Cloudflare admitió desde un principio que el bug Heartbleed era bastante grave, sin embargo, dijo que robar las llaves SSL de un servidor afectado por el bug sería muy difícil, y casi imposible de hacerlo en los servidores NGINX. Para demostrar lo dicho, crearon un reto que consistían en que investigadores intenten robar sus llaves de cifrado de su servidor, y dicho y hecho, ha sucedido. El CEO de Cloudflare, Matthew Prince, acaba de confirmar que dos investigadores consiguieron robar las llaves de sus servidores usando el bug de OpenSSL.

Asisto perplejo a las recientes noticias sobre vulnerabilidades encontradas en las implementaciones SSL/TLS tanto de Linux como de iOS. Por si no estáis enterados, os pongo en antecedentes.

La noticia de la Vulnerabilidad en Open SSl conocida mas bien por HeartBleed ha sido noticia en esta ultimas semanas y donde hemos visto como las grandes empresas han comenzado a parchear sus servidores para evitar esta vulnerabilidad ahora bien en este articulo te mostraremos como actualizar tu server y que no sea vulnerable algo que es bastante fácil.

Un nuevo troyano bancario, al que se denominó Dyreza o Dyre, tiene la capacidad de saltear el protocolo SSL para simular conexiones seguras en sitios de entidades financieras.

BOSTON (Reuters) - Un portavoz de Google Inc. dijo el martes que los investigadores de la compañía han descubierto una vulnerabilidad en la tecnología web ampliamente utilizada de encriptación SSL, encontrando un error en el protocolo SSL 3.0.

Reciéntemente Cloudfare ha habilitado el cifrado SSL para los usuarios de su plan gratuito. Es una opción interesante si no queremos pagar un certificado ssl.

El equipo de Android ha creado la herramienta Nogotofail, una herramienta que nos ofrece una manera fácil de comprobar que un dispositivo o app es realmente seguro contra las vulnerabilidades conocidas de TLS/SSL, además de evitar cualquier error de configuración.

Google recientemente liberó la herramienta Open Source Nogotofail para probar si los dispositivos o aplicaciones que utilizamos son vulnerables a los bugs de seguridad conocidos de TLS/SSL. El proyecto esta disponible para descarga desde GitHub, lo que quiere decir que cualquiera puede bajarlos e instalarlos.

El Internet Security Research Group, ISRG, (organización formada por Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, la Universidad de Michigan y IdenTrust) ha anunciado el proyecto Let's Encrypt, que pretende extender el uso del tráfico web cifrado (HTTPS), facilitando el proceso de instalación y configuración de los certificados SSL/TLS en los servidores web.

Los ingenieros de seguridad de Google Chrome se están planteando marcar como inseguros todos los sitios web que no usen cifrado.

"Comprometida una autoridad certificadora, todos sus certificados revocados". Suena mal, ¿verdad? Es probable que hayáis leído algo parecido a esto durante los últimos días a raíz de un descubrimiento de Google, o incluso con lo del desastre de Superfish y Lenovo. La cuestión es, ¿qué significa eso? ¿Qué es un certificado? ¿Qué es una autoridad certificadora (o CA)?

Lo ideal en el mundo en que vivimos sería que toda la Web estuviese cifrada, pero no es tan sencillo como parece. Linux Foundation ha anunciado que acogerá otro proyecto en su seno: Let’s Encrypt. Y es genial porque si Let’s Encrypt ya era una genialidad de por sí, con la fundación como sostén tiene mayores garantías de éxito. Let’s Encrypt facilitará la implementación del cifrado al extremo -tiene potencial para convertirse en un servicio universal- sino que proveerá de una autoridad de certificación de manera automatizada, abierta y gratuita.

El proyecto OpenSSL ha confirmado una nueva vulnerabilidad cuyo impacto no ha desvelado.

App Bugs, una firma de seguridad enfocada en el análisis de vulnerabilidades en aplicaciones móviles, ha encontrado importantes problemas en, hasta ahora, 16 populares apps para Android que podrían estar poniendo en riesgo la información de alrededor de 80 millones de usuarios de todo el mundo. Texto/vía: wwwhatsnew.com/2015/06/28/firma-de-seguridad-encuentra-vulnerabilidades-en-16-populares-apps-android/

Según las release notes de la versión 39 de Firefox, la versión 3 de SSL queda desactivada. Una muestra mas de la inseguridad de SSLv3.

Para proteger su página web

La empresa de seguridad High-Tech ha estado analizando la seguridad de los principales servidores de correo electrónico gratuitos de la red con el fin de demostrar si se utilizaban conexiones realmente seguras o, de lo contrario, estas podían verse comprometidas por diferentes ataques de red. Según el estudio, además de otros muchos servidores, los tres servidores más utilizados por los internautas no protegen correctamente las conexiones.

Let’s Encrypt ha entrado en Beta pública. Ya no se requieren invitaciones para conseguir un certificado gratis de Let’s Encrypt.

Let’s Encrypt es un esfuerzo, impulsado por la Fundación Linux, para crear una entidad certificadora que ofrezca certificados SSL abiertos, libres, gratuitos y automáticos. Esto significa, para que nos entendamos, que ya no habrá que pasar por caja y pagar a una empresa certificadora para tener un certificado SSL seguro, sino que podemos usar esta entidad de certificación, avalada por los grandes de Internet, que no cobra.

Nueva vulnerabilidad crítica de openssl, si tu servidor no tiene sslv2 desactivado es posible que puedan descifrar sesiones. El nombre de la vulnerabilidad es DROWN y una explicación mas clara está aquí www.drownattack.com/

Las webs españolas suspenden en la protección de datos de sus usuarios. Algunas tan importantes como la del Ministerio de Justicia y el Portal de Salud y Atención al Ciudadano de la Comunidad de Madrid, o gran parte de los partidos mayoritarios, permiten que se transmitan sus datos sin protocolos seguros en sus formularios.Ahora, Google ha decidido marcar de manera clara las webs que no encripten los datos.

El ataque puede llevarse a cabo desde un punto de conexión Wifi. Una garantía clave proporcionada por el cifrado HTTPS es que las direcciones de los sitios web visitados no son visibles para los atacantes que pueden estar monitoreando el tráfico de red de un usuario final. Ahora, los investigadores han ideado un ataque que rompe esta protección.

Varios certificados SSL no son aprobados en Android y otros dispositivos móviles, si deseas redirigir el trafico a SSL excepto para dispositivos móviles sigue las siguientes instrucciones:

Conoce las razones del porqué implantar el certificado SSL en nuestra página web para garantizar la total seguridad a los visitantes.

La autoridad de certificación (AC) más importante de España por fin ha conseguido concluir, con éxito, el proceso de auditoria que exige el CA/Browser Forum para incluir el certificado raiz de serie en diferentes productos software. En el mundo Linux y del software libre el ejemplo de referencia es Mozilla. Pues bien, a partir de Firefox 53.0a el certificado raiz vendrá de serie y no volverá a alertarnos de conexiones inseguras al conectarlos a servidores web de la administración pública que usan certificados Ceres. ¡Y sólo en 3167 días!