2020 Новости мира SSL технологий CabForum, правила выпуска сертификатов SSL и Code Sign для подписи програмного кода Cyber Security News Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Новости TLS/SSL и HTTPS на 04 квітня 2020р.

19/03/2020 adgrafics некоторые инструменты для безопасности

16/03/2020 DigiCert и Covid-19 Готовность

"Мы понимаем, что это время повышенной озабоченности, и мы хотим заверить наших клиентов и партнеров в том, что мы готовы предоставить критически важные услуги и обеспечить бесперебойную работу ваших безопасных веб-операций. Мы стремимся и впредь предоставлять глобальные решения в области безопасности со знающими услугами поддержки клиентов и проверки.

В рамках наших усилий по обеспечению непрерывности бизнеса мы внедрили наш план борьбы с пандемией, который включает в себя снижение рисков и предоставление ресурсов на случай чрезвычайных ситуаций. Наши сетевые возможности будут продолжать поддерживать широкомасштабную удаленную работу наших сотрудников по мере необходимости. У нас также есть избыточные физические возможности и планы по глубине укомплектования штатов, если работники заболевают и нуждаются в самоизоляции. Поддержка по-прежнему будет доступна клиентам DigiCert 24/7.

Наша руководящая команда уделяет приоритетное внимание нашим операциям, пока продолжается пандемия COVID-19, и у нас есть ресурсы, необходимые для удовлетворения ваших потребностей.

Спасибо за ваш постоянный бизнес, и мы желаем вам всего наилучшего в это время. Если у вас возникнут вопросы, пожалуйста, не стесняйтесь обращаться к представителю вашего аккаунта, который будет внимателен к вашим проблемам."

https://www.digicert.com/digicert-and-covid-19-preparedness/

14/03/2020 adgrafics Рекомендации для руководителей компании

В самых суровых обстоятельствах, когда правительство пытается замедлить распространение вируса среди населения, киберпреступники не останавливаются. Они наращивают свои усилия, используя глобальный кризис здравоохранения и ситуацию в стране как возможность украсть информацию у людей, которые пытаются оставаться в курсе событий. Используя сайты с информацией о короновирусе они распространяют вредоносное по которое заражает ваш компьютер.

Для руководителей организаций: есть вероятность того, что вы, или некоторые пользователи вашей организации окажетесь на одном из этих сайтов.

  1. Держите сотрудников в курсе. Отправляйте информацию по официальным каналам, чтобы ваши сотрудники были в курсе последних новостей о Коронавирусе, чтобы они сами не искали ее. Также держите их в курсе любых тем на Coronavirus, таких как новые веб-сайты и мошенничество с электронной почтой.
  2. Поделитесь официальными ресурсами. Предоставьте сотрудникам ссылки на действующие официальные сайты и ресурсы для отслеживания вируса Коронавирус.
  3. Проинформируйте пользователей об опасностях фишинговых писем и веб-сайтов. Научите их распознавать подозрительные электронные письма и веб-сайты чтобы не стать жертвами.
  4. Получив запрос, сотрудники должны сначала переподтвердить запрос непосредственно у источника.
  5. Если вы не используете s'mime сертификаты для защиты почты сотрудники должны
    - внимательно проверять информацию заголовка электронной почты (поле «from»), например адрес электронной почты и имя домена, чтобы убедиться, что она соответствует контактной информации для этого лица.
    - никогда не отвечать на электронную почту отправителя напрямую.
    - должны получить вторичное подтверждение по телефону
    - используовать кодовое слово или фразу для аутентификации пользователя.

14/03/2020 adgrafics Рекомендации

Не переходите безоглядно на сайты о короновирусе - сначала проверьте дату покупки домена и наличие сертификата SSL OV или EV уровня. Сайты. использующие халявные бесплатные сертификаты или платные сертификаты уровня DV , сайты использующие домены приобретенные в последнее время могут использоваться для распространения интернет вирусов которые заражают ваш компьютер...

04/03/2020 Let's Encrypt отзывает множество своих ssl сертификатов

29 февраля 2020 года Jacob Hoffman-Andrews Let's Encrypt Senior Staff Technologist опубликовал на корпоративной странице информацию о том, что была обнаружена ошибка в рабочем коде CAA. Как выяснилось, 25.07.2019 года их ПО, которое проверяет запись в домене о центре сертификации, работало некорректно. В результате существовала возможность выдачи сертификата Let's Encrypt на доменызапись CAA в которых запрещала это. Ошибка была исправлена в течении нескольких часов после обнаружения, но так как прошло уже много времени с момента ее появления, все сертификаты выданные в этот период должны быть перевыпущены.
Сообщается, что Let's Encrypt направили электронные письма владельцам пострадавших сертификатов, с предупреждением о том, что их нужно обновить до 4 марта 2020 года.


20/02/2020 adgrafics Apple объявляет о изменении доверия Safari к сертификатам ssl

Вчера на CabForum Apple объявила что с 1 сентября 2020 года ее браузер Safari будет доверять только сертификатам со сроком действия 398 дней и менее. Решение Apple было односторонним.


14/02/2020 adgrafics Google Chrome будет блокировать загрузку HTTP файлов с сайтов HTTPS

Google объявил о том что Chrome 83 начнет блокировать «типы файлов, которые представляют наибольшую опасность для пользователей». Эти типы файлов включают исполняемые файлы, такие как .exe и .apk. В последующих выпусках Chrome Google будет включать другие типы файлов и, в конечном итоге, блокировать все типы файлов. После октября 2020 года вы не сможете загрузить любой файл, который обслуживается по протоколу HTTP, если щелкнуть ссылку загрузки по URL-адресу HTTPS.

Процесс разделен на шесть этапов:

  1. Chrome 81 (будет выпущен в марте 2020 года) - Chrome напечатает консольное сообщение, чтобы предупредить веб-мастеров обо всех смешанных загрузках контента.
  2. Chrome 82 (будет выпущен в апреле 2020 года) - Chrome начнет предупреждать пользователей о смешанных загрузках содержимого исполняемых файлов (.exe, .apk и т. д.) и выводить предупреждение консоли для всех других типов файлов.
  3. Chrome 83 (будет выпущен в июне 2020 года) - начнется фаза блокировки. Chrome начнет блокировать исполняемые файлы со смешанным содержимым. Кроме того, он будет предупреждать пользователей о смешанных архивах контента (.zip, .iso и т.д.). Консольные предупреждения для всех других типов файлов будут продолжаться.
  4. Chrome 84 (будет выпущен в августе 2020 года) - Chrome расширит свой блок-лист до архивов и образов дисков. Для других типов файлов со смешанным содержимым, таких как файлы .pdf и .docx, Chrome отобразит предупреждение для пользователей. Для изображений, аудио и видео файлов предупреждения консоли будут продолжаться.
  5. Chrome 85 (будет выпущен в сентябре 2020 г.) - Chrome заблокирует все файлы, кроме изображений, аудио и видеофайлов. Перед загрузкой этих файлов пользователям будет показано предупреждение.
  6. Chrome 86 (будет выпущен в октябре 2020 года) - Chrome заблокирует весь контент, передаваемый по незащищенному HTTP, при нажатии на ссылку для загрузки через веб-сайт HTTPS. Другими словами, Chrome заблокирует загрузку смешанного контента.

* Если веб-сайт использует HTTP, пользователи по-прежнему смогут загружать файлы HTTP. Обновление предназначено для сайтов HTTPS, которые используют URL-адреса загрузки HTTP, поскольку браузер показывает, что сайт является безопасным, но загрузка фактически не является безопасной.

12/02/2020 adgrafics Почему Украина внесена в список стран с высоким риском для бизнеса

United States Embargo - Bureau of Industry and Security: The Bureau of Industry and Security amended the Export Administration Regulations to impose a license requirement for the export and re-export to the Crimea region of Ukraine, and the transfer within the Crimea region of Ukraine, of all items subject to the EAR, other than food and medicine designated as EAR99. This embargo supersedes any other regulations. Reference Source: Electronic Code of Federal Regulations Title 15 Part 746.6.


23/01/2020 adgrafics Украина в списке стран с высоким риском для бизнеса

Таки *США внесли Украину в список стран с потенциально высоким риском при выпуске сертификатов SSL, CodeSign, PDF, s'mime. Это вызывает задержки в выпуске и продлении сертификатов для Украинских компаний. Так же теперь требуется предоставление скана паспорта администратора сертификата для CodeSign и EV SSL сертикатов

* см. Украина в списке с высоким риском 27/12/2019 adgrafics >>>

23/01/2020 adgrafics. Удаленное выполнение кода Microsoft Internet Explorer 0 дней (CVE-2020-0674)

После первого исправления, выпущенного 14 января посвященного уязвимости в CryptoAPI на прошлой неделе, Microsoft выпустила рекомендацию для обозревателя Internet Explorer 0-Day CVE-2020-0674, которую планируется исправить 28 января. Это еще одна из уязвимостей удаленного выполнения кода (RCE), связанных с механизмом сценариев.

20/01/2020 adgrafics. алгоритм RSA и безопасность

алгоритм RSA по прежнему надежен и безопасен. Опасность возникает в результате использования генераторов случайных чисел (RNG) с низкой энтропией которые генерируют простые числа с низкой случайностью, что приводит к генерации закрытых ключей, которые могут быть легко скомпрометированы.

20/01/2020 adgrafics. уязвимость Windows 10

NSA рекомендует установить недавно выпущенный патч от Microsoft для операционных систем Windows 10 и Windows Server (версии 2016 и 2019) как можно скорее на всех конечных точках и системах.

Патч от Microsoft устраняет уязвимость безопасности криптографической проверки и влияет как на шифрование потока связи SSL / TLS, так и на проверку подлинности файла Windows Authenticode. Злоумышленники, решившие использовать уязвимость CryptoAPI, могут использовать ее для:

18/01/2020 adgrafics. Предложения DigiCert для CA/B форума по EV сертификатам

Стандарты для сертификатов EV были разработаны в 2007 году, и хотя было несколько обновлений, до недавнего времени не было каких-либо серьезных изменений. Стандарт безопасности редко остается относительно неизменным в течение такого долгого времени, особенно если угрозы продолжают развиваться. DigiCert разработал ряд усовершенствований для улучшения сертификатов EV

  1. Наличие CAA записей о типе разрешенных уровней сертификатов
  2. Включить идентификаторы юридических лиц LEI в сертификаты EV
  3. Включить Торговые марки в сертификаты EV
  4. Разработка общего утвержденного для всех Центров сертификации белого списка надежных источников данных для проверки сертификатов EV.

16/01/2020 adgrafics. Мониторинг журналов CT для сертификата Secure Site Pro

DigiCert запустил услугу мониторинга журналов CT для расширенной защиты бренда. Услуга доступна для сертификата DigiCert SSL Secure Site Pro. Это первый продукт TLS, который предлагает мониторинг журналов CT наряду с другими ведущими функциями, такими как недавно представленный DigiCert набор тестов для постквантовых вычислений (PQC). DigiCert Secure Site Pro предлагает облачный сервис API, который непрерывно мониторит журналы CTотслеживая сертификаты, выпущенные за пределами утвержденных учетных записей компании, и уведомляет их о подозрительно выпущенных сертификатах

16/01/2020 adgrafics. Программа DigiCert MVP для Microsoft MVP и сотрудников

DigiCert предоставляет бесплатные сертификаты CodeSign для Microsoft MVPs и сотрудникам Microsoft для целей тестирования и для личного использования. https://www.digicert.com/friends/msmvp/

16/01/2020 adgrafics. GlobalSign получает сертификаты ISO27001 и ISO22301

БОСТОН, штат Массачусетс, GMO GlobalSign ( www.globalsign.com ), глобальный центр сертификации (CA) и ведущий поставщик решений для идентификации и безопасности для Интернета вещей (IoT), сегодня объявил, что компания достигла престижные сертификаты ISO27001 (управление информационной безопасностью), а также ISO22301 (управление непрерывностью бизнеса) от Британского института стандартов (BSI) Group после успешного завершения формального и обширного процесса аудита. GlobalSign не только является единственным глобальным центром сертификации, получившим сертификат ISO27001, но и одним из первых получил сертификаты ISO27001 и ISO22301.

Сертификация ISO / IEC 27001: 2013 является свидетельством того, что GlobalSign соответствует строгим международным стандартам в обеспечении конфиденциальности, целостности и доступности ресурсов и данных, доверенных GlobalSign.

10/01/2020 adgrafics. Чем закончатся 2019 года противоречия Центров сертификации и Браузеров?

2019 год был полон проблем и споров, поскольку взгляды центров сертификации и браузеров начали расходиться. Дискуссия вокруг расширенной проверки продолжалась, когда центры сертификации выдвинули ряд реформ, а браузеры - лишили их визуальных индикаторов. Голосование по сокращению максимальных сроков действия сертификата выявило различие интересов. Но хотя ни одно из этихобсуждений не закончилось, не говоря уже о приближающемся необходимом консенсусе, похоже, сделают 2020 год горяим ;)

Запланированные на январь 2020 года, некоторые из крупнейших и наиболее влиятельных компаний в Интернете - Microsoft, Apple, Mozilla, Google и Cloudflare - объявили о своих планах отказаться от поддержки TLS 1.0 и TLS 1.1 этим летом. Это идет по пятам PCI DSS, осуждающего TLS 1.0 в 2018 году. TLS 1.0 был изначально создан как преемник фатально ошибочного SSL 3.0. Несколько лет спустя его заменили на TLS 1.1. Обе версии протокола страдают от известных эксплойтов, которые могут сделать соединения уязвимыми при правильном наборе обстоятельств. TLS 1.2, выпущенный более десяти лет назад, по-прежнему считается безопасным, если вокруг него созданы правильные конфигурации. Но что на самом деле движет этим снижением, так это стремление к распространению TLS 1.3, самой последней версии стандарта, которая была окончательно опубликована летом 2018 года. 1.3 имеет множество улучшений по сравнению со своими предшественниками, в том числе сокращенное рукопожатие, уменьшение размера шифровальных наборов и обязательной совершенной прямой секретности. С точки зрения непрофессионала - это просто более безопасно.

Часть цифровой трансформации в мире повлекла за собой кодификацию прав на данные и ограничений в национальных законах и региональных организациях. Теперь у нас есть международная кладовая, полная мешанины акронимов - от PSD2 и GDPR до CCPA и PIPEDA - компании с глобальным присутствием в настоящее время сталкиваются с настоящей мешаниной нормативных актов и стандартов.

После непростого 2019 года одним из главных приоритетов Совета Безопасности CA на 2020 год будет поиск интуитивно понятного способа отображения информации об идентичности веб-сайтов - одна из двух четко определенных основных целей Форума CA / B. Исторически это было сделано с использованием сертификатов SSL / TLS расширенной проверки. Однако в прошлом году Google выступил с инициативой браузера отказаться от интерфейса EV, который отображал подтвержденные названия организаций в адресной строке таких браузеров, как Microsoft Edge, Google Chrome и Mozilla Firefox. Теперь, по сути, дебаты разделились на два разных вопроса. И не все стороны, похоже, ведут одинаковые дискуссии. Для браузеров вопрос заключается в том, является ли TLS лучшим способом представления этой информации. Google высказал мнение, что не хочет, чтобы SSL / TLS, который функционально защищал веб-соединения, зависел от надлежащей проверки и отображения идентификационной информации. Вместо этого он озвучил поддержку отдельных, дополнительных иерархий. Среди браузеров и ЦС на сегодня нет единого мнения о том, следует ли идентифицировать личность в сочетании с сертификатами TLS или представлять другим способом.

На эти и другие важные вопросы необходимо будет ответить в 2020 году. Несмотря на то, что у каждого предлагаемого решения есть свои плюсы и минусы, должен быть достигнут консенсус в отношении одной вещи: идентичность в Интернете никогда не была более важной, и все заинтересованные стороны должны найти умный способ показать это. Дьявол, конечно, в деталях.