Новости: tls

Критическая уязвимость в библиотеке wolfSSL SSL/TLS позволяет злоумышленнику ослабить безопасность из-за некорректной проверки размера хеша при работе с подписями ECDSA. Это может привести к принятию поддельных сертификатов. — bleepingcomputer.com

Модель нулевого доверия (Zero Trust) широко распространена, но часто дает сбои на практике. Организации инвестируют в идентификацию, но забывают о контроле трафика. Проблемы возникают на уровне входа, балансировщиков и межсервисного взаимодействия. — csoonline.com

Российская хакерская группировка Forest Blizzard использует незащищенное интернет-оборудование для домашних офисов и малого бизнеса, такое как маршрутизаторы, для перенаправления трафика через контролируемые злоумышленниками DNS-серверы. Группа использовала данную активность по угону DNS для поддержки атак типа «человек посередине» (AiTM) после компрометации соединений с использованием Transport Layer Security (TLS), нацеливаясь на домены Microsoft Outlook в вебе, согласно отчету Microsoft […] — csoonline.com

В прошлом году был задан вопрос о том, где в инфраструктуре используется криптография RSA или эллиптических кривых. Ответы показали, что она повсюду. Эксперт призывает не откладывать переход к постквантовой криптографии, предлагая гибридную стратегию для снижения рисков. — csoonline.com

Поддержка сертификатов на основе деревьев Меркла (MTC) уже реализована в Chrome. Вскоре она появится повсеместно, защищая TLS от квантовых угроз. — arstechnica.com

Долгое время балансировщик нагрузки считался устройством для производительности. Однако автор убежден, что безопасность приложений должна начинаться именно с него, поскольку это точка входа трафика. Разбор реальных кейсов в финансах и ритейле показывает, как архитектурные ошибки на этом уровне приводят к компрометации. — csoonline.com

Федеральное ведомство по информационной безопасности Германии (BSI) установило сроки прекращения использования традиционных асимметричных криптографических алгоритмов. С 2031 года эти методы не будут использоваться изолированно, а будет внедрена гибридная постквантовая криптография. — csoonline.com

Azure Storage теперь требует версию 1.2 или новее для зашифрованных подключений. Устаревшие протоколы TLS 1.0 и 1.1 больше не поддерживаются, что повышает безопасность и производительность.