29-го ноября, как и ожидалось, вышел EJBCA 3.11

EJBCA — это OpenSource ПО для создания Certification Authority уровня предприятия. Отличается полной реализацией функционала CA и поддерживает крупные СУБД. С точки зрения пользователя, EJBCA предоставляет два вида интерфейса для управления жизненным циклом сертификатов: консольный и развитый веб-интерфейс. Также в EJBCA реализованы протоколы OCSP и SCEP, позволяющие в том числе взаимодействовать с интеллектуальным сетевым и криптографическим оборудованием.

EJBCA Написан на языке Java, имеет собственный документированный API, запускается на большинстве широко распространёных серверов приложений (JBoss, Glassfish, Weblogic, OC4J). К сожалению, в этом списке не нашлось места для IBM WebSphere.

Стабильный релиз 3.11 — переходный, его основным назначением является максимальное асимптотическое приближение к тестовой кодовой базе с целью дальнейшей стабилизации последней и выпуска 4-й версии.

Тем не менее, в 3.11 есть и некоторые интересные изменения:

• отныне можно вовсе не использовать хранилища сертификатов и аккаунтов пользователей, благодаря чему можно работать вообще без привязки к каким-либо источникам данных;
• сервис протокола OCSP стал универсальным средством проверки доверия сертификатам, предоставляя своим клиентам по запросу кроме собственно возможностей OCSP также «традиционные» CRL-списки и сертификат(ы) CA;
• обновлена схема базы данных с целью обеспечения совместимости со всеми поддерживаемыми реализациями СУБД;
• улучшена поддержка Glassfish, в результате чего стало возможным запускать EJBCA под Glassfish с поддержкой СУБД Oracle;
• веб-интерфейс дополнен полезной возможностью указывать множество дополнительных информативных атрибутов при изменении настроек пользователей;
• появился Guide по супер-быстрой установке EJBCA 3.11 на Ubuntu 10.04 LTS (в пику гораздо более длинному стандартному QuickStart Guide'у).

В данном релизе, как и всегда, к вашим услугам:

• очень простая пошаговая документация со множеством примеров;
• широкий круг поддерживаемых платформ;
• отличная поддержка стандартов (например, очень приятно, что полноценно поддерживается LDAP);
• активное сообщество пользователей.

>>> Сайт программы

GnuTLS — это реализация протоколов TLS/SSL от проекта GNU. Cпустя год разработки, проект рад представить нам первый выпуск стабильной ветки: 2.10.0.

Среди изменений можно отметить:

• Поддержку безопасного выполнения операций согласования для установленного соединения (RFC 5746)
• Поддержку cryptodev (/dev/crypto)
• Новые API для криптографических функций
• Улучшенную документацию
• Улучшенную поддержку TLS 1.2
• Поддержку TLS билетов (tickets)

И многое другое, а так же множественные исправления ошибок.

GnuTLS примечателен, в основном, тем, что распространяется под лицензией LGPL, в отличии от другой свободной реализации TLS/SSL - OpenSSL, лицензия которого не совместима с лицензией GPL.

Загрузить исходные тексты.

>>> Подробности

Marsh Ray Steve Dispensa из компании PhoneFactor обнаружили критическую уязвимость в протоколах SSL/TLS, позволяющую злоумышленнику организовать подстановку своих данных в устанавливаемое между двумя точками защищенное соединение. Атака сводится к типичному man-in-the-middle. Основная проблема обнаруженной уязвимости состоит в том, что уязвимость связана с недоработками дизайна протокола TLS, а именно методом организации согласования параметров в установленных соединениях, и не зависит от конкретных реализаций протокола. Для OpenSSL уже выпущен патч который отключает операции согласования. Следует заметить, что без изменения протокола решить данную проблему невозможно.

Новость взята с opennet.ru

>>> Подробности

При помощи кластера из 200 PlayStation 3, были получены поддельные сертификаты, имеющие корректную подпись центра сертификации. Для подделки использован метод поиска коллизий в MD5 хешах. Уязвимыми оказались все сертификаты, удостоверенные центром сертификации через цифровую подпись MD5.

Первой отреагировала VeriSign, заявив о прекращении использования MD5 при подписывании сертификатов.

>>> Подробности