Новости TLS/SSL и HTTPS за 2020 год

16/12/2020 Обновление рабочей группы S / MIME

В рамках форума CA / Browser была создана новая рабочая группа S / MIME. Основание этой группы - долгожданная новость для профессионалов в области безопасности во всем мире, поскольку она установит базовые требования для S / MIME и повысит видимость защищенной электронной почты в сообществе CA / B Forum.

23/11/2020 Firefox 83 с функцией HTTPS-Only Mode

В последней версии своего браузера Firefox 83, предлагается новая функция безопасности под названием HTTPS-Only Mode. Этот инструмент позволяет настроить ваш браузер на автоматическое подключение ко всем сайтам через HTTPS, если он доступен. Когда HTTPS недоступен, вы получите предупреждение. Для любого сайта, который вы посещаете, Firefox попытается установить полностью безопасное соединение. Если веб-сайт не поддерживает полностью безопасное соединение, Firefox выдаст предупреждение и запросит ваше разрешение перед подключением к сайту. Если сайт безопасен, но имеет «смешанное содержимое» (например, изображения или видео, которые не защищены), Firefox заблокирует незащищенные ресурсы, если вы не предоставите браузеру разрешение на отображение элементов. Вполне вероятно, что остальные основные браузеры последуют этому примеру и реализуют функцию HTTPS-Only Mode для активной защиты своих пользователей.

28/10/2020 замена промежуточных сертификатов DigiCert ICA

С 2 ноября 2020 года DigiCert заменяет ICA intermediate (CA chain) CA.

13/10/2020 Digicert и Norton Seal

Просто цитата: "Ми раді повідомити, що Digicert успішно домовились про багаторічне продовження Norton Seal, що дозволить вам надалі пропонувати та демонструвати цей цінний продукт та знаковий знак довіри. Наша співпраця з керівництвом NortonLifeLock гарантує, що не буде жодних збоїв у забезпеченні доступності та дисплеїв - особливо, що переходить у критичний Q4 і без того складного року. Права та використання Нортонської печатки продовжуються до 2023 року. Існуючі клієнти Secure Site і Secure Site Pro можуть продовжувати відображати Norton Seal. Будь-які нові клієнти Secure Site та Secure Site Pro матимуть права на друк протягом усього терміну дії свого сертифіката."

08/10/2020 Digicert открывает индивидуальный доступ к управлению сертификатом

Личный кабинет позволит клиентам войти в систему со своим идентификатором заказа или доменом и адресом электронной почты. Личный кабинет предоставит возможности обновления, перевыпуска, дублирования, отзыв и загрузка сертификата. Индивидуальный доступ планируется запустить в октябре.

11/09/2020 Digicert не может отображать в сертификатах официальное название Украинских компаний на английском языке

В связи с отсутствием графы "Название компании на английском языке" в новой версии "Єдиний державний реєстр юридичних осіб, фізичних осіб-підприємців та громадських формувань" https://usr.minjust.gov.ua/ в сертификатах OV и EV SSL, CodeSign, PDF, s'mime название организации из Украины может отображаться только в транслитерации ...

31/08/2020 DigiCert deprecated the Organizational Unit (OU)

Компания DigiCert исключила поле «Организационная единица» 31 августа 2020 года. Поле «Организационная единица» будет пустым во всех новых, обновленных и повторно выпущенных общедоступных сертификатах TLS. (Это не влияет на частные сертификаты TLS или другие типы сертификатов, отличных от TLS.)

26/08/2020 DigiCert прекращает поддержку поля OU

DigiCert прекращает поддержку поля «Организационная единица» «Отдел» «Департамент» (OU) Поле OU позволяет хранить дополнительные метаданные в сертификате, однако его предполагаемое назначение крайне ограничено и требует проверки. Чтобы избежать путаницы вокруг этого необязательного поля DigiCert удаляет его из будущих процессов заказа. Поле OU не будет отображаться в формах заказов, будет игнорироваться в запросах API и удалено во всех новых, обновленных и повторно выпущенных общедоступных сертификатах TLS. Это изменение не повлияет на ранее выданные сертификаты с действительным полем OU. Это не влияет на частные сертификаты TLS или другие типы сертификатов, отличных от TLS.

24/08/2020 Digicert не может выпустить EV сертификаты SSL для организаций из Украины

Минюст Украины с 1 августа начал реконструкцию сайта https://usr.minjust.gov.ua/... и... не уложился в намеченные сроки до 16 августа ;) В результате DigiCert не может выпускать сертификаты EV SSL для Украинских компаний потому что протокол подразумевает проверку компании в реестре на день выпуска сертификата. Минюст додал вишенку до тортика и ... закрыл доступ к сервису из за рубежа ...

22/08/2020 Digicert 27 августа прекращает прием заказов на двухлетние сертификаты SSL

Сертификаты многолетнего плана DigiCert® позволяют вашим клиентам размещать заказ на сертификат TLS / SSL на срок до шести лет. Хотя эти сертификаты все равно нужно будет заменять ежегодно в соответствии с отраслевыми рекомендациями, ваши клиенты могут избавиться от хлопот с ежегодными платежами за продление и планировать продление в удобное для них время, не теряя времени, за которое они заплатили. Поддержка многолетнего плана доступна для заказов на срок от 2 до 6 лет.

19/08/2020 Norton Seal исткает 16 октября.

В связи с соглашением о утрате прав Symantec срок действия печати Norton Seal истекает 16 октября. После этой даты печать Norton Seal будет заменена новой интеллектуальной печатью сайта DigiCert. Это изменение относится ко всем клиентам, использующим продукты Secure Site и Secure Site Pro, и относится только к Norton Seal.

Новая печать сайта будет содержать как новое изображение, так и новый скрипт, которые необходимы для доступа к печати. Более подробная информация о новой печати появится в ближайшее время, и на данный момент никаких действий не требуется.

10/08/2020 DigiCert сертификаты SSL для FATCA ISR IDAS

Подробное описание процедуры получения и использования сертификатов ссл для отправки сообщений в ISR IDAS согласно закона FATCA

• https://ssl.org.ua/org_ssl_fatca.html
• https://ssl.in.ua/in_certificate_ssl_irs_ides_fatca.html
• https://ssl.net.ua/net_fatca.html

15/08/2020 DigiCert email IP address update

Если ваша компания использует списки разрешений и фильтры электронной почты, обновите их до 13 сентября 2020 г., чтобы не пропустить важные электронные письма и обеспечить правильную работу служб DigiCert и интеграции API. Электронные письма CertCentral, такие как Certificate issuance, Order approval, Domain validation, Organization validation, Expiring certificate отпарвляются из URL mail .digicert. com новый IP address 216.168.244.37

15/08/2020 Новые IP сервисов DigiCert

IP 216.168.244.41

• Direct Cert Portal www .digicert. com
• CertCentral acme .digicert. com
• CertCentral Services API www .digicert. com
• Certificate Issuing Service (CIS) www .digicert. com
• Simple Certificate Enrollment Protocol (SCEP) www .digicert. com
• DigiCert website www .digicert. com

IP 216.168.244.41

• Direct Cert Portal API api .digicert. com 216.169.244.42
• API access ws .digicert. com 216.168.244.42
• Discovery API daas .digicert. com 216.168.244.42
• ACME acme .digicert. com 216.168.244.42
• ACME agent automation acme .digicert. com 216.168.244.42

01/08/2020 Norton seal end of use

DigiCert Norton seal перестанет использоваться с 16 октября 2020 года

31/07/2020 Окончание поддержки партнерского портала Symantec

DigiCert прекращает поддержку партнерского портала Symantec® с 31 июля 2020 года.

30/07/2020 выпуск двухлетних сертификатов в августе

1 вересня SSL сертифікати видаватимутся виключно терміном дії 1 рік. Сертифікаційниі центр Digicert (GeoTrust, thawte) припиняе видачу 2-річних сертифікатів невалідованим організаціям з 12 серпня, валідованим з 27 серпня.

30/07/2020 перевыпуск двухлетних сертификатов

Все многолетные SSL сертификаты, выданные до 27 августа, будут действовать до истечения срока их действия. Однако, перевыпуск SSL сертификата, сделанный после 27 августа, сократит срок сертификата до 397 дней. Без возврата средств

29/07/2020 Многолетние сертификаты SSL

Новые отраслевые правила допускают срок действия сертификата TLS / SSL только до 398 дней - один год с дополнительным месяцем для обработки продлений. В качестве решения этой проблемы доступен многолетний план DigiCert в качестве нового предложения, помогающего перейти на более короткий срок действия сертификата. ,

Сертификаты DigiCert® Multi-year Plan позволяют клиентам размещать заказ на сертификаты TLS / SSL на срок до шести лет. Несмотря на то, что эти сертификаты по-прежнему необходимо будет заменять ежегодно в соответствии с отраслевыми рекомендациями, клиенты могут избавиться от хлопот, связанных с ежегодными платежами за продление, и планировать продления по своему усмотрению, не теряя времени. Поддержка многолетнего плана доступна для заказов от 2 до 6 лет.

24/07/2020 BIMI для Gmail

Google делает BIMI индикаторы идентичности электронной почты частью своих новых обновлений безопасности. Google сотрудничает с DigiCert чтобы запустить пилотный BIMI для Gmail - использование индикаторов бренда для идентификации сообщений повысит безопасность электронной почты и позволит компаниям показывать свой логотип в почтовых ящиках клиентов. Это означает, что Gmail будет отображать логотип компании прямо в почтовом ящике пользователя после того, как электронное письмо пройдет несколько проверок безопасности. Это отлично подходит для брендов и отлично подходит для пользователей

BIMI, аббревиатура для индикаторов бренда для идентификации сообщений , является стандартом электронной почты, который позволяет вам отображать ваш назначенный, проверенный логотип бренда рядом с именем «from» в аутентифицированных электронных письмах. Хотя эта открытая система использует существующие протоколы аутентификации, такие как DMARC, DKIM или SPF, сама по себе она не является новым протоколом аутентификации.

22/07/2020 DigiCert ICA Update

23 июля 2020 года в период с 15:00 до 17:00 UTC (9:00 - 11:00 MDT) DigiCert заменит два (ICA), используемые для выдачи смешанных цепочек SHA-256 сертификатов GeoTrust и RapidSSL DV.

• GeoTrust RSA CA 2018 (SHA256RSA) (связывает до DigiCert Global Root CA)
• RapidSSL RSA CA 2018 (SHA256RSA) (связывает до DigiCert Global Root CA)

09/07/2020 IP-адреса почтового сервера DigiCert

С 13 июля начнется модернизация инфраструктуры электронной почты Digicert. Этот процесс затронет IP-адреса почтового сервера, которые используются для отправки сообщений о необходимости продлить действие устаревающих сертификатов. Клиентам Digicert необходимо обновить списки разрешенных адресов и почтовые фильтры, чтобы разрешить получение сообщений с указанных ниже адресов.

Адрес отправителя:

• admin@digicert.com
• updates@digicert.com

IP-адреса почтового сервера Digicert:

• 34.213.233.92
• 64.58.225.115
• 142.0.167.190
• 142.0.167.189
• 142.0.167.188
• 216.168.244.37

17/06/2020 Компании под санкциями OFAC

Списков санкций, администрируемых OFAC идентифицированных как заблокированные в соответствии с EO 13599. Использование поиска по списку санкций не является заменой для проведения надлежащей юридической проверки. Использование списка санкций не ограничивает никакой уголовной или гражданской ответственности за любые действия, предпринятые в результате или в зависимости от такого использования. Источник: https://sanctionssearch.ofac.treas.gov/ 17.06.2020

25/05/2020 Aple сказа Эпл сделал

Apple заявил на февральском собрании Центра сертификации и браузеров в 2020 году о том, что они больше не будут принимать общедоступные сертификаты веб-сервера TLS, действительные в течение более 398 дней после 1 сентября 2020 года, на платформах Mac OS и iOS. Хотя Форум CA / B отклонил инициативу по сокращению срока действия публичных сертификатов TLS с двух до одного года, все же Apple решил в одностороннем порядке пойти по этому пути... Другие браузеры вероятно обсуждают аналогичный подход. Это непосредственно повлияет на все ЦС и владельцев сайта.

Владельцы веб-сайтов, которые в настоящее время используют двухлетние сертификаты SSL, после 1 сертября смогут их продлить только на один год. Любые сертификаты, которые в настоящее время действительны в течение двух лет и выпущены до 1 сентября, продолжат свою работу до скончания положенного срока.

Это изменение не затрагивают smime сертификаты, сертификаты для подписывание кода, сертификаты для подписи документов или любые другие виды сертификатов, не относящихся к TLS.

Чтобы избежать проблем с работой сайта, используйте наши инструменты для контроля работы вашего сертификата отслеживания сроков действия сертификатов, настройки уведомлений о ежедневном мониторинге сертификата вашего сайта

24/05/2020 Требования к доверенным сертификатам в iOS 13 и macOS 10.15

Все сертификаты сервера с TLS должны соответствовать этим требованиям безопасности в iOS 13 и macOS 10.15:

1. Сертификаты сервера TLS и выдающие центры сертификации, использующие ключи RSA, должны использовать размеры ключей, превышающие или равные 2048 битам. Сертификаты, использующие ключи RSA размером менее 2048 бит, больше не являются доверенными для TLS.
2. Сертификаты сервера TLS и выдающие CA должны использовать алгоритм хеширования из семейства SHA-2 в алгоритме подписи. Подписанные сертификаты SHA-1 больше не являются доверенными для TLS.
3. Сертификаты сервера TLS должны представлять DNS-имя сервера в расширении Subject Alternative Name сертификата.
4. CommonName сертификата больше не являются доверенным.
5. Сертификаты сервера TLS должны содержать расширение ExtendedKeyUsage (EKU), содержащее OID id-kp-serverAuth.
6. Сертификаты сервера TLS должны иметь срок действия 825 дней или менее

Соединения с серверами TLS, нарушающие эти требования могут привести к сбоям в сети, сбоям приложений и загрузке веб-сайтов в Safari в iOS 13 и macOS 10.15.

11/04/2020 С 2021 года Microsoft становится единственным поставщиком Kernel-Mode CodeSigning сертификатов подписи кода ядра

Как это повлияет на ваши существующие сертификат подписи Kernel-Mode Code Signing

Вы можете продолжать использовать свой сертификат подписи кода следующим образом:

• Чтобы подписать non-driver code, пока он не истечет.*
• Подписывать kernel-mode driver packages до истечения срока действия кросс-подписанного сертификата.

Если вам нужно подписать новые пакеты драйверов кода режима ядра после истечения срока действия кросс-подписанного сертификата, вы должны следовать обновленным инструкциям Microsoft по отправке оборудования.

*Если вы подпишете и отметите время timestamp для пакета драйвера кода режима ядра до истечения срока действия кросс-подписанного сертификата, его подпись будет продолжать работать после истечения срока действия кросс-подписанного сертификата!

Если вы только подпишете пакет драйвера кода режима ядра без таймштампа только до истечения срока действия кросс-подписанного сертификата, к которому он прикован, ваша подпись станет недействительной после истечения срока действия кросс-подписанного сертификата.

Expiration dates of DigiCert brand trusted cross-signed root certificates:

• DigiCert Assured ID Root CA -- Expires 4/15/2021
• DigiCert High Assurance EV Root CA -- Expires 4/15/2021
• DigiCert Global Root CA -- Expires 4/15/2021
• GeoTrust Primary Certification Authority -- Expires 2/22/2021
• GeoTrust Primary Certification Authority - G3 -- Expires 2/22/2021
• Thawte Primary Root CA -- Expires 2/22/2021
• Thawte Primary Root CA - G3 -- Expires 2/22/2021
• VeriSign Class 3 Public Primary Certification Authority - G5 -- Expires 2/22/2021
• VeriSign Universal Root Certification Authority -- Expires 2/22/2021

08/04/2020 Продукция под маркой Symantec будет недоступна после окончания апреля 2020.

SSL сертификаты серии Secure Site а также Symantec Code Signing сертификаты в дальнейшем представлены в группе DigiCert. Напомним, в этой серии сертификатов входят следующие:

• Secure Site
• Secure Site SAN
• Secure Site EV
• Secure Site EV SAN
• Secure Site Wildcard
• Secure Site Pro
• Secure Site Pro SAN
• Secure Site Pro EV
• Secure Site Pro EV SAN
• Secure Site Pro Wildcard
• Code Signing
• Code Signing EV

19/03/2020 adgrafics некоторые инструменты для безопасности

• https://https.com.ua/https_checker.html - , здесь вы може посмотреть какой сертификат использует сайт
• https://hostmaster.ua/ - здесь вы можете посмотреть когда зарегистрирован домен в Украинской зоне UA, COM.UA, NET.UA, ORG.UA, GOV.UA
• https://who.is/ - здесь информация о доменах в международных зонах

16/03/2020 DigiCert и Covid-19 Готовность

"Мы понимаем, что это время повышенной озабоченности, и мы хотим заверить наших клиентов и партнеров в том, что мы готовы предоставить критически важные услуги и обеспечить бесперебойную работу ваших безопасных веб-операций. Мы стремимся и впредь предоставлять глобальные решения в области безопасности со знающими услугами поддержки клиентов и проверки.

В рамках наших усилий по обеспечению непрерывности бизнеса мы внедрили наш план борьбы с пандемией, который включает в себя снижение рисков и предоставление ресурсов на случай чрезвычайных ситуаций. Наши сетевые возможности будут продолжать поддерживать широкомасштабную удаленную работу наших сотрудников по мере необходимости. У нас также есть избыточные физические возможности и планы по глубине укомплектования штатов, если работники заболевают и нуждаются в самоизоляции. Поддержка по-прежнему будет доступна клиентам DigiCert 24/7.

Наша руководящая команда уделяет приоритетное внимание нашим операциям, пока продолжается пандемия COVID-19, и у нас есть ресурсы, необходимые для удовлетворения ваших потребностей.

Спасибо за ваш постоянный бизнес, и мы желаем вам всего наилучшего в это время. Если у вас возникнут вопросы, пожалуйста, не стесняйтесь обращаться к представителю вашего аккаунта, который будет внимателен к вашим проблемам."

https://www.digicert.com/digicert-and-covid-19-preparedness/

14/03/2020 adgrafics Рекомендации для руководителей компании

В самых суровых обстоятельствах, когда правительство пытается замедлить распространение вируса среди населения, киберпреступники не останавливаются. Они наращивают свои усилия, используя глобальный кризис здравоохранения и ситуацию в стране как возможность украсть информацию у людей, которые пытаются оставаться в курсе событий. Используя сайты с информацией о короновирусе они распространяют вредоносное по которое заражает ваш компьютер.

Для руководителей организаций: есть вероятность того, что вы, или некоторые пользователи вашей организации окажетесь на одном из этих сайтов.

1. Держите сотрудников в курсе. Отправляйте информацию по официальным каналам, чтобы ваши сотрудники были в курсе последних новостей о Коронавирусе, чтобы они сами не искали ее. Также держите их в курсе любых тем на Coronavirus, таких как новые веб-сайты и мошенничество с электронной почтой.
2. Поделитесь официальными ресурсами. Предоставьте сотрудникам ссылки на действующие официальные сайты и ресурсы для отслеживания вируса Коронавирус.
3. Проинформируйте пользователей об опасностях фишинговых писем и веб-сайтов. Научите их распознавать подозрительные электронные письма и веб-сайты чтобы не стать жертвами.
4. Получив запрос, сотрудники должны сначала переподтвердить запрос непосредственно у источника.
5. Если вы не используете s'mime сертификаты для защиты почты сотрудники должны
   - внимательно проверять информацию заголовка электронной почты (поле «from»), например адрес электронной почты и имя домена, чтобы убедиться, что она соответствует контактной информации для этого лица.
   - никогда не отвечать на электронную почту отправителя напрямую.
   - должны получить вторичное подтверждение по телефону
   - используовать кодовое слово или фразу для аутентификации пользователя.

14/03/2020 adgrafics Рекомендации

Не переходите безоглядно на сайты о короновирусе - сначала проверьте дату покупки домена и наличие сертификата SSL OV или EV уровня. Сайты. использующие халявные бесплатные сертификаты или платные сертификаты уровня DV , сайты использующие домены приобретенные в последнее время могут использоваться для распространения интернет вирусов которые заражают ваш компьютер...

04/03/2020 Let's Encrypt отзывает множество своих ssl сертификатов

29 февраля 2020 года Jacob Hoffman-Andrews Let's Encrypt Senior Staff Technologist опубликовал на корпоративной странице информацию о том, что была обнаружена ошибка в рабочем коде CAA. Как выяснилось, 25.07.2019 года их ПО, которое проверяет запись в домене о центре сертификации, работало некорректно. В результате существовала возможность выдачи сертификата Let's Encrypt на доменызапись CAA в которых запрещала это. Ошибка была исправлена в течении нескольких часов после обнаружения, но так как прошло уже много времени с момента ее появления, все сертификаты выданные в этот период должны быть перевыпущены.
Сообщается, что Let's Encrypt направили электронные письма владельцам пострадавших сертификатов, с предупреждением о том, что их нужно обновить до 4 марта 2020 года.

20/02/2020 adgrafics Apple объявляет о изменении доверия Safari к сертификатам ssl

Вчера на CabForum Apple объявила что с 1 сентября 2020 года ее браузер Safari будет доверять только сертификатам со сроком действия 398 дней и менее. Решение Apple было односторонним.

14/02/2020 adgrafics Google Chrome будет блокировать загрузку HTTP файлов с сайтов HTTPS

Google объявил о том что Chrome 83 начнет блокировать «типы файлов, которые представляют наибольшую опасность для пользователей». Эти типы файлов включают исполняемые файлы, такие как .exe и .apk. В последующих выпусках Chrome Google будет включать другие типы файлов и, в конечном итоге, блокировать все типы файлов. После октября 2020 года вы не сможете загрузить любой файл, который обслуживается по протоколу HTTP, если щелкнуть ссылку загрузки по URL-адресу HTTPS.

Процесс разделен на шесть этапов:

1. Chrome 81 (будет выпущен в марте 2020 года) - Chrome напечатает консольное сообщение, чтобы предупредить веб-мастеров обо всех смешанных загрузках контента.
2. Chrome 82 (будет выпущен в апреле 2020 года) - Chrome начнет предупреждать пользователей о смешанных загрузках содержимого исполняемых файлов (.exe, .apk и т. д.) и выводить предупреждение консоли для всех других типов файлов.
3. Chrome 83 (будет выпущен в июне 2020 года) - начнется фаза блокировки. Chrome начнет блокировать исполняемые файлы со смешанным содержимым. Кроме того, он будет предупреждать пользователей о смешанных архивах контента (.zip, .iso и т.д.). Консольные предупреждения для всех других типов файлов будут продолжаться.
4. Chrome 84 (будет выпущен в августе 2020 года) - Chrome расширит свой блок-лист до архивов и образов дисков. Для других типов файлов со смешанным содержимым, таких как файлы .pdf и .docx, Chrome отобразит предупреждение для пользователей. Для изображений, аудио и видео файлов предупреждения консоли будут продолжаться.
5. Chrome 85 (будет выпущен в сентябре 2020 г.) - Chrome заблокирует все файлы, кроме изображений, аудио и видеофайлов. Перед загрузкой этих файлов пользователям будет показано предупреждение.
6. Chrome 86 (будет выпущен в октябре 2020 года) - Chrome заблокирует весь контент, передаваемый по незащищенному HTTP, при нажатии на ссылку для загрузки через веб-сайт HTTPS. Другими словами, Chrome заблокирует загрузку смешанного контента.

* Если веб-сайт использует HTTP, пользователи по-прежнему смогут загружать файлы HTTP. Обновление предназначено для сайтов HTTPS, которые используют URL-адреса загрузки HTTP, поскольку браузер показывает, что сайт является безопасным, но загрузка фактически не является безопасной.

12/02/2020 adgrafics Почему Украина внесена в список стран с высоким риском для бизнеса

United States Embargo - Bureau of Industry and Security: The Bureau of Industry and Security amended the Export Administration Regulations to impose a license requirement for the export and re-export to the Crimea region of Ukraine, and the transfer within the Crimea region of Ukraine, of all items subject to the EAR, other than food and medicine designated as EAR99. This embargo supersedes any other regulations. Reference Source: Electronic Code of Federal Regulations Title 15 Part 746.6.

23/01/2020 adgrafics Украина в списке стран с высоким риском для бизнеса

Таки *США внесли Украину в список стран с потенциально высоким риском при выпуске сертификатов SSL, CodeSign, PDF, s'mime. Это вызывает задержки в выпуске и продлении сертификатов для Украинских компаний. Так же теперь требуется предоставление скана паспорта администратора сертификата для CodeSign и EV SSL сертикатов

* см. Украина в списке с высоким риском 27/12/2019 adgrafics >>>

23/01/2020 adgrafics. Удаленное выполнение кода Microsoft Internet Explorer 0 дней (CVE-2020-0674)

После первого исправления, выпущенного 14 января посвященного уязвимости в CryptoAPI на прошлой неделе, Microsoft выпустила рекомендацию для обозревателя Internet Explorer 0-Day CVE-2020-0674, которую планируется исправить 28 января. Это еще одна из уязвимостей удаленного выполнения кода (RCE), связанных с механизмом сценариев.

20/01/2020 adgrafics. алгоритм RSA и безопасность

алгоритм RSA по прежнему надежен и безопасен. Опасность возникает в результате использования генераторов случайных чисел (RNG) с низкой энтропией которые генерируют простые числа с низкой случайностью, что приводит к генерации закрытых ключей, которые могут быть легко скомпрометированы.

20/01/2020 adgrafics. уязвимость Windows 10

NSA рекомендует установить недавно выпущенный патч от Microsoft для операционных систем Windows 10 и Windows Server (версии 2016 и 2019) как можно скорее на всех конечных точках и системах.

Патч от Microsoft устраняет уязвимость безопасности криптографической проверки и влияет как на шифрование потока связи SSL / TLS, так и на проверку подлинности файла Windows Authenticode. Злоумышленники, решившие использовать уязвимость CryptoAPI, могут использовать ее для:

• взлома сетевых соединений для проведения атак типа «человек посередине» (MitM) и поставить под угрозу конфиденциальную информацию
• доставки вредоносного исполняемого кода;
• запрета браузерам, использующим CryptoAPI, проверять вредоносные сертификаты, созданные для несанкционированного имени хоста
• путем подмены, появления видимых как законные и доверенные лица, чтобы заставить пользователей взаимодействовать и загружать вредоносный контент через электронную почту и фишинговые сайты.

18/01/2020 adgrafics. Предложения DigiCert для CA/B форума по EV сертификатам

Стандарты для сертификатов EV были разработаны в 2007 году, и хотя было несколько обновлений, до недавнего времени не было каких-либо серьезных изменений. Стандарт безопасности редко остается относительно неизменным в течение такого долгого времени, особенно если угрозы продолжают развиваться. DigiCert разработал ряд усовершенствований для улучшения сертификатов EV

1. Наличие CAA записей о типе разрешенных уровней сертификатов
2. Включить идентификаторы юридических лиц LEI в сертификаты EV
3. Включить Торговые марки в сертификаты EV
4. Разработка общего утвержденного для всех Центров сертификации белого списка надежных источников данных для проверки сертификатов EV.

16/01/2020 adgrafics. Мониторинг журналов CT для сертификата Secure Site Pro

DigiCert запустил услугу мониторинга журналов CT для расширенной защиты бренда. Услуга доступна для сертификата DigiCert SSL Secure Site Pro. Это первый продукт TLS, который предлагает мониторинг журналов CT наряду с другими ведущими функциями, такими как недавно представленный DigiCert набор тестов для постквантовых вычислений (PQC). DigiCert Secure Site Pro предлагает облачный сервис API, который непрерывно мониторит журналы CTотслеживая сертификаты, выпущенные за пределами утвержденных учетных записей компании, и уведомляет их о подозрительно выпущенных сертификатах

16/01/2020 adgrafics. Программа DigiCert MVP для Microsoft MVP и сотрудников

DigiCert предоставляет бесплатные сертификаты CodeSign для Microsoft MVPs и сотрудникам Microsoft для целей тестирования и для личного использования. https://www.digicert.com/friends/msmvp/

16/01/2020 adgrafics. GlobalSign получает сертификаты ISO27001 и ISO22301

БОСТОН, штат Массачусетс, GMO GlobalSign ( www.globalsign.com ), глобальный центр сертификации (CA) и ведущий поставщик решений для идентификации и безопасности для Интернета вещей (IoT), сегодня объявил, что компания достигла престижные сертификаты ISO27001 (управление информационной безопасностью), а также ISO22301 (управление непрерывностью бизнеса) от Британского института стандартов (BSI) Group после успешного завершения формального и обширного процесса аудита. GlobalSign не только является единственным глобальным центром сертификации, получившим сертификат ISO27001, но и одним из первых получил сертификаты ISO27001 и ISO22301.

Сертификация ISO / IEC 27001: 2013 является свидетельством того, что GlobalSign соответствует строгим международным стандартам в обеспечении конфиденциальности, целостности и доступности ресурсов и данных, доверенных GlobalSign.

10/01/2020 adgrafics. Чем закончатся 2019 года противоречия Центров сертификации и Браузеров?

2019 год был полон проблем и споров, поскольку взгляды центров сертификации и браузеров начали расходиться. Дискуссия вокруг расширенной проверки продолжалась, когда центры сертификации выдвинули ряд реформ, а браузеры - лишили их визуальных индикаторов. Голосование по сокращению максимальных сроков действия сертификата выявило различие интересов. Но хотя ни одно из этихобсуждений не закончилось, не говоря уже о приближающемся необходимом консенсусе, похоже, сделают 2020 год горяим ;)

Запланированные на январь 2020 года, некоторые из крупнейших и наиболее влиятельных компаний в Интернете - Microsoft, Apple, Mozilla, Google и Cloudflare - объявили о своих планах отказаться от поддержки TLS 1.0 и TLS 1.1 этим летом. Это идет по пятам PCI DSS, осуждающего TLS 1.0 в 2018 году. TLS 1.0 был изначально создан как преемник фатально ошибочного SSL 3.0. Несколько лет спустя его заменили на TLS 1.1. Обе версии протокола страдают от известных эксплойтов, которые могут сделать соединения уязвимыми при правильном наборе обстоятельств. TLS 1.2, выпущенный более десяти лет назад, по-прежнему считается безопасным, если вокруг него созданы правильные конфигурации. Но что на самом деле движет этим снижением, так это стремление к распространению TLS 1.3, самой последней версии стандарта, которая была окончательно опубликована летом 2018 года. 1.3 имеет множество улучшений по сравнению со своими предшественниками, в том числе сокращенное рукопожатие, уменьшение размера шифровальных наборов и обязательной совершенной прямой секретности. С точки зрения непрофессионала - это просто более безопасно.

Часть цифровой трансформации в мире повлекла за собой кодификацию прав на данные и ограничений в национальных законах и региональных организациях. Теперь у нас есть международная кладовая, полная мешанины акронимов - от PSD2 и GDPR до CCPA и PIPEDA - компании с глобальным присутствием в настоящее время сталкиваются с настоящей мешаниной нормативных актов и стандартов.

После непростого 2019 года одним из главных приоритетов Совета Безопасности CA на 2020 год будет поиск интуитивно понятного способа отображения информации об идентичности веб-сайтов - одна из двух четко определенных основных целей Форума CA / B. Исторически это было сделано с использованием сертификатов SSL / TLS расширенной проверки. Однако в прошлом году Google выступил с инициативой браузера отказаться от интерфейса EV, который отображал подтвержденные названия организаций в адресной строке таких браузеров, как Microsoft Edge, Google Chrome и Mozilla Firefox. Теперь, по сути, дебаты разделились на два разных вопроса. И не все стороны, похоже, ведут одинаковые дискуссии. Для браузеров вопрос заключается в том, является ли TLS лучшим способом представления этой информации. Google высказал мнение, что не хочет, чтобы SSL / TLS, который функционально защищал веб-соединения, зависел от надлежащей проверки и отображения идентификационной информации. Вместо этого он озвучил поддержку отдельных, дополнительных иерархий. Среди браузеров и ЦС на сегодня нет единого мнения о том, следует ли идентифицировать личность в сочетании с сертификатами TLS или представлять другим способом.

На эти и другие важные вопросы необходимо будет ответить в 2020 году. Несмотря на то, что у каждого предлагаемого решения есть свои плюсы и минусы, должен быть достигнут консенсус в отношении одной вещи: идентичность в Интернете никогда не была более важной, и все заинтересованные стороны должны найти умный способ показать это. Дьявол, конечно, в деталях.