Az amerikai CERT/CC (CERT Coordination Center) elemzése szerint a HTTPS forgalom elfogása nem megfelelő tanúsítványkezelés mellett komoly biztonsági kockázatot jelenthet.

Az Apple 2014. február 22-én frissítette az iOS 6-os illetve 7-es verzióját. A frissítés azért vált szükségessé, mert egy Stefan Esser nevű twitter felhasználónak sikerült kiaknáznia egy sérülékeny kódrészletet. A bejegyzésből kiderül, hogy a böngésző SSL ellenőrzése hibára fut, miközben a végeredmény még is sikeres lesz, ezzel bármilyen tanúsítvány elfogadása megoldhatóvá válik.

A National Security Agency (NSA) valóban lehallgatja az Internetet? A Microsoft és a Google is tagadja, hogy bármilyen szerepet is vállaltak volna a hírhedté vált PRISM ügyben, és a szóba került bizonyítékok sem utalnak erre egyértelműen. Azonban sokan úgy gondolják, hogy az NSA képes arra, hogy elfogja és feltörje az Secure-Socket Layer-rel (SSL) titkosított internetes adatforgalmat. És ehhez tulajdonképpen nincs is szükség egy "Mission Impossible" kommandóra, hacker-ekre vagy szuperszámítógépekre, hanem mindössze egy hitelkártya számra. Számos módszer létezik az SSL támadásra, amihez nem kell hamis SSL tanúsítvány, csaló hitelesítési szolgáltató (Certification Authority - CA) vagy éppen az ismert biztonsági szakértő Moxie Marlinspike man-in-the-middle (MitM) támadásainak variációi. Mindössze csak meg kell venni például a Blue Coat Systems cég ProxySG termékét, vagy akár az általuk nemrégiben megszerzett Netronome SSL appliance-t.

A 4,8 millió előfizetővel rendelkező szaúd-arábiai Mobily telekommunikációs cégnél azon dolgoznak, hogyan tudnák elfogni azokat a titkosított üzeneteket, amelyeket a felhasználók a Twitter-en, a Viber-en vagy más mobil alkalmazáson keresztül küldenek. A Moxie Marlinspike álnéven ismert titkosítási szakértő, aki számos biztonsági rést fedezett fel a weboldalakon használt secure sockets layer (SSL) protokollban, azt mondta, hogy a vállalat megkereste őt egy email-ben, amelyben azt állították, hogy a szabályzó hatóság írja elő a hálózaton átmenő titkosított adatforgalom monitorozását.

Két biztonsági kutató azt állítja, hogy kifejlesztettek egy új támadási módszert, amely segítségével fel tudják törni a HTTPS (Hypertext Transfer Protocol Secure) munkamenetben használt sütiket. Azok a kutatók, akik korábban létrehozták és bemutatták a BEAST (Browser Exploit Against SSL/TLS) nevű eszközt, amivel az SSL/TLS titkosítást fel tudták törni, most egy olyan új exploit-tal jelentkeztek, amely az összes telepített TLS verziót érinti. Az új támadási formának a CRIME nevet adták, amely a TLS 1.0 egy speciálisa képességének hibáján alapszik, bár azt nem fedték fel, hogy pontosan mi ez a feature. Állításuk szerint a TLS/SSL - ide értve a TLS 1.2-t is, amin a BEAST nem működött - sérülékeny.

A Google biztonsági kutatói egy olyan nagyobb javítást ajánlanak, amely a Secure Sockets réteg titkosítási (Secure Sockets Layer encryption) protokolljának biztonságát növeli, amelyet weboldalak milliói használnak a kommunikáció lehallgatása és meghamisítása ellen.

A Google bejelentette, a bejelentkezett felhasználók számára alapbeállítás lesz a keresések és a keresési találatok titkosítása. A felhasználó és a Google kereső szervere közti titkosított adatkommunikáció védelmet biztosít az ellen, hogy valaki "lehallgassa" a kereséseinket például egy nyílt, titkosítatlan Wifi hálózaton. A Secure Sockets Layer (SSL), a Google Maps kivételével minden keresésnél elérhető. A Google 2010 januárjában vezette be az SSL-t a Gmail szolgáltatáshoz és májustól volt elérhető opcionálisan a keresések titkosítása. Mostantól azonban a bejelentkezett felhasználóknak ez alapbeállítás lesz.

A Microsoft tegnap hozta nyilvánosságra 2588513 számú biztonsági javaslatát, amely a Secure Socket Layer (SSL) 3.0-ban és a Transport Layer Security (TLS) 1.0-ban található sérülékenységgel kapcsolatban tartalmaz információkat. A már korábban is ismert sérülékenységre két neves kutató, Thai Duong és Juliano Rizzo dolgozott ki egy exploit eszközt, amely a BEAST (Browser Expoit Against SSL / TLS) nevet kapta. A kutatók a múlthéten mutatták be az eszközt, melynek segítségével a támadó egy aktív HTTPS munkameneten keresztül képes lehallgatni a böngésző és a szerver közti adatkommunikációt és a munkamenethez tartozó sütikből visszafejteni az érintett felhasználó bejelentkezési nevét és jelszavát is. A demonstráció során a kutatóknak mindössze két percbe telt egy PayPal hozzáféréshez tartozó felhasználói név és jelszó megszerzése.

Két elismert biztonságtechnikai szakértő, Thai Duong és Juliano Rizzo kidolgozott egy technikát, amellyel feltörhető az interneten leggyakrabban használt TLS (Transport Layer Security) és SSL (Secure Sockets Layer) titkosítás. Ez a módszer biztosítja a biztonságos adatátvitelt gyakorlatilag az összes https-en keresztül elérhető szolgáltatás felé, kezdve a online banki szolgáltatásoktól a PayPal-on át a Gmail-ig. A két kutató a héten Buenos Airesben megrendezésre kerülő Ecoparty konferencián készül bemutatni BEAST (Browser Exploit Against SSL/TLS) névre keresztelt, a bizonyításhoz készített programját, amely képes egy lehallgatott adatfolyam egyetlen bájtját 2 másodperc alatt megfejteni, így például egy a PayPal hitelesítésnél használt 1000-2000 karakter hosszú adatcsomag feltörése alig fél órát vesz igénybe.

The DigiNotar és a Comodo SSL tanúsítványokat feltörő iráni hacker "felfedte" magát és egy levél interjúban motivációiról is beszélt. A ComodoHacker néven elhíresült 21 éves magát hazafinak valló fiatal egyszemélyes kiberháborút indított a nyugat ellen, hogy leleplezze az országban élő kormányellenes aktivistákat. A New York Times-nak adott interjúból kiderül, hogy a fiatal Teheránban tanult szoftver mérnöknek és legfőbb célja, hogy leleplezze az országban tevékenykedő nemzetellenes aktivistákat.