This article explains how you can set up an SSL vhost under Apache2 on Ubuntu 9.10 and Debian Lenny so that you can access the vhost over HTTPS (port 443). SSL is short for Secure Sockets Layer and is a cryptographic protocol that provides security for communications over networks by encrypting segments of network connections at the transport layer end-to-end. We use the mod_ssl Apache module here to provide strong cryptography for Apache2 via SSL by the help of the Open Source SSL toolkit OpenSSL.

Scoperta una vulnerabilità che affligge le versioni 6.06 LTS/7.10/8.04 LTS/8.10 di Ubuntu (inclusi Kubuntu, Edubuntu e Xubuntu). Pare che OpenSSL non esegua correttamente la verifica della firma sulle chiavi DSA ed ECDSA.

The OpenSSL Project is a collaborative effort to develop a robust, commercial-grade, full-featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols as well as a full-strength general purpose cryptography library.The project is managed by a worldwide community of volunteers that use the Internet to communicate, plan, and develop the OpenSSL toolkit and its related documentation.OpenSSL is based on the excellent SSLeay library developed by Eric A. Young and Tim J. Hudson. The OpenSSL toolkit is licensed under an Apache-style licence, which basically means that you are free to get and use it for commercial and non-commercial purposes subject to some simple license conditions.

Openssl 0.9.8g è il più potente sistema di cifratura Open Source per proteggere dati e connessioni di rete.OpenSSL nel suo complesso è composto da un insieme di funzioni di cifratura e da numerose utility che permettono di usarle praticamente.Grazie a questo toolkit è possibile inviare e-mail cifrate, comunicare in tutta sicurezza su Internet e proteggere i nostri file più importanti da sguardi indiscreti.

Recentemente ho realizzato un How To su come sfruttare il programma OpenSSL per realizzare un'infrastruttura PKI (Public Key Infrastructure) con cui generare i certificati digitali per poter consentire ad una persona di firmare e criptare digitalmente i propri messaggi email, accedere in modo sicuro (via SSL) alla propria casella di posta elettronica ed alla Webmail (utilizzando Postfix, Courier e SquirrelMail)

Gli sviluppatori di Linux, Apache Web server e di altri 250 progetti open source negli ultimi due anni hanno rimosso oltre 8.500 bug dal codice sorgente delle loro applicazioni. Ad affermarlo è una ricerca condotta utilizzando un’utility prodotta da Coverity Inc. e supportata anche dal Dipartimento per la Sicurezza Nazionale degli Stati Uniti.

In un messaggio inviato alla mailing list di Debian sulla sicurezza, Florian Weimer ha fatto notare la presenza di un bug nel pacchetto OpenSSL: il generatore di numeri casuali presente nel pacchetto, in realtà, non sarebbe efficace e le chiavi sarebbero prevedibili.

Appare oggi sul forum di Ubuntu-it l’avviso di una nuova vulnerabilità nelle chiavi OpenSSl, riporto di seguito l’annuncio di  DktrKranz sul forum ufficiale: E’ stata scoperta una vulnerabilità in OpenSSL per la quale è stata rilasciato un aggiornamento di sicurezza per tutte le versioni stabili di Ubuntu e Debian. Al momento, ci sono alcuni problemi con il pacchetto di Gutsy, ma il tutto verrà risolto in tempi brevissimi.Non appena aggiornato il pacchetto, provvedete immediatamente a creare una nuova coppia di chiavi SSL siccome vi è un alto rischio di uso improprio da parte di terzi, questo è particolarmente vero nei progetti su Launchpad (che fa uso delle chiavi per il push nei repository bzr) o nelle infrastrutture di Debian.

Una piccola intruduzione alla crittografia su sistemi Linux. L'erticolo prende in esame OpenSSL e OpenSSH, la generazione di chiavi asimmetriche, di certificati e del processo di certificazione da parte di una Certification Authority esterna.