Let's Encrypt рассказал об уязвимости, позволяющей в обход получить сертификат безопасности
Новости
Владелец одного домена мог получить сертификат на чужой. Разработчики в качестве временной меры полностью отключили поддержку протокола.
801 открытий803 показов
9 января специалист сервиса Detectify сообщил Let’s Encrypt об уязвимости в протоколе TLS-SNI-01, позволяющей обходным путем получить сертификат безопасности от Let’s Encrypt. Пока разработчики отключили протокол – это полностью закрывает брешь, но подходит только в качестве временной меры.
Владелец одного домена мог получить сертификат на чужой, если:
- тот обслуживается на том же хостинге, предоставляющем несколько виртуальных хостов через один IP;
- хостинг-провайдер предоставил пользователю полномочия загружать сертификаты с произвольным именем домена, не подтверждая на него права.
Сейчас Let’s Encrypt работает над решением вместе с проблемными хостинг-провайдерами, параллельно составляет их перечень и обещает вернуть поддержку TLS-SNI-01 для всех провайдеров, кроме черного списка.
801 открытий803 показов
Город Колумбус подал иск против исследователя кибербезопасности Дэвида Лероя Росса (Коннора Гудвольфа) за незаконное скачивание и распространение данных, украденных после атаки программы-вымогателя Rhysida
This article delves into an exciting shift in how we protect privacy, allowing for secure data analysis and sharing without revealing any sensitive information.
Поговорим о том, как применение двухфакторной аутентификации (2FA) помогает в борьбе с киберпреступниками и как ее могут применять различные организации.
Из найма в IT к управлению собственной компанией Алексей Лихацкий шел более 10 лет. Из года в год индустрия менялась. Появлялись не только новые требования к специалистам, но и профессии. Рассказали о внешних и внутренних переменах рынка и их влиянии на нужные для специалиста навыки.