2020 Новости мира SSL технологий CabForum, правила выпуска сертификатов SSL и Code Sign для подписи програмного кода Cyber Security News Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Новости TLS/SSL и HTTPS на 04 липня 2020р.

17/06/2020 Компании под санкциями OFAC

Списков санкций, администрируемых OFAC идентифицированных как заблокированные в соответствии с EO 13599. Использование поиска по списку санкций не является заменой для проведения надлежащей юридической проверки. Использование списка санкций не ограничивает никакой уголовной или гражданской ответственности за любые действия, предпринятые в результате или в зависимости от такого использования. Источник: https://sanctionssearch.ofac.treas.gov/ 17.06.2020

NameAddressTypeProgr m(s) List
BM BANK PUBLIC JOINT STOCK COMPANY37/122 T. Shevchenko bldEntityUKRAINE-EO13662
PROMINVESTBANK12, Shevchenko l neEntityUKRAINE-EO13662
JSC SBERBANK OF RUSSIA46, Volodymyrsk streetEntityUKRAINE-EO13662
PJSC VTB BANK (KIEV)8/26, Shevchenk boulev rd/Pushkinsk streetEntityUKRAINE-EO13662
STATE CONCERN NATIONAL PRODUCTION AND AGRICULTURAL ASSOCIATION MASSANDRA6, str. Mira, MassandraEntityUKRAINE-EO13685
STATE ENTERPRISE MAGARACH OF THE NATIONAL INSTITUTE OF WINEBud. 9 vul. Chapaev EntityUKRAINE-EO13685
RESORT NIZHNYAYA OREANDAPgt Oreanda, Dom 12EntityUKRAINE-EO13685
STATE ENTERPRISE FACTORY OF SPARKLING WINE NOVY SVET1 Shaliapin Street, Novy Svet VillageEntityUKRAINE-EO13685
STATE ENTERPRISE UNIVERSAL-AVIA5, Aeroflotsk y StreetEntityUKRAINE-EO13685
CRIMEAN ENTERPRISE AZOV DISTILLERY PLANTBud. 40 vul. Zaliznychna, Smt AzovskeEntityUKRAINE-EO13685
JOINT STOCK COMPANY GENBANKOzerkovsk y Naberezhnay 12EntityUKRAINE-EO13685
OPEN JOINT STOCK COMPANY KRASNODAR REGIONAL INVESTMENT BANKUlitsa Mira 34EntityUKRAINE-EO13685
OPEN JOINT STOCK COMPANY COMMERCIAL BANK VERKHNEVOLZHSKYUlitsa Bratyev Orlovykh 1 EntityUKRAINE-EO13685
JOINT STOCK COMPANY SEVASTOPOLSKY MORSKOY BANK18 Brestsk StreetEntityUKRAINE-EO13685
STATE ENTERPRISE YALTA SEA TRADING PORTRoosevelt Street 3EntityUKRAINE-EO13685
STATE SHIPPING COMPANY KERCH SEA FERRYTselimbern y Street 16EntityUKRAINE-EO13685
STATE ENTERPRISE EVPATORIA SEA COMMERCIAL PORTMariners Square 1EntityUKRAINE-EO13685
STATE ENTERPRISE FEODOSIA SEA TRADING PORT14 Gorky StreetEntityUKRAINE-EO13685
STATE ENTERPRISE SEVASTOPOL SEA TRADING PORT3 Place Nakhimov EntityUKRAINE-EO13685
PRIVATE JOINT-STOCK COMPANY MAKO HOLDINGBohdan Khmelnytsky Avenue, Building 102, Voroshilovsky DistrictEntityUKRAINE-EO13660
AKTSIONERNOE OBSCHESTVO 'YALTINSKAYA KINODSTUDIYA'Ulitsa Mukhin , Building 3EntityUKRAINE-EO13685
BELNEFTEKHIM73 Dzerzhinskogo AvenueEntityBELARUS
UKRAINIAN-MEDITERRANEAN AIRLINES7 Shuly vsk StreetEntityIFSR, SDGT
CHERNOMORNEFTEGAZKirov / per. Sovnarkomovsk y , 52/1EntityUKRAINE-EO13660
FEODOSIYA ENTERPRISEFeodosiy , Geologicheskay str. 2EntityUKRAINE-EO13660
DONBASS PEOPLE'S MILITIAProspect Zasyadko.13EntityUKRAINE-EO13660
LUHANSK PEOPLE'S REPUBLICEntityUKRAINE-EO13660
DONETSK PEOPLE'S REPUBLICEntityUKRAINE-EO13660
PROFAKTOR, TOVBud, 22/28, vul. DzerzhynskogoEntityUKRAINE-EO13660
OPLOTEntityUKRAINE-EO13660
SOUTH-EAST MOVEMENTEntityUKRAINE-EO13660
NOVOROSSIYA PARTYEntityUKRAINE-EO13660
STATE ENTERPRISE KERCH SEA COMMERCIAL PORTKirov Street 28EntityUKRAINE-EO13685
OOO SHIPYARD 'ZALIV'4 T nkistov StreetEntityUKRAINE-EO13685
FEDERAL SUE SHIPYARD 'MORYE'1 Des ntnikov StreetEntityUKRAINE-EO13685
OAO SHIP REPAIR CENTER 'ZVEZDOCHKA'12, proyezd MashinostroiteleyEntityUKRAINE-EO13685
SUE RC 'FEODOSIA OPTICAL PLANT'Feodosi State Optic l Pl nt, 11 Moskovsk y StreetEntityUKRAINE-EO13685
OAO 'URANIS-RADIOSISTEMY'33 G, Vakulenchuk StreetEntityUKRAINE-EO13685
FAU 'GLAVGOSEKSPERTIZA ROSSII'Furk sovskiy Lane, building 6EntityUKRAINE-EO13685
SMT-Kul. Zoi Zhiltsovoy, d. 15, office 51EntityUKRAINE-EO13685
CRIMEAN RAILWAY34 Pavlenko StreetEntityUKRAINE-EO13685
CRIMEAN PORTS28 Kirova StreetEntityUKRAINE-EO13685
KPSK, OOO29 ul. K rl M rks EntityUKRAINE-EO13685
RIVIERA SUNRISE RESORT & SPALenina St. 2EntityUKRAINE-EO13685
CENTRAL REPUBLIC BANKProspekt Mira 8 EntityUKRAINE-EO13660
STATE BANK LUHANSK PEOPLE'S REPUBLICStr. T. G. Shevchenko, d. 1EntityUKRAINE-EO13660
TAATTA, AO36 ul. Chepalov EntityUKRAINE-EO13685
JOINT STOCK COMPANY BLACK SEA BANK OF DEVELOPMENT AND RECONSTRUCTION24 ul. Bolshevistsk y EntityUKRAINE-EO13685
JOINT STOCK COMMERCIAL BANK RUBLEVElokhovsky passage, Building 3, p. 2, Metro - B um nsk y EntityUKRAINE-EO13685
JOINT-STOCK COMPANY COMMERCIAL BANK NORTH CREDITBuilding 27, Herzen StreetEntityUKRAINE-EO13685
IS BANK, AOEldor dovsky per 7EntityUKRAINE-EO13685
VVB, PAO3A ul., 4-y Bastionnay EntityUKRAINE-EO13685
KHORS AIRCOMPANY60 Volunsk StreetEntityIFSR, SDGT
DART AIRLINES26 , Narodnogo Opolchenyi StreetEntityIFSR, SDGT
THIEVES-IN-LAWEntityTCO
KRYMTETS, AO1, ul. Montazhnay Pgt. GresovskiEntityUKRAINE-EO13685
LIMITED LIABILITY COMPANY INFRASTRUCTURE PROJECTS MANAGEMENT COMPANYSevastopolskay Street, House 41/2EntityUKRAINE-EO13685
JOINT STOCK COMPANY SANATORIUM AY-PETRIHouse 15, Alupkinskoye shosse, Urban Village KoreizEntityUKRAINE-EO13685
JOINT STOCK COMPANY SANATORIUM DYULBERHouse 19, Alupkinskoye shosse, KoreizEntityUKRAINE-EO13685
JOINT STOCK COMPANY SANATORIUM MISKHORHouse 9, Alupkinskoye shosse, KoreizEntityUKRAINE-EO13685
LIMITED LIABILITY COMPANY GARANT-SVHouse 9, General Ostryakov Street, Opolznevoye Vill geEntityUKRAINE-EO13685
MRIYA RESORT & SPA9, General Ostryakova Street, Opolznevoye Vill geEntityUKRAINE-EO13685
MINISTRY OF STATE SECURITYLuhanskEntityCAATSA - RUSSIA
AO ZAVOD FIOLENTHouse 34/2, Kievskay StreetEntityUKRAINE-EO13685
LLC SK CONSOL-STROI LTDHouse 16, Borodin StreetEntityUKRAINE-EO13685
GUP RK KTB SUDOKOMPOZITHouse 14, Kuibyshev StreetEntityUKRAINE-EO13685

25/05/2020 Aple сказа Эпл сделал

Apple заявил на февральском собрании Центра сертификации и браузеров в 2020 году о том, что они больше не будут принимать общедоступные сертификаты веб-сервера TLS, действительные в течение более 398 дней после 1 сентября 2020 года, на платформах Mac OS и iOS. Хотя Форум CA / B отклонил инициативу по сокращению срока действия публичных сертификатов TLS с двух до одного года, все же Apple решил в одностороннем порядке пойти по этому пути... Другие браузеры вероятно обсуждают аналогичный подход. Это непосредственно повлияет на все ЦС и владельцев сайта.

Владельцы веб-сайтов, которые в настоящее время используют двухлетние сертификаты SSL, после 1 сертября смогут их продлить только на один год. Любые сертификаты, которые в настоящее время действительны в течение двух лет и выпущены до 1 сентября, продолжат свою работу до скончания положенного срока.

Это изменение не затрагивают smime сертификаты, сертификаты для подписывание кода, сертификаты для подписи документов или любые другие виды сертификатов, не относящихся к TLS.

Чтобы избежать проблем с работой сайта, используйте наши инструменты для контроля работы вашего сертификата отслеживания сроков действия сертификатов, настройки уведомлений о ежедневном мониторинге сертификата вашего сайта

24/05/2020 Требования к доверенным сертификатам в iOS 13 и macOS 10.15

Все сертификаты сервера с TLS должны соответствовать этим требованиям безопасности в iOS 13 и macOS 10.15:

  1. Сертификаты сервера TLS и выдающие центры сертификации, использующие ключи RSA, должны использовать размеры ключей, превышающие или равные 2048 битам. Сертификаты, использующие ключи RSA размером менее 2048 бит, больше не являются доверенными для TLS.
  2. Сертификаты сервера TLS и выдающие CA должны использовать алгоритм хеширования из семейства SHA-2 в алгоритме подписи. Подписанные сертификаты SHA-1 больше не являются доверенными для TLS.
  3. Сертификаты сервера TLS должны представлять DNS-имя сервера в расширении Subject Alternative Name сертификата.
  4. CommonName сертификата больше не являются доверенным.
  5. Сертификаты сервера TLS должны содержать расширение ExtendedKeyUsage (EKU), содержащее OID id-kp-serverAuth.
  6. Сертификаты сервера TLS должны иметь срок действия 825 дней или менее

Соединения с серверами TLS, нарушающие эти требования могут привести к сбоям в сети, сбоям приложений и загрузке веб-сайтов в Safari в iOS 13 и macOS 10.15.

11/04/2020 С 2021 года Microsoft становится единственным поставщиком Kernel-Mode CodeSigning сертификатов подписи кода ядра

1 августа 2019 года Microsoft объявила, что Microsoft Trusted Root Program прекращает поддержку кросс-подписанных корневых сертификатов с возможностями подписи в режиме ядра. В 2021 году срок действия большинства подписанных сертификатов истекает.

Как это повлияет на ваши существующие сертификат подписи Kernel-Mode Code Signing

Вы можете продолжать использовать свой сертификат подписи кода следующим образом:

Если вам нужно подписать новые пакеты драйверов кода режима ядра после истечения срока действия кросс-подписанного сертификата, вы должны следовать обновленным инструкциям Microsoft по отправке оборудования.

*Если вы подпишете и отметите время timestamp для пакета драйвера кода режима ядра до истечения срока действия кросс-подписанного сертификата, его подпись будет продолжать работать после истечения срока действия кросс-подписанного сертификата!

Если вы только подпишете пакет драйвера кода режима ядра без таймштампа только до истечения срока действия кросс-подписанного сертификата, к которому он прикован, ваша подпись станет недействительной после истечения срока действия кросс-подписанного сертификата.

Expiration dates of DigiCert brand trusted cross-signed root certificates:

08/04/2020 Продукция под маркой Symantec будет недоступна после окончания апреля 2020.

SSL сертификаты серии Secure Site а также Symantec Code Signing сертификаты в дальнейшем представлены в группе DigiCert. Напомним, в этой серии сертификатов входят следующие:

19/03/2020 adgrafics некоторые инструменты для безопасности

16/03/2020 DigiCert и Covid-19 Готовность

"Мы понимаем, что это время повышенной озабоченности, и мы хотим заверить наших клиентов и партнеров в том, что мы готовы предоставить критически важные услуги и обеспечить бесперебойную работу ваших безопасных веб-операций. Мы стремимся и впредь предоставлять глобальные решения в области безопасности со знающими услугами поддержки клиентов и проверки.

В рамках наших усилий по обеспечению непрерывности бизнеса мы внедрили наш план борьбы с пандемией, который включает в себя снижение рисков и предоставление ресурсов на случай чрезвычайных ситуаций. Наши сетевые возможности будут продолжать поддерживать широкомасштабную удаленную работу наших сотрудников по мере необходимости. У нас также есть избыточные физические возможности и планы по глубине укомплектования штатов, если работники заболевают и нуждаются в самоизоляции. Поддержка по-прежнему будет доступна клиентам DigiCert 24/7.

Наша руководящая команда уделяет приоритетное внимание нашим операциям, пока продолжается пандемия COVID-19, и у нас есть ресурсы, необходимые для удовлетворения ваших потребностей.

Спасибо за ваш постоянный бизнес, и мы желаем вам всего наилучшего в это время. Если у вас возникнут вопросы, пожалуйста, не стесняйтесь обращаться к представителю вашего аккаунта, который будет внимателен к вашим проблемам."

https://www.digicert.com/digicert-and-covid-19-preparedness/

14/03/2020 adgrafics Рекомендации для руководителей компании

В самых суровых обстоятельствах, когда правительство пытается замедлить распространение вируса среди населения, киберпреступники не останавливаются. Они наращивают свои усилия, используя глобальный кризис здравоохранения и ситуацию в стране как возможность украсть информацию у людей, которые пытаются оставаться в курсе событий. Используя сайты с информацией о короновирусе они распространяют вредоносное по которое заражает ваш компьютер.

Для руководителей организаций: есть вероятность того, что вы, или некоторые пользователи вашей организации окажетесь на одном из этих сайтов.

  1. Держите сотрудников в курсе. Отправляйте информацию по официальным каналам, чтобы ваши сотрудники были в курсе последних новостей о Коронавирусе, чтобы они сами не искали ее. Также держите их в курсе любых тем на Coronavirus, таких как новые веб-сайты и мошенничество с электронной почтой.
  2. Поделитесь официальными ресурсами. Предоставьте сотрудникам ссылки на действующие официальные сайты и ресурсы для отслеживания вируса Коронавирус.
  3. Проинформируйте пользователей об опасностях фишинговых писем и веб-сайтов. Научите их распознавать подозрительные электронные письма и веб-сайты чтобы не стать жертвами.
  4. Получив запрос, сотрудники должны сначала переподтвердить запрос непосредственно у источника.
  5. Если вы не используете s'mime сертификаты для защиты почты сотрудники должны
    - внимательно проверять информацию заголовка электронной почты (поле «from»), например адрес электронной почты и имя домена, чтобы убедиться, что она соответствует контактной информации для этого лица.
    - никогда не отвечать на электронную почту отправителя напрямую.
    - должны получить вторичное подтверждение по телефону
    - используовать кодовое слово или фразу для аутентификации пользователя.

14/03/2020 adgrafics Рекомендации

Не переходите безоглядно на сайты о короновирусе - сначала проверьте дату покупки домена и наличие сертификата SSL OV или EV уровня. Сайты. использующие халявные бесплатные сертификаты или платные сертификаты уровня DV , сайты использующие домены приобретенные в последнее время могут использоваться для распространения интернет вирусов которые заражают ваш компьютер...

04/03/2020 Let's Encrypt отзывает множество своих ssl сертификатов

29 февраля 2020 года Jacob Hoffman-Andrews Let's Encrypt Senior Staff Technologist опубликовал на корпоративной странице информацию о том, что была обнаружена ошибка в рабочем коде CAA. Как выяснилось, 25.07.2019 года их ПО, которое проверяет запись в домене о центре сертификации, работало некорректно. В результате существовала возможность выдачи сертификата Let's Encrypt на доменызапись CAA в которых запрещала это. Ошибка была исправлена в течении нескольких часов после обнаружения, но так как прошло уже много времени с момента ее появления, все сертификаты выданные в этот период должны быть перевыпущены.
Сообщается, что Let's Encrypt направили электронные письма владельцам пострадавших сертификатов, с предупреждением о том, что их нужно обновить до 4 марта 2020 года.


20/02/2020 adgrafics Apple объявляет о изменении доверия Safari к сертификатам ssl

Вчера на CabForum Apple объявила что с 1 сентября 2020 года ее браузер Safari будет доверять только сертификатам со сроком действия 398 дней и менее. Решение Apple было односторонним.


14/02/2020 adgrafics Google Chrome будет блокировать загрузку HTTP файлов с сайтов HTTPS

Google объявил о том что Chrome 83 начнет блокировать «типы файлов, которые представляют наибольшую опасность для пользователей». Эти типы файлов включают исполняемые файлы, такие как .exe и .apk. В последующих выпусках Chrome Google будет включать другие типы файлов и, в конечном итоге, блокировать все типы файлов. После октября 2020 года вы не сможете загрузить любой файл, который обслуживается по протоколу HTTP, если щелкнуть ссылку загрузки по URL-адресу HTTPS.

Процесс разделен на шесть этапов:

  1. Chrome 81 (будет выпущен в марте 2020 года) - Chrome напечатает консольное сообщение, чтобы предупредить веб-мастеров обо всех смешанных загрузках контента.
  2. Chrome 82 (будет выпущен в апреле 2020 года) - Chrome начнет предупреждать пользователей о смешанных загрузках содержимого исполняемых файлов (.exe, .apk и т. д.) и выводить предупреждение консоли для всех других типов файлов.
  3. Chrome 83 (будет выпущен в июне 2020 года) - начнется фаза блокировки. Chrome начнет блокировать исполняемые файлы со смешанным содержимым. Кроме того, он будет предупреждать пользователей о смешанных архивах контента (.zip, .iso и т.д.). Консольные предупреждения для всех других типов файлов будут продолжаться.
  4. Chrome 84 (будет выпущен в августе 2020 года) - Chrome расширит свой блок-лист до архивов и образов дисков. Для других типов файлов со смешанным содержимым, таких как файлы .pdf и .docx, Chrome отобразит предупреждение для пользователей. Для изображений, аудио и видео файлов предупреждения консоли будут продолжаться.
  5. Chrome 85 (будет выпущен в сентябре 2020 г.) - Chrome заблокирует все файлы, кроме изображений, аудио и видеофайлов. Перед загрузкой этих файлов пользователям будет показано предупреждение.
  6. Chrome 86 (будет выпущен в октябре 2020 года) - Chrome заблокирует весь контент, передаваемый по незащищенному HTTP, при нажатии на ссылку для загрузки через веб-сайт HTTPS. Другими словами, Chrome заблокирует загрузку смешанного контента.

* Если веб-сайт использует HTTP, пользователи по-прежнему смогут загружать файлы HTTP. Обновление предназначено для сайтов HTTPS, которые используют URL-адреса загрузки HTTP, поскольку браузер показывает, что сайт является безопасным, но загрузка фактически не является безопасной.

12/02/2020 adgrafics Почему Украина внесена в список стран с высоким риском для бизнеса

United States Embargo - Bureau of Industry and Security: The Bureau of Industry and Security amended the Export Administration Regulations to impose a license requirement for the export and re-export to the Crimea region of Ukraine, and the transfer within the Crimea region of Ukraine, of all items subject to the EAR, other than food and medicine designated as EAR99. This embargo supersedes any other regulations. Reference Source: Electronic Code of Federal Regulations Title 15 Part 746.6.


23/01/2020 adgrafics Украина в списке стран с высоким риском для бизнеса

Таки *США внесли Украину в список стран с потенциально высоким риском при выпуске сертификатов SSL, CodeSign, PDF, s'mime. Это вызывает задержки в выпуске и продлении сертификатов для Украинских компаний. Так же теперь требуется предоставление скана паспорта администратора сертификата для CodeSign и EV SSL сертикатов

* см. Украина в списке с высоким риском 27/12/2019 adgrafics >>>

23/01/2020 adgrafics. Удаленное выполнение кода Microsoft Internet Explorer 0 дней (CVE-2020-0674)

После первого исправления, выпущенного 14 января посвященного уязвимости в CryptoAPI на прошлой неделе, Microsoft выпустила рекомендацию для обозревателя Internet Explorer 0-Day CVE-2020-0674, которую планируется исправить 28 января. Это еще одна из уязвимостей удаленного выполнения кода (RCE), связанных с механизмом сценариев.

20/01/2020 adgrafics. алгоритм RSA и безопасность

алгоритм RSA по прежнему надежен и безопасен. Опасность возникает в результате использования генераторов случайных чисел (RNG) с низкой энтропией которые генерируют простые числа с низкой случайностью, что приводит к генерации закрытых ключей, которые могут быть легко скомпрометированы.

20/01/2020 adgrafics. уязвимость Windows 10

NSA рекомендует установить недавно выпущенный патч от Microsoft для операционных систем Windows 10 и Windows Server (версии 2016 и 2019) как можно скорее на всех конечных точках и системах.

Патч от Microsoft устраняет уязвимость безопасности криптографической проверки и влияет как на шифрование потока связи SSL / TLS, так и на проверку подлинности файла Windows Authenticode. Злоумышленники, решившие использовать уязвимость CryptoAPI, могут использовать ее для:

18/01/2020 adgrafics. Предложения DigiCert для CA/B форума по EV сертификатам

Стандарты для сертификатов EV были разработаны в 2007 году, и хотя было несколько обновлений, до недавнего времени не было каких-либо серьезных изменений. Стандарт безопасности редко остается относительно неизменным в течение такого долгого времени, особенно если угрозы продолжают развиваться. DigiCert разработал ряд усовершенствований для улучшения сертификатов EV

  1. Наличие CAA записей о типе разрешенных уровней сертификатов
  2. Включить идентификаторы юридических лиц LEI в сертификаты EV
  3. Включить Торговые марки в сертификаты EV
  4. Разработка общего утвержденного для всех Центров сертификации белого списка надежных источников данных для проверки сертификатов EV.

16/01/2020 adgrafics. Мониторинг журналов CT для сертификата Secure Site Pro

DigiCert запустил услугу мониторинга журналов CT для расширенной защиты бренда. Услуга доступна для сертификата DigiCert SSL Secure Site Pro. Это первый продукт TLS, который предлагает мониторинг журналов CT наряду с другими ведущими функциями, такими как недавно представленный DigiCert набор тестов для постквантовых вычислений (PQC). DigiCert Secure Site Pro предлагает облачный сервис API, который непрерывно мониторит журналы CTотслеживая сертификаты, выпущенные за пределами утвержденных учетных записей компании, и уведомляет их о подозрительно выпущенных сертификатах

16/01/2020 adgrafics. Программа DigiCert MVP для Microsoft MVP и сотрудников

DigiCert предоставляет бесплатные сертификаты CodeSign для Microsoft MVPs и сотрудникам Microsoft для целей тестирования и для личного использования. https://www.digicert.com/friends/msmvp/

16/01/2020 adgrafics. GlobalSign получает сертификаты ISO27001 и ISO22301

БОСТОН, штат Массачусетс, GMO GlobalSign ( www.globalsign.com ), глобальный центр сертификации (CA) и ведущий поставщик решений для идентификации и безопасности для Интернета вещей (IoT), сегодня объявил, что компания достигла престижные сертификаты ISO27001 (управление информационной безопасностью), а также ISO22301 (управление непрерывностью бизнеса) от Британского института стандартов (BSI) Group после успешного завершения формального и обширного процесса аудита. GlobalSign не только является единственным глобальным центром сертификации, получившим сертификат ISO27001, но и одним из первых получил сертификаты ISO27001 и ISO22301.

Сертификация ISO / IEC 27001: 2013 является свидетельством того, что GlobalSign соответствует строгим международным стандартам в обеспечении конфиденциальности, целостности и доступности ресурсов и данных, доверенных GlobalSign.

10/01/2020 adgrafics. Чем закончатся 2019 года противоречия Центров сертификации и Браузеров?

2019 год был полон проблем и споров, поскольку взгляды центров сертификации и браузеров начали расходиться. Дискуссия вокруг расширенной проверки продолжалась, когда центры сертификации выдвинули ряд реформ, а браузеры - лишили их визуальных индикаторов. Голосование по сокращению максимальных сроков действия сертификата выявило различие интересов. Но хотя ни одно из этихобсуждений не закончилось, не говоря уже о приближающемся необходимом консенсусе, похоже, сделают 2020 год горяим ;)

Запланированные на январь 2020 года, некоторые из крупнейших и наиболее влиятельных компаний в Интернете - Microsoft, Apple, Mozilla, Google и Cloudflare - объявили о своих планах отказаться от поддержки TLS 1.0 и TLS 1.1 этим летом. Это идет по пятам PCI DSS, осуждающего TLS 1.0 в 2018 году. TLS 1.0 был изначально создан как преемник фатально ошибочного SSL 3.0. Несколько лет спустя его заменили на TLS 1.1. Обе версии протокола страдают от известных эксплойтов, которые могут сделать соединения уязвимыми при правильном наборе обстоятельств. TLS 1.2, выпущенный более десяти лет назад, по-прежнему считается безопасным, если вокруг него созданы правильные конфигурации. Но что на самом деле движет этим снижением, так это стремление к распространению TLS 1.3, самой последней версии стандарта, которая была окончательно опубликована летом 2018 года. 1.3 имеет множество улучшений по сравнению со своими предшественниками, в том числе сокращенное рукопожатие, уменьшение размера шифровальных наборов и обязательной совершенной прямой секретности. С точки зрения непрофессионала - это просто более безопасно.

Часть цифровой трансформации в мире повлекла за собой кодификацию прав на данные и ограничений в национальных законах и региональных организациях. Теперь у нас есть международная кладовая, полная мешанины акронимов - от PSD2 и GDPR до CCPA и PIPEDA - компании с глобальным присутствием в настоящее время сталкиваются с настоящей мешаниной нормативных актов и стандартов.

После непростого 2019 года одним из главных приоритетов Совета Безопасности CA на 2020 год будет поиск интуитивно понятного способа отображения информации об идентичности веб-сайтов - одна из двух четко определенных основных целей Форума CA / B. Исторически это было сделано с использованием сертификатов SSL / TLS расширенной проверки. Однако в прошлом году Google выступил с инициативой браузера отказаться от интерфейса EV, который отображал подтвержденные названия организаций в адресной строке таких браузеров, как Microsoft Edge, Google Chrome и Mozilla Firefox. Теперь, по сути, дебаты разделились на два разных вопроса. И не все стороны, похоже, ведут одинаковые дискуссии. Для браузеров вопрос заключается в том, является ли TLS лучшим способом представления этой информации. Google высказал мнение, что не хочет, чтобы SSL / TLS, который функционально защищал веб-соединения, зависел от надлежащей проверки и отображения идентификационной информации. Вместо этого он озвучил поддержку отдельных, дополнительных иерархий. Среди браузеров и ЦС на сегодня нет единого мнения о том, следует ли идентифицировать личность в сочетании с сертификатами TLS или представлять другим способом.

На эти и другие важные вопросы необходимо будет ответить в 2020 году. Несмотря на то, что у каждого предлагаемого решения есть свои плюсы и минусы, должен быть достигнут консенсус в отношении одной вещи: идентичность в Интернете никогда не была более важной, и все заинтересованные стороны должны найти умный способ показать это. Дьявол, конечно, в деталях.