Conoce cómo puedes deshabilitar los protocolos TLS antiguos en Windows y en navegadores como Chrome o Firefox para mejorar la seguridad.

Debido a un bug el equipo que está detrás de Let’s Encrypt ha anunciado que va a tener que revocar el 4 de marzo unos 3 millones de certificados seguros. Eso es aproximadamente el 2,6% del los ~116 millones actualmente en activo. Let’s Encrypt es una entidad sin ánimo de lucro que desde hace años ofrece certificados seguros TSS/SSL («el candadito») para cualquier servidor de internet forma gratuita.

Cuando navegamos por Internet algo esencial y que valoran mucho los usuarios es la seguridad. Sin embargo, no todas las páginas lo son. Podemos toparnos con webs que no utilizan protocolos de seguridad actuales y que podrían filtrar información personal o datos que introducimos en esos sitios. Al hablar de seguridad en la web, pueden aparecer tres nombres: SSL, TLS y HTTPS. A veces pueden confundirse. En este artículo vamos a explicar qué es cada protocolo.

Un nuevo ataque criptográfico capaz de interrumpir el tráfico de Transport Layer Security (TLS) encriptado ha sido descubierto; acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, esto podría permitir a los actores de amenazas interceptar y extraer datos transportados por un método que era considerado seguro.

Aunque el concepto de SSL es conocido por muchos, los detalles reales y las decisiones específicas de seguridad de la implementación, a menudo son mal entendidos y con frecuencia resultan en despliegues inseguros

En Amazon Web Services un cifrado fuerte es una de nuestras características básicas, además de un aspecto integral del protocolo de encriptación TLS (anteriormente SSL). Durante los últimos 18 meses se ha hecho un análisis profundo de este protocolo que ha mostrado numerosos defectos en su implementación produciendo graves problemas de seguridad debido, entre otras cosas, a la gran complejidad del proyecto. Es por eso que para simplificar TLS, Amazon presenta como código abierto su nueva implementación del protocolo TLS: s2n.

Lo ideal en el mundo en que vivimos sería que toda la Web estuviese cifrada, pero no es tan sencillo como parece. Linux Foundation ha anunciado que acogerá otro proyecto en su seno: Let’s Encrypt. Y es genial porque si Let’s Encrypt ya era una genialidad de por sí, con la fundación como sostén tiene mayores garantías de éxito. Let’s Encrypt facilitará la implementación del cifrado al extremo -tiene potencial para convertirse en un servicio universal- sino que proveerá de una autoridad de certificación de manera automatizada, abierta y gratuita.

Si rompes la Piñata te puedes quedar lo que hay dentro. Debería ser imposible conseguirlo siempre y cuando la Piñata esté funcionando correctamente, para poder obtener su contenido debes romperla. Hace un año empezamos a desarrollar una implementación desde cero de TLS (protocolo usado para las conexiones seguras de Internet), ahora queremos aumentar nuestra confianza en la implementación y demostrar que el sistema es robusto. El premio puede conocerse en este enlace: goo.gl/FhfQaN

El Internet Security Research Group, ISRG, (organización formada por Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, la Universidad de Michigan y IdenTrust) ha anunciado el proyecto Let's Encrypt, que pretende extender el uso del tráfico web cifrado (HTTPS), facilitando el proceso de instalación y configuración de los certificados SSL/TLS en los servidores web.

Google recientemente liberó la herramienta Open Source Nogotofail para probar si los dispositivos o aplicaciones que utilizamos son vulnerables a los bugs de seguridad conocidos de TLS/SSL. El proyecto esta disponible para descarga desde GitHub, lo que quiere decir que cualquiera puede bajarlos e instalarlos.

En este nuevo trabajo explico como se crea configura un servidor de correo Postfix en debian 6 con seguridad TLS donde la comunicación ira cifrada y nadie podra interceptar el contenido de dicho envio. También incluye anti-spam, y varios clientes de correo.

SSL es una capa de seguridad que encripta el HTTP y otros protocolos. Aquí un vídeo de la Conferencia Chrome Dev Summit 2013 en la que Parisa Tabriz expone: las amenazas en sitios web y aplicaciones que solo son accesibles vía HTTP, lo que ofrece y contra lo que te protege y consejos para mejorar la configuración de un sitio web. El SSL es gratuito para webs con fines no comerciales.

Un atacante, con un poco de paciencia y habilidad, podría hacerse con el contenido de las comunicaciones de millones de personas, según han descubierto expertos en seguridad informática. Las grandes empresas de la red ya están sobre aviso y trabajan contrarreloj para solucionar el problema. Lo que han demostrado en un estudio publicado ayer, es que TLS tiene un fallo en su diseño, es decir, que no depende de la implementación que cada software o empresa haga de él, permite capturar la información cifrada en formato de texto plano.

(ENG) Irán bloquea el acceso seguro a Internet dentro de sus fronteras

Tor Project, el sistema de navegación anónima de código abierto está probando obfsproxy en Irán. Este sistema es una ofuscación del protocolo usado para conectar a Internet y hacerlo pasar como una comunicación normal no cifrada, a fin de impedir que los gobiernos bloqueen las comunicaciones seguras (SSL y TLS) - las que usa TOR para garantizar la seguridad - e impidan el uso de estas herramientas. El director de Tor, Andrew Lewman, dice que es como "Hacer pasar a un Ferrari por un Toyota poniendo la carrocería del Toyota encima del Ferrari"

Afecta a las versiones 1.0 y anteriores de Transport Layer Security y permite espiar las comunicaciones entre servidor web y navegador de usuario en sitios financieros y páginas de empresas como Google, Facebook y Twitter...Esta vulnerabilidad reside en las versiones 1.0 y anteriores de TLS (Transport Layer Security), el mecanismo de cifrado usado en conexiones HTTP (Secure Hypertext Transfer Protocol). O, lo que es lo mismo, el sucesor de SSL (Secure Sockets Layer) en sitios financieros y en páginas de empresas como Google, Facebook y Twitter