Recientemente SSL Labs ha subido a su Wiki en GitHub la nueva versión de la guía de recomendaciones y buenas prácticas en el uso de SSL/TLS. Una muy buena lectura y punto de referencia para los administradores de sistemas, especialmente los que trabajamos en entornos Middleware donde nos peleamos a diario con esta tecnología.
A veces es un error humano, otras la debilidad inherente de un determinado sistema o infraestructura… En cualquier caso, podemos tomar medidas para evitar desastres como el que leí recientemente de D-Link, en el que a alguien se le fue la pinza y publicó la clave utilizada para la firma digital del software legítimo de… Read More »
Para administradores de sistemas que trabajen en la securización de servicios web, bases de datos y comunicaciones, en cipherli.st encontramos una interesante colección de configuraciones seguras SSL/TLS para servidores web Apache, Nginx y Lighttpd. Cuestión que también comenté hace un tiempo cuando SSL dejó de considerarse un protocolo adecuado para comunicaciones seguras según los últimos… Read More »
XCA es una aplicación que resultará familiar a todos aquellos que hayáis trabajado con OpenSSL previamente. Para los que aún no lo han hecho, es sin duda una forma sencilla e interesante de aprender a gestionar certificados y claves.
Con ese nombre podría referirse perfectamente a un concurso cutre de televisión pero no, se trata de una nueva vulnerabilidad SSL/TLS, que viene sembrado ya desde el año pasado. La naturaleza de este problema se trata de una vulnerabilidad fruto del uso de suites de cifrado débiles que consecuentemente son fáciles de descifrar en un… Read More »
La verdad es que más de una vez me he encontrado con el citado error ssl_error_bad_cert_domain y no lo encontraba muy lógico, más que nada por la descripción técnica que obtengo (o mejor dicho, me ofrecen) del asunto. Esto me ocurría al visitar sitios web que utilizaban HTTPS. Para este ejemplo vamos a suponer (más… Read More »