SSL es una capa de seguridad que encripta el HTTP y otros protocolos. Aquí un vídeo de la Conferencia Chrome Dev Summit 2013 en la que Parisa Tabriz expone: las amenazas en sitios web y aplicaciones que solo son accesibles vía HTTP, lo que ofrece y contra lo que te protege y consejos para mejorar la configuración de un sitio web. El SSL es gratuito para webs con fines no comerciales.

Hubo un tiempo, durante la guerra fría, que todo lo 'Occidental' tenía su réplica en la URSS, o tal vez, a ojos de un Ruso, todo lo Ruso tenía su réplica en Occidente. En el caso de la criptografía sucedió exactamente lo mismo, mientras el bloque occidental implementó los algoritmos que actualmente sustentan toda la seguridad en Internet a nivel global, los genios matemáticos Rusos hicieron su propia aproximación al problema de cifrar los datos en un mundo moderno.

Imagen comparativa de la edad del universo frente al tiempo necesario para romper la seguridad de un certificado de seguridad SSL.

Firefox 18 introdujo preferencias para bloquear el contenido no cifrado con SSL (http) en páginas cifradas con SSL (https). Una de esas preferencias, security.mixed_content.block_active_content está ahora activada por defecto para así poder reforzar la seguridad del usuario. Esto quiere decir que los scripts, CSS, plugins, frames, fuentes y conexiones WebSocket que no estén cifrados serán bloqueados, apareciendo una notificación en su lugar.

Un atacante, con un poco de paciencia y habilidad, podría hacerse con el contenido de las comunicaciones de millones de personas, según han descubierto expertos en seguridad informática. Las grandes empresas de la red ya están sobre aviso y trabajan contrarreloj para solucionar el problema. Lo que han demostrado en un estudio publicado ayer, es que TLS tiene un fallo en su diseño, es decir, que no depende de la implementación que cada software o empresa haga de él, permite capturar la información cifrada en formato de texto plano.

Wildcard provides dual advantage certificate that secure your customers as well acts as a money saver on the side of organization. The only certificate that can secure unlimited sub domains therefore, the owner does not need to purchase extra certificate for each server.

AlphaSSL Wildcard certificates are now just for $49. SSL2BUY wildcard SSL certificates are cheapest wildcard ssl in the market. We offer best price and 30 days money back guarantee.

Desde el pasado día 12 de diciembre y sin avisar GMail ha dejado de aceptar los certificados autofirmados en las conexiones POP3/SSL a otros servidores, lo que ha provocado que multitud de usuarios se hayan quedado de repente sin poder recoger correos de otras cuentas en GMail. La única solución por ahora es recoger el correo en texto plano (POP3 a secas), lo cual es una solución mucho peor desde el punto de vista de la seguridad.

Cheap SSL Certificate $7: Buy SSL Certificates from Leading SSL Certificates Authority. Buy or Renew Cheap RapidSSL,GeoTrust,Thawte SSL Certificates,SSL Certs,Secure Certificates at market lowest price with SSLMatrix.

"Hemos sido capaces de comprometer remotamente cerca de un 0,4% de las claves públicas usadas para seguridad SSL de sitios web. Estas claves habían sido generadas incorrectamente, usando números "aleatorios" predecibles que, en ocasiones, se repetían. [...] Con la clave privada, un atacante puede hacerse pasar por un sitio web o descifrar mensajes cifrados a ese sitio. Hemos desarrollado una herramienta que puede factorizar esas claves y darnos las claves privadas de todos estos sitios vulnerables en sólo unas horas."

(ENG) Irán bloquea el acceso seguro a Internet dentro de sus fronteras

Tor Project, el sistema de navegación anónima de código abierto está probando obfsproxy en Irán. Este sistema es una ofuscación del protocolo usado para conectar a Internet y hacerlo pasar como una comunicación normal no cifrada, a fin de impedir que los gobiernos bloqueen las comunicaciones seguras (SSL y TLS) - las que usa TOR para garantizar la seguridad - e impidan el uso de estas herramientas. El director de Tor, Andrew Lewman, dice que es como "Hacer pasar a un Ferrari por un Toyota poniendo la carrocería del Toyota encima del Ferrari"

La vulneración fue descubierta por la agencia Reuters, y quizás lo más grave es que muchos de los jefes en VeriSign no se habían enterado de los ataques hasta ahora que fueron consultados por la agencia, lo que por cierto habla muy mal de los sistemas de control. Según Reuters, muchos no sabían nada más que lo que dice en el informe de la SEC. VeriSign está encargada de emitir certificados SSL, o Secure Sockets Layer para los sitios terminados en .com, .net y .gov, por lo que el asunto es especialmente grave.

ComodoSSLStore.com: Cheap Comodo SSL Certificates from $6.50/yr., Instant SSL, Positive SSL, Essential SSL, Standard SSL, Comodo EV, Wildcard & Multidomain SSL Certificates from ComodoSSLStore.

En este estudio se analizan las diferentes cajas y bancos surgidos en España tras las fusiones hasta el momento. De las 38 entidades analizadas sólo 6 cumplen correctamente con todos los criterios comprobados, 2 de ellas tienen una configuración SSL muy deficiente.

Grave vulnerabilidad en Ruby y la creación de claves RSA. Las claves creadas a partir del 1 de septiembre de 2011 en versiones posteriores a 1.9.3 deben ser regeneradas. Parecido al que ocurrió con debian y derivados. www.meneame.net/story/gravisima-vulnerabilidad-encontrada-openssh-debi

Encontrada vulnerabilidad en el cifrado SSL/TLS1.0 -- article related to Noticias, Index, and Seguridad.

Afecta a las versiones 1.0 y anteriores de Transport Layer Security y permite espiar las comunicaciones entre servidor web y navegador de usuario en sitios financieros y páginas de empresas como Google, Facebook y Twitter...Esta vulnerabilidad reside en las versiones 1.0 y anteriores de TLS (Transport Layer Security), el mecanismo de cifrado usado en conexiones HTTP (Secure Hypertext Transfer Protocol). O, lo que es lo mismo, el sucesor de SSL (Secure Sockets Layer) en sitios financieros y en páginas de empresas como Google, Facebook y Twitter

...SSL un código de seguridad denominado SSL para encriptar los datos que otorgan seguridad a las cuentas de sus usuarios. Un código que se creía inviolable hasta que ha sido recientemente crackeado provocando el consiguiente riesgo en la invulnerabilidad de la gran cantidad de webs que utilizan dicho código. Y aún hay más. Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del código SSL "logrando superar la seguridad de PayPal" Artículo original: www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

¿Tienes correo electrónico de Gmail? ¿Cuenta en Facebook? ¿compras en Amazon? Todos estos sitios y muchos más emplean un código de seguridad denominado SSL para encriptar los datos que otorgan seguridad a las cuentas de sus usuarios. Un código que se creía inviolable hasta que ha sido recientemente crackeado provocando el consiguiente riesgo en la invulnerabilidad de la gran cantidad de webs que utilizan dicho código. Y aún hay más

La CA Alemana Diginotar, que saltó a la fama tras ser hackeada por ComodoHacker y haber emitido certificados falsos de google que eran reconocidos como verdaderos por todas las aplicaciones que utilizan ssl, se ha declarado hoy en bancarrota.

En un anuncio enviado el Jueves, un particular que se autodenomina "Comodohacker" afirma que ha dañado la seguridad de StartCom y su competidor GlobalSign, con sede en los Estados Unidos. “Tengo TODOS los correos, backups de la base de datos y datos de clientes” de StartCom, y además añadió que tiene acceso "a todo el servidor", volcados de base de datos y configuración de sistema de GlobalSign. GlobalSign ha dejado de emitir certificados mientras investiga este hecho.

Bien. ¿Pero para qué querría alguien hackear una autoridad certificadora? Ni modo que alguien quisiera obtener un certificado a nombre de…digamos Google, y luego levantar un sitio falso PERO con un certificado digital válido, o sí? Así este sitio fraudulento podría aparecer todavía como más auténtico ya que “hasta el candadito se prendió y sin ninguna advertencia”.