Az amerikai CERT/CC (CERT Coordination Center) elemzése szerint a HTTPS forgalom elfogása nem megfelelő tanúsítványkezelés mellett komoly biztonsági kockázatot jelenthet.

A Let's Encrypt egy ingyenes, automatizált, nyílt forrású tanúsítvány hitelesítő az Internet Security Research Group (ISRG) jóvoltából. Bármilyen mennyiségű, bizalmas, személyes adat interneten keresztül történő forgalmazása minőségi titkosítást és biztonságot kíván. Erre hozták létre az SSL utódjaként a TLS-t. A protokollt minden böngésző és eszköz, minden szerver, minden adatközpont támogatja. A protokollra való átállás legnagyobb nehézségét a szerveroldali tanúsítványok jelentik. A szerveroldali tanúsítványok biztosítják, hogy a böngésző valóban azzal a szerverre

A 4,8 millió előfizetővel rendelkező szaúd-arábiai Mobily telekommunikációs cégnél azon dolgoznak, hogyan tudnák elfogni azokat a titkosított üzeneteket, amelyeket a felhasználók a Twitter-en, a Viber-en vagy más mobil alkalmazáson keresztül küldenek. A Moxie Marlinspike álnéven ismert titkosítási szakértő, aki számos biztonsági rést fedezett fel a weboldalakon használt secure sockets layer (SSL) protokollban, azt mondta, hogy a vállalat megkereste őt egy email-ben, amelyben azt állították, hogy a szabályzó hatóság írja elő a hálózaton átmenő titkosított adatforgalom monitorozását.

Az Egyesült Királyságban dolgozó két titkosítási szakértő egy új sérülékenységet fedezett fel a TLS-ben, abban a titkosítási rendszerben, amelyet az online üzletek és bankok használnak az adatátvitel védelmére. A most felfedezett tervezési hibát kihasználva a támadók megismerhetik a HTTPS weboldalakra bejelentkező felhasználók jelszavait vagy más bizalmas adatait. A University of London, Royal Holloway biztonsági csoportjának professzora Kenny Paterson és a Nadhem Alfardan PhD doktorandusz módszerét felhasználva fel lehet törni a TLS-sel titkosított forgalmat MitM (man-in-the-middle) támadás segítségével.

Két biztonsági kutató azt állítja, hogy kifejlesztettek egy új támadási módszert, amely segítségével fel tudják törni a HTTPS (Hypertext Transfer Protocol Secure) munkamenetben használt sütiket. Azok a kutatók, akik korábban létrehozták és bemutatták a BEAST (Browser Exploit Against SSL/TLS) nevű eszközt, amivel az SSL/TLS titkosítást fel tudták törni, most egy olyan új exploit-tal jelentkeztek, amely az összes telepített TLS verziót érinti. Az új támadási formának a CRIME nevet adták, amely a TLS 1.0 egy speciálisa képességének hibáján alapszik, bár azt nem fedték fel, hogy pontosan mi ez a feature. Állításuk szerint a TLS/SSL - ide értve a TLS 1.2-t is, amin a BEAST nem működött - sérülékeny.

A hétvégén több internetes oldalon is felröppent a hír, hogy állítólag az iráni kormány blokkolja a HTTPS biztonsági protokollt használó oldalakhoz történő hozzáférés és megakadályozzák azon szoftverek használatát, amelyekkel megkerülhető az Iránban működő országos tűzfal. A hírt a Hacker News számos Iránban élő felhasználója megerősítette, hozzászólásaikban jelezték, a HTTPS mellett az IMAP-tól a TLS-en át az SSH-ig minden titkosított csatorna tiltásra került.

A Microsoft tegnap hozta nyilvánosságra 2588513 számú biztonsági javaslatát, amely a Secure Socket Layer (SSL) 3.0-ban és a Transport Layer Security (TLS) 1.0-ban található sérülékenységgel kapcsolatban tartalmaz információkat. A már korábban is ismert sérülékenységre két neves kutató, Thai Duong és Juliano Rizzo dolgozott ki egy exploit eszközt, amely a BEAST (Browser Expoit Against SSL / TLS) nevet kapta. A kutatók a múlthéten mutatták be az eszközt, melynek segítségével a támadó egy aktív HTTPS munkameneten keresztül képes lehallgatni a böngésző és a szerver közti adatkommunikációt és a munkamenethez tartozó sütikből visszafejteni az érintett felhasználó bejelentkezési nevét és jelszavát is. A demonstráció során a kutatóknak mindössze két percbe telt egy PayPal hozzáféréshez tartozó felhasználói név és jelszó megszerzése.