впрочем, уже и VOIP/Messanger/etc). Впрочем, недостатки у него тоже есть. Закрытый код и ощутимо дорогая лицензия. Она ограничивает не только количество пользователей, но время обновлений. К сожалению, далеко не во всех ситуациях покупка обновленной лицензии возможна или целесообразна. Однако интернет меняется, в протоколах находят уязвимости, поддержку старых протоколов отменяют и с этим тоже как-то надо жить.
Задача в том, чтобы дать возможность legacy пользователям отправлять почту с авторизацией и поддержкой TLS1.1/TLS1.2, не внося каких-то серьезных архитектурных изменений в существующую систему. Под катом добавление поддержки TLS1.1+ для старых версий <5.1.3 СommuniGate c помощью Postfix и LDAP.
Читать полностью »
Взлом TLS с денежным призом
2015-02-11 в 13:30, admin, рубрики: BTC Piñata, ocaml, TLS, информационная безопасность, конкурс, криптография, метки: OCaml 
Разработчики TLS-имплементации на языке OCaml объявили конкурс BTC Piñata, чтобы доказать надёжность своей защиты. Известно, что конкурсы не могут быть настоящим доказательством, но этот очень уж забавный, да ещё с небольшим денежным призом.
Итак, эти двое хакеров открыли демо-сервер ownme.ipredator.se.
На сервере лежит ключ от биткоин-адреса 183XuXTTgnfYfKcHbJ4sZeF46a49Fnihdh. Сервер отдаст нам ключ, если мы предъявим сертификат.
Организаторы предусмотрели механизм MiTM для нас. Мы можем пропускать через себя трафик между виртуальными машинами BTC Piñata (TLS-сервер и TLS-клиент). Как понятно, в этом трафике есть нужный сертификат, нужно его только извлечь каким-то образом.
Читать полностью »
Почему вам надо обновить свои SSL сертификаты
2015-02-09 в 9:02, admin, рубрики: sha-1, SHA-2, SSL, TLS, браузеры, информационная безопасность, криптография, сертификаты 
Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать теперь следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат».
Статья предназначена, в основном, для администраторов веб=серверов. Причина, по которой вам возможно предстоит досрочно обновить сертификат вашего сервера заключается в том, что распространенный алгоритм хэширования SHA-1 сегодня считается небезопасным.
Читать полностью »
Как и зачем мы делаем TLS в Яндексе
2015-02-05 в 11:10, admin, рубрики: HTTPS, nginx, ocsp, TLS, Анализ и проектирование систем, Блог компании Яндекс, информационная безопасность, ит-инфраструктура, метки: https, https, ocsp, tls, tlsЯ занимаюсь в Яндексе продуктовой безопасностью и, кажется, сейчас самое время подробнее, чем уже было на YaC, рассказать на Хабре о том, как мы внедряем TLS в Яндексе.
Использование HTTPS-соединений является важной частью безопасного веб-сервиса, так как именно HTTPS обеспечивает конфиденциальность и целостность данных на этапе передачи их между клиентом и сервисом. Мы постепенно переводим все наши сервисы только на HTTPS-соединение. Многие из них уже работают исключительно по нему: Паспорт, Почта, Директ, Метрика, Такси, Яндекс.Деньги, а также все формы обратной связи, имеющие дело с персональными данными пользователей. Яндекс.Почта уже больше года даже обменивается данными с другими почтовыми сервисами по SSL/TLS, поддерживающими это.
Все мы знаем, что HTTPS — это HTTP, завернутый в TLS. Почему TLS, а не SSL? Потому что принципиально TLS — это более новый SSL, при этом название нового протокола наиболее точно характеризует его назначение. А в свете уязвимости POODLE можно официально считать, что SSL больше использовать нельзя.
Читать полностью »
Бесплатный https сертификат + интеграция в Apache–TomCat
2015-01-19 в 19:52, admin, рубрики: Apache, HTTPS, java, SSL, TLS, tomcat, безопасность, информационная безопасность, криптография Доброго времени суток, дорогие друзья. У меня возникла необходимость настроить https на сервере, который используется в онлайн-игре. Для этого мне понадобится бесплатная регистрация на StartSSL и немного времени. Инструкции на самом сайте StartSSL довольно туманные. Эта публикация призвана пролить свет на детали.
Читать полностью »
SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным
2014-11-24 в 12:13, admin, рубрики: akamai, Cisco, DNS, EFF, HTTPS, IdenTrust, json, Michigan University, mozilla, TLS, информационная безопасность, криптография Как ранее сообщалось на GeekTimes, EFF при поддержке Mozilla, Cisco, Akamai, IdenTrust и исследователей из Мичиганского университета (University of Michigan) создали новый некоммерческий центр сертификации (Certificate Authority) Let's Encrypt [1]. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.
Читать полностью »
Перевыпускаем сертификат с SHA-2 — если Webnames не идет к Магомету…
2014-11-10 в 15:06, admin, рубрики: http, rapidssl, regtime, sha-1, TLS, webnames, Веб-разработка, информационная безопасность, системное администрирование 
Как было объявлено 5 сентября 2014 года, разработчики браузера Chromium уже не очень жалуют алгоритм хеширования SHA-1. Сам вид адресной строки браузера будет давать понять посетителям https-сайтов, «закрытых» такими сертификатами, что с сайтом что-то «не те». Вид строки будет меняться со временем, давая время для более-менее плавного перехода, а в конце сертификаты с SHA-1 перестанут считаться вообще сколько-нибудь безопасными:
