Новости TLS/SSL и HTTPS на 19 травня 2022р.

16/12/2021 adgrafics. Критическая уязвимости в библиотеке Log4j

9 декабря в СМИ появилась информация о критической уязвимости в библиотеке Apache Log4j. Миллионы приложений Java используют эту библиотеку для ведения журнала. Утверждалось, что уязвимость CVE-2021-44228 позволяет злоумышленникам получать доступ к устройствам и данным пользователей приложений и сервисов. Специализированная команда профессионалов по безопасности DigiCert продолжает отслеживать общее воздействие уязвимостей удаленного выполнения кода Log4j (CVE-2021-45046 и CVE-2021-44228).

Рекомендации по защите данных
Обновляйте сторонние приложения на смартфонах, ПК и серверах. Многие разработчики уже выпустили обновления, которые включают исправления для устранения этой уязвимости. Если ваше приложение (например, приложение для мониторинга тревог) использует библиотеку Log4j, обновите библиотеку до версии 2.16.

15/12/2021 adgrafics. Расширение диапазона IP-адресов для сервисов DigiCert

В рамках планового технического обслуживания на 12 февраля 2022 года, 22:00 - 24:00 MST (13 февраля 2022, 05:00 - 7:00 по Гринвичу) , DigiCert расширяет диапазон IP - адресов , которые используются для услуг. Эти дополнительные IP-адреса являются частью усилий по увеличению времени безотказной работы служб и сокращению простоев обслуживания во время планового обслуживания. Добавленный диапазон IP-адресов: 216.168.240.0/20

* Digicert не заменяет и не удаляем какие-либо IP-адреса. Digicert только расширяет диапазон IP-адресов, которые используются для предоставления сервисов.

7/12/2021 adgrafics. SMCWG- новая специализированная подгруппа форума CA / Browser

Форум CA / B провел голосование по созданию новой рабочей группы по минимальным стандартам безопасности для публично доверенных сертификатов S / MIME . Первые два приоритета рабочей группы S / MIME - это профили сертификатов для сертификатов S / MIME и единые правила проверки для адресов электронной почты, будь то подтверждение контроля над самим адресом или всем доменом. В уставе рабочей группы S / MIME также прямо указывается на важность реальных идентификаторов в цифровых сертификатах и разрешается обсуждение требований к ним.

Рабочая группа по сертификатам S / MIME (SMCWG) - это новейшая специализированная подгруппа форума CA / Browser, сфокусированная на создании первых глобальных требований для центров сертификации (CA), которые выдают цифровые сертификаты. SMCWG призвана создать первый глобальный базовый стандарт для сертификатов S / MIME, объединяющий существующие технические стандарты, а также передовой опыт текущих отраслевых требований, включая стандарты Mozilla, Gmail, Федеральной инфраструктуры открытых ключей США и ETSI.

20/11/2021 adgrafics. Создания отраслевого стандарта: Matter

Производители устройств для умного дома, такие как Google, Apple, Samsung и Amazon, объединились для создания отраслевого стандарта: Matter. В начале ноября Amazon объявила о поддержке Matter для устройств Echo и Eero. Стандарт Matter поможет обеспечить взаимодействие между различными устройствами и экосистемами, но также должен учитывать безопасность этих соединений.

19/11/2021 adgrafics. Обновление базового сертификата FATCA

Служба внутренних доходов США сообщила о предстоящем обновлении цифрового сертификата используемого для обмена информацией и предоставлении отчетов. Срок действия цифрового сертификата FATCA истечет в конце декабря 2021 года. Чтобы предотвратить прерывания в представлении отчетов, СВД США начиная с 3 декабря 2021 с 07:00 EST (14:00 по киевскому времени) будет доступен для загрузки новый сертификат/ключ, для финансовых агентов

После 3 декабря 2021 года полученные файлы отчетов по FATCA должны быть закодированы новым открытым сертификатом, иначе эти файлы будут создавать ошибки на уровне файла «Ошибка проверки подписи».

* Ссылка, по которой финансовые агенты могут подписаться на список новостей и информации о FATCA: ttps://www.irs.gov/individuals/international-taxpayers/subscribe-to-the-fatca-news-and-information-list .

17/11/2021 adgrafics. Новые ограничения срока действия s'mime сертификатов

Начиная с 28 марта 2022 года все общедоступные сертификаты S / MIME будут иметь максимальный срок действия 825 дней. Это изменение применяется только к публично доверенным сертификатам S / MIME, недавно выпущенным CertCentral, и не повлияет на сертификаты, выпущенные до 28 марта.

11/11/2021 adgrafics. Новые ограничения для проверки управления доменом

С 15 ноября 2021 года, вступают в силу два отраслевых изменения, касающихся проверки файлового управления доменом, в связи с новыми правилами форума CA / B

1. Право собственности на субдомены в домене не может быть доказано с помощью файловых методов
2. Право собственности на субдомены не может быть доказано путем проверки корневого / базового домена файловыми методами

16/09/2021 adgrafics. Вышла OpenSSL 3.0.0

7 сентября 2021 года вышла OpenSSL 3.0.0. Библиотека поддерживает новые алгоритмы шифрования и работы с ключами, работает с протоколами SSL/TLS на уровне ядра Linux клиента, имеет новый модуль FIPS и получила интеграцию с протоколом управления сертификатами CMP.

1/09/2021 adgrafics. Изменения в политике проверки домена в 2021 году

Ожидается, что до конца 2021 года вступят в силу два изменения политики проверки домена, которые повлияют на выпуск сертификатов. Эти изменения политики применяются ко всем запросам новых сертификатов, продлению, перевыпуску и предварительно подтвержденным доменам.
Эти изменения не повлияют на уже выпущенные сертификаты TLS / SSL.

Повторная проверка домена будет требоваться каждые 397 дней. DigiCert внесет изменения в период с 27 по 30 сентября 2021 года .

Проверка домена на основе файлов , также известная как аутентификация файла, http-токен или http-аутентификация, будет запрещена для wildcard сертификатов, а при использовании для сертификатов без подстановочных знаков проверка домена потребуется для каждого отдельного SAN / FQDN. Эти изменение не применяется к проверке на основе электронной почты и DNS, которая все еще может использоваться для сертификатов с подстановочными знаками и может выполняться на уровне базового домена или другого общего вышестоящего домена для проверки поддоменов и доменов с подстановочными знаками. DigiCert внесет изменения 15 ноября 2021 года.
Эти изменения политики влияют на все общедоступные сертификаты TLS / SSL.

* Подтверждение названия организации не затрагивается и остается действительным в течение 825 дней для сертификатов OV и 13 месяцев для сертификатов EV.

30/08/2021 adgrafics. Устаревшие корневые сертификаты Symantec удаляются из корневых хранилищ

Устаревшие корневые сертификаты Symantec удаляются из корневых хранилищ. Этот проект реализуется последние несколько лет. График недоверия для различных корневых сертификатов https://knowledge.digicert.com/alerts/symantec_root_distrust.html Symantec Root Removal KB. Тем не менее, Apple недавно предоставила обновленную область действия своей политики корневого хранилища, касающуюся корней Symantec, и новую дату, когда этим корневым сертификатам будет не доверять.

2 сентября 2021 года Apple перестанет доверять 9 устаревшим корневым сертификатам Symantec, которые ранее планировалось не доверять в апреле 2021 года. Недоверие корневых сертификатов означает, что все сертификаты, выпущенные из этих корневых сертификатов, и все объекты, подписанные с помощью этих сертификатов, больше не будут доверять в macOS и iOS. Это изменение влияет на все типы сертификатов, выдаваемых из этих корневых сертификатов - TLS, подпись кода, подписание документов, S / MIME и клиент, а также на любые объекты, подписанные сертификатами (активными или просроченными), привязанными к любому из этих 9 недоверенных корневых сертификатов, перечисленных ниже в разделе Какие 9 затронутых корневых сертификатов. Если ваша реализация требует доверия Apple, вы должны повторно выпустить сертификаты с использованием иерархии DigiCert и отказаться от объектов (код, документ, электронная почта и т. д.).

9 затронутых корневых сертификатов

1. GeoTrust Primary Certification Authority https://crt.sh/?id=4350
2. GeoTrust Primary Certification Authority - G3 https://crt.sh/?id=847444
3. thawte Primary Root CA https://crt.sh/?id=30
4. thawte Primary Root CA - G3 https://crt.sh/?id=254193
5. VeriSign Class 3 Public Primary Certification Authority - G3 ttps://crt.sh/?id=26682
6. VeriSign Class 3 Public Primary Certification Authority - G4 https://crt.sh/?id=2771491
7. VeriSign Class 3 Public Primary Certification Authority - G5 https://crt.sh/?id=93
8. GeoTrust Global CA https://crt.sh/?id=17
9. GeoTrust Primary Certification Authority - G2 https://crt.sh/?id=3381895

16/07/2021 adgrafics. Google объявляет о поддержке BIMI и VMC

Теперь компании могут отображать свой подтвержденный логотип в сообщениях Gmail, чтобы развивать свой бренд и для повышения уровня аутентификации электронной почты и доверия к бренду. Это скоро станет реальностью благодаря развертыванию Google поддержки VMC. Официально объявленное ранее на этой неделе, изменение приведет к тому, что проверенные логотипы компаний начнут появляться в ваших электронных письмах через стандарт BIMI.

14/07/2021 adgrafics. Сертификаты DigiCert Verified Mark Certificates доступны к продаже.

Сертификаты DigiCert Verified Mark Certificates (VMC) - это новейший продукт с сертификатами, который появился на рынке в этом году и ужу доступен для продажи с 12 июля. VMC позволяют компаниям отображать логотип своего бренда рядом с полем «отправитель» в почтовых клиентах, видимый даже до открытия сообщения. Поскольку VMC требует соответствия DMARC, конечные клиенты получают мгновенное визуальное подтверждение подлинности электронной почты, а отправитель предпринял дополнительные меры для защиты их от атак фишинга и спуфинга. Это улучшает доставляемость и безопасность. Подробнее >>>

15/06/2021 adgrafics. 9 июня с 18:00 до 19:00 UTC компания DigiCert внесла изменения в процесс выдачи сертификатов.

Компания Digicert обновила семь стандартных промежуточных сертификатов (ICA) для сертификатов OV и EV SSL. Это изменение было внесено для восстановления совместимости с индикаторами EV Google Chrome.

Компания Digicert не отправляла уведомление перед внесением этого изменения. Компания Digicert приносит свои извинения за внесение этого изменения без предварительного уведомления. Дигисерт определила проблему внутреннего процесса и внесла улучшения в методы планирования, развертывания и уведомления. DigiCert рекомендует использовать ICA, предоставленный с новым сертификатом, для обеспечения совместимости.

Вам нужно будет принять меры, если применимо любое из следующего:

• Если вы жестко запрограммировали или управляете своим доверенным хранилищем вручную. Digicert рекомендует добавлять / заменять все новые ICA.
• Если ваши вызовы API используют параметр ca_cert_id для выбора любых затронутых ICA при запросе, перевыпуске или дублировании сертификата, вы должны обновить свой код, чтобы использовать идентификатор соответствующего обновленного ICA.
• Если вы используете закрепление сертификата. Если вы закрепите либо имя субъекта, либо пару ключей, вам не нужно вносить никаких изменений. Если вы прикрепляете к любому другому полю, например к серийному номеру, вы должны немедленно обновить конфигурацию закрепления.
  * Обратите внимание, что DigiCert не рекомендует закрепление из-за операционных рисков.

Развертывание новых сертификатов ICA не влияет на существующие сертификаты. Однако это повлияет на эти сертификаты, если вы их перевыпустите, поскольку перевыпущенный сертификат будет подписан новым промежуточным сертификатом. Это означает, что вам нужно будет включить новый промежуточный сертификат ICA при установке повторно выпущенного сертификата.

01/06/2021 adgrafics. МинЮст Украины вернул в реестр поле на английском языке

Найменування юридичної особи іноземною мовою - стало отображатся в реестре МинЮста. Браво !!!

07/05/2021 adgrafics. CA / B Forum меняет правила проверки прав на домен

Ожидается, что до конца 2021 года года вступят в силу изменения политики проверки домена. Эти изменения политики будут применяться ко всем запросам новых сертификатов, продлению и перевыпуску. Эти изменения не повлияют на уже выпущенные сертификаты TLS / SSL.

1. Повторная проверка домена будет требоваться каждые 398 дней. Ожидается, что изменение политики вступят в силу 1 октября 2021 года.
2. Проверка управления доменом (DCV) с использованием проверки подлинности на основе файлов запрещает использование файловый метод проверки управления доменом для сертификатов wildcard SSL и ограничение эффективного использования этого метода для поддоменов. Электронная почта и методы DCV на основе DNS не затрагиваются. Ожидается, что изменение политики вступят в силу в конце 2021 года.
3. Проверка управления доменом (DCV) с использованием проверки подлинности на основе файлов потребует отдельной проверки на основе файлов для каждого полного доменного имени FQDN. Ожидается, что изменение политики вступит в силу в конце 2021 года.

* В настоящее время отрасль разрешает проверку домена на уровне первичного домена ( adgrafics.com ), чтобы также применяться к сертификатам с подстановочными знаками wildcard (*. adgrafics.com) и всем поддоменам (support.adgrafics.com) в проверенном домене.

06/05/2021 adgrafics. DigiCert Smart Seal для сертификатов Secure Site и Secure Site Pro

(Лехи, Юта) - (4 мая 2021 г.) - Компания DigiCert, Inc. , ведущий мировой провайдер TLS / SSL, IoT и других решений PKI, объявила о DigiCert Smart Seal - новой динамической печати сайта, для сертификатов Secure Site и Secure Site Pro которая дает посетителям сайта уверенность в том, что их информация находится в безопасности в сети. Индикаторы безопасности в реальном времени, включенные с помощью различных микровзаимодействий, предупреждают посетителей о том, что печать активно присутствует на странице, сайт был проверен и сайт защищен активным сертификатом от самого надежного центра сертификации в мире.

DigiCert Smart Seal - первая печать сайта, включающая индикаторы безопасности в реальном времени, такие как подтвержденные логотипы клиентов и статус PCI.

* Пример как работает DigiCert Smart Seal - https://www.sslmarket.cz/customer/login/

05/05/2021 adgrafics. DigiCert переходит на новые 3072bit+ ключи для CodeSigning сертификатов

После 27 мая для всех сертификатов подписи кода потребуются CSR с 3072-битными или более крупными ключами RSA.

Начиная с 27 мая 2021 г., 14:00 MDT (20:00 UTC), DigiCert® потребует 3072-битные ключи RSA или больше для сертификатов подписи кода. Это изменение должно соответствовать отраслевым стандартам. Эти новые требования к размеру ключа RSA применяются ко всей цепочке сертификатов: конечному объекту, промежуточному ЦС и корню.

Ключевые требования ECC остаются неизменными.

После 27 мая новые, обновленные и повторно выпущенные сертификаты подписи кода от DigiCert будут автоматически выдаваться с новыми промежуточными центрами сертификации и корневыми сертификатами.

Сертификаты подписи кода, выданные до 27 мая, не требуют изменений и будут действовать до истечения срока их действия.

Для сертификатов подписи кода EV потребуется новый токен или HSM, поддерживающий не менее 3072-битных ключей. В настоящее время большинство токенов и HSM поддерживают только меньшие 2048-битные ключи.

Новые промежуточный ЦС и корневые сертификаты находятся на https://www.digicert.com/kb/digicert-root-certificates.htm#roots

Рекомендация: Обновите свою среду с помощью нового корневого и промежуточного ЦС. DigiCert рекомендует прекратить закрепление и жесткое кодирование сертификатов. До 27 мая убедитесь, что сертификаты являются доверенными, и подключите их к новому промежуточному ЦС и DigiCert Trusted Root G4.

* При обновлении сертификата можно запросить новый токен бесплатно, как часть вашего заказа. (на сегодня обсуждается ;)

03/05/2021 adgrafics. Обновление Chrome HTTPS

Google Chrome версии 90 по умолчанию использует HTTPS для неполных URL-адресов. Например, Chrome загрузит «https://adgrafics.com», когда пользователь введет «adgrafics.com». Google, осознавая, что многие пользователи браузеров не вводят полные URL-адреса при доступе к веб-сайтам, в этом году решил преодолеть разрыв между пользовательским интерфейсом и безопасностью. Ожидается, что их последнее обновление браузера, версия 90, будет использовать HTTPS по умолчанию, когда пользователь вводит адрес веб-сайта без указания протокола.

16/04/2021 adgrafics. DigiCert IP для сообщений

Чтобы не пропустить сообщение о продлении сертификатов DigiCert, Thawte, GeoTrust, убедитесь, что вы обновили списки разрешений и фильтры электронной почты, чтобы разрешить электронные письма с IP-адресов, перечисленных ниже:
34.213.233.92
64.58.225.115
142.0.167.190
142.0.167.189
142.0.167.188

25/03/2021 adgrafics. Сценарий печати сайта для клиентов DigiCert, GeoTrust и Thawte

в связи с тем, что DigiCert переходит на улучшенную инфраструктуру печати, клиентам, которые активировали свой сценарий печати, необходимо обновить сценарий печати с помощью нового скрипта печати. Чтобы гарантировать отсутствие сбоев скрипты необходимо обновить до 23 апреля 2021 года.

25/03/2021 adgrafics. Новый формат писем для продления сертификатов DigiCert.

24/03/2021 adgrafics. Новые адреса для продления сертификатов DigiCert.

Обновите списки разрешений и фильтры электронной почты - чтобы не пропустить сообщение о продлении, убедитесь, что вы обновили списки разрешений и фильтры электронной почты, чтобы разрешить электронные письма с IP-адресов, перечисленных ниже.

• 34.213.233.92
• 64.58.225.115
• 67.137.52.21
• 142.0.167.190
• 142.0.167.189
• 142.0.167.188

Адрес отправителя электронной почты «От»: admin@digicert.com

16/02/2021 adgrafics. Отзыв GlobalSign ICA повлияют на различные сертификаты.

По соображениям соответствия GlobalSign пришлось прекратить использование ряда промежуточных сертификатов (в частности, промежуточных центров сертификации) для выдачи сертификатов клиентам. Эти прекращенные Промежуточные сертификаты должны быть отозваны с декабря 2020 года по февраль 2021 года. Отзыв промежуточных сертификатов может привести к осложнениям с проверкой цифровых сертификатов, что повлияет на их срок действия и предполагаемые функции. Отозванные промежуточные сертификаты могут вызвать ошибки при проверке сертификатов, подписанных этими промежуточными сертификатами.

10/02/2020 adgrafics. Прогнозы Wi-Fi ® на 2021 год.

Wi-Fi Alliance ® проконсультирувавшись с лидерами отрасли, составил список прогнозов Wi-Fi ® на предстоящий год.

1. Внедрение Wi-Fi 6 будет набирать обороты
2. Wi-Fi 6E будет предоставлять пользователям частоту 6 ГГц
3. Passpoint ® ликвидирует разрыв между Wi-Fi и сотовой связью
4. Безопасность WPA3 ™ получит широкое распространение
5. Wi-Fi станет важным звеном для поддержания связи между компаниями и частными лицами.

5/01/2021 adgrafics. 25 лучших книг по кибербезопасности - рекомендации экспертов

Хорошие книги по кибербезопасности содержат идеи, полученные из реальных ситуаций, и примеры, на которых мы можем учиться как профессионалы.

1. Hacking: The Art of Exploitation (2nd Ed.) Author: Jon Erickson
2. The Art of Invisibility: The World’s Most Famous Hacker Teaches You How to Be Safe in the Age of Big Brother and Big Data Author: Kevin Mitnick
3. Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker Author(s): Kevin Mitnick, William L. Simon
4. The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography Author(s): Simon Singh
5. Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World Author(s): Joseph Menn
6. Social Engineering: The Science of Human Hacking Author(s): Christopher Hadnagy
7. Practical Malware Analysis Author(s): Michael Sikorski
8. The CERT Guide to Insider Threats Author(s): Dawn M. Cappelli, Andrew P. Moore, Randall F. Trzeciak
9. The Cyber Effect Author(s): Mary Aiken
10. Hacking Exposed 7: Network Security Secrets and Solutions Author(s): Stuart McClure, Joel Scambray, George Kurtz
11. Threat Modeling: Designing for Security Author(s): Adam Shostack
12. Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon Author(s): Kim Zetter
13. How to Measure Anything in Cyber Security Risk Author(s): Douglas W. Hubbard & Richard Seiersen
14. The Complete Guide to Cybersecurity Risks and Controls (Internal Audit and IT Audit), 1st Edition Author(s): Anne Kohnke, Dan Shoemaker, and Ken Sigler
15. Click Here to Kill Everybody: Security and Survival in a Hyper-Connected World Author(s): Bruce Schneier
16. CompTIA Network+ Certification All-In-One Exam Guide, Seventh Edition Author(s): Mike Meyers
17. Bulletproof SSL and TLS: Understanding and Deploying SSL/TLS and PKI to Secure Servers and Web Applications Author(s): Ivan Ristic
18. SSL/TLS Under Lock and Key: A Guide to Understanding SSL/TLS Cryptography Author(s): Paul Baka & Jeremy Schatten
19. Cybersecurity Essentials Author(s): Charles J. Brooks, Christopher Grow, Philip Craig, and Donald Short
20. The Pentester Blueprint: Starting a Career as an Ethical Hacker Author(s): Phillip Wylie and Kim Crawley
21. The Cuckoo’s Egg Author(s): Clifford Stoll
22. Sandworm Author(s): Andy Greenberg
23. Little Brother Author(s): Cory Doctorow
24. The Hacker and the State: Cyber Attacks and the New Normal of Geopolitics Author(s): Ben Buchanan
25. The Cybersecurity Playbook: How Every Leader and Employee Can Contribute to a Culture of Security Author(s): Allison Cerra