Новини TLS/SSL и HTTPS на 08 жовтня 2024р.
22/12/2023 2023 - рік змін Підсумки
2023 рік був зустрінутий численними галузевими оновленнями. Хоча зміни створюють нові виклики, вони також відкривають нові можливості. - п’ять основних оновлень
- 3 травня — Gmail почав відображати сині галочки
Щоб допомогти читачам за допомогою візуальних сигналів розпізнавати повідомлення від законних відправників, а не від імітаторів, Google почав відображати сині галочки підтвердження для відправників електронної пошти, які мають BIMI та сертифікати перевірених позначок (VMC) . Якщо ваші клієнти мають логотипи торгових марок, переконайтеся, що їхній бренд розміщено на першому місці в папці вхідних повідомлень клієнтів. - 1 червня – Покращена безпека для підпису коду OV
Щоб підвищити безпеку для сертифікатів підпису коду OV, форум CAB проголосував за вимогу апаратних маркерів, модулів апаратної безпеки (HSM) та/або хмарних служб підписання HSM. Галузеві стандарти стимулюють використання цих сертифікатів, що означає збільшення кількості можливостей для великих контрактних рішень, таких як Software Trust Manager від DigiCert ! - 1 вересня – підвищені вимоги до сертифікатів S/MIME
Форум CA/Browser прийняв перші базові вимоги до цифрових сертифікатів S/MIME , які підвищують безпеку електронної пошти. Ці стандарти покращують перевірку та керування сертифікатами S/MIME , забезпечуючи більшу автентичність і безпеку електронної пошти. Оскільки фішингові шахрайства стають все більш поширеними, допоможіть своїм клієнтам захистити кожен електронний лист за допомогою сертифікатів S/MIME . - 17 жовтня — DigiCert Smart Seal замінює печатку сайту Norton
DigiCert замінив печатку сайту Norton на DigiCert Smart Seal на веб-сайтах, захищених сертифікатами TLS Secure Site або Secure Site Pro. Це оновлення, яке не потребує жодних дій від користувачів, підвищує довіру до веб-сайту завдяки інтерактивним функціям, таким як ефекти наведення курсора, анімація та інтеграція логотипу компанії в новий DigiCert Smart Seal. Продукти Secure Site тепер можуть запропонувати клієнтам ще більше. - 31 жовтня – зміни в охопленні багаторічного плану
DigiCert зменшив варіанти багаторічного плану для сертифікатів TLS і VMC до 1–3 років, оптимізувавши пропозиції продуктів для більш інтуїтивного досвіду покупок. Ця зміна спрямована на оптимізацію інфраструктури для покращення роботи з електронною комерцією, тоді як наявні 4-6-річні плани залишаються незмінними до закінчення терміну дії.
6/12/2023 Обслуговування Global 2024 DigiCert
DigiCert заздалегідь запланував періоди обслуговування Global 2024, щоб спростити планування сертифікатів, послуг і завдань, пов’язаних із платформою. Технічне обслуговування заплановано на перші вихідні кожного місяця, якщо не вказано інше. Кожне вікно технічного обслуговування заплановано на 2 години. Незважаючи на те, що ми має надлишки для захисту послуг, деякі служби DigiCert можуть бути недоступні. Нормальна робота відновиться після завершення технічного обслуговування. Отримати оновлення в реальному часі, включая сповіщення електронною поштою про початок і завершення технічного обслуговування можна на сторінке сторінке статусу Digicert https://app.updates.digicert.com/e/er?utm_source=Eloqua&utm_content=12284&utm_medium=email&mth=December%2C%202023&s=1701211846&lid=6069&elqTrackId=e95ffad25f174c11b952a7b2163f247a&elq=00e8633a1fcd4feaa6bf9b30047c3f8b&elqaid=12284&elqat=1
30/11/2023 Прогнози щодо безпеки на 2024 рік
Команда експертів з кібербезпеки DigiCert дає змогу зазирнути в майбутнє технологій, ідентифікації та цифрової довіри у своєму звіті про прогнози безпеки за 2024 рік .
- Постквантова криптографія (PQC) : Оскільки остаточні стандарти від NIST очікуються в лютому, очікується сплеск освіти та планування PQC. Це призведе до агресивного застосування політики щодо PQC, підкреслюючи потребу в гнучкому криптографічному підході та рішеннях для керування сертифікатами .
- Автентичність веб-вмісту : наголос на кваліфікованих сертифікатах автентифікації веб-сайту (QWAC) змінить автентичність веб-вмісту. Браузери почнуть відображати QWAC на помітному місці, що зробить підтверджену особу наріжним каменем довіри до веб-вмісту. (Див. рішення QWAC )
- Безпека ланцюга постачання програмного та апаратного забезпечення : очікуйте більш надійних ланцюжків постачання програмного забезпечення з підвищеною прозорістю та перевірками. Що стосується апаратного забезпечення, то для протидії зловмисному програмному забезпеченню, вбудованому в апаратні компоненти, вирішальним буде підхід довіри від народження та безпеки за проектом. (Див. Рішення для підписання коду )
- Довіра до Інтернету речей і додатків реального світу : покращена довіра до Інтернету речей забезпечить конфіденційні випадки використання, як-от зарядні пристрої для електромобілів і медичні пристрої. Безпека пристрою буде першочерговою, а перевірка ідентифікації та операцій стане стандартною. (Див. рішення IoT PKI )
- ШІ в кібербезпеці : штучний інтелект перейде від захисту до атаки. Організації повинні підготуватися до атак на основі ШІ та розробити стратегії для підтримки довіри до загальнодоступних веб-сайтів. (Див. значки TrustedSite )
- Поява керівників цифрової довіри (DTO) : DTO відіграватимуть ключову роль у забезпеченні цифрової довіри та безпеки, стаючи важливими членами виконавчих команд. (Залишайтеся в курсі новин галузі )
- Позначте сертифікати для малого і середнього бізнесу та некомерційних організацій : новий тип сертифіката зробить можливості перевірки доступними для невеликих організацій, підвищуючи автентичність електронної пошти. (Див. рішення VMC )
- Поширення архітектури нульової довіри : підхід «ніколи не довіряй, завжди перевіряй» стане більш поширеним, наголошуючи на автентифікації за допомогою сертифіката для безпечної взаємодії.
17/10/2023 Google і Yahoo запровадять нові вимоги до email
Google і Yahoo запровадять нові вимоги щодо автентифікації електронної пошти та запобігання спаму в лютому 2024 року. З початку наступного року набудуть чинності нові вимоги щодо перевірки цифрової ідентифікації та запобігання спаму для відправників масової електронної пошти. Вимоги охоплюють від покращення автентифікації повідомлень до покращення можливостей скасування підписки. Нові вимоги застосовуються до всіх відправників, які надсилають повідомлення власникам облікових записів Gmail . Це передбачає реалізацію традиційної трифекти автентифікованої доставки електронної пошти:
- Структура політики відправника (SPF) запобігає неавторизованим користувачам надсилати повідомлення з вашого домену. І
- дентифікована пошта Domainkeys (DKIM) дозволяє серверам одержувачів перевіряти, чи дійсно повідомлення, отримані з вашого домену, надходять від вашої організації, і
- Звіт про автентифікацію повідомлень домену (DMARC) містить інструкції щодо того, що робити з повідомленнями, які не проходять SPF і DKIM.
Використовуйте BIMI та VMC - сертифікати перевірених знаків DigiCert Verified Mark
5/10/2023 Припинення дії печатки сайту Norton
17 жовтня 2023 року DigiCert замінить зображення печатки сайту Norton зображенням печатки сайту DigiCert, де б воно не з’являлося на веб-сайтах, захищених сертифікатами TLS Secure Site або Secure Site Pro.
4/10/2023 Нові вимоги безпеки пошти
Набули чинності нові вимоги безпеки для загальнодовірених сертифікатів безпеки електронної пошти. Щоб покращити безпеку та автентичність електронної пошти, не порушуючи існуючі розгортання починаючи з 1 вересня 2023 року, офіційно впроваджуються галузеві зміни щодо того, як видаватимуться та керуватимуться загальнодовіреними сертифікатами безпеки електронної пошти.
29/09/2023 Припинення продаж 4-, 5- та 6-річних багаторічних планів SSL сертифікатів
31 жовтня 2023 року DigiCert припинить продаж 4-, 5- та 6-річних багаторічних планів.
Wi-Fi Alliance ® успішно провів першу публічну демонстрацію Wi-Fi 7 на Близькому Сході. Демонстрація, організована разом із засіданням Арабської групи управління спектром у рамках підготовки до майбутньої Всесвітньої конференції радіозв’язку (WRC-23) у 2023 році, продемонструвала важливість діапазону 6,425–7,125 ГГц для майбутнього Wi-Fi ® в усьому світі.
DigiCert Trust Summit - це ідеальна можливість для професіоналів із безпеки вдосконалити свої навички та знання, спілкуватися з лідерами галузі та експертами з безпеки, співпрацювати над вирішенням найскладніших викликів безпеки та досліджувати силу цифрової довіри в реальному світі.
Федеральний орган стандартів США оголосив, що три квантово-безпечні алгоритми, як очікується, будуть готові до використання наступного року. Зараз до 22 листопада 2023 року NIST приймає відгуки криптографічної спільноти щодо цих проектів стандартів. 24 серпня Національний інститут стандартів і технологій (NIST) оголосив про період публічних коментарів щодо проектів запропонованих стандартів перших трьох алгоритмів постквантової криптографії (PQC). Ці федеральні стандарти обробки інформації (FIPS) спрямовані на усунення ймовірних небезпек, пов’язаних із можливостями квантового комп’ютера (CRQP), що стосуються криптографічного значення. Чернетки цих алгоритмів, які були анонсовані в липні 2022 року , відкриті для коментарів до 22 листопада 2023 року. Цей період громадського обговорення дозволяє членам криптографічної спільноти поділитися своїми думками, проблемами та рекомендаціями щодо трьох криптографічних схем. Таким чином можна буде внести зміни або вдосконалення до того, як стандарти будуть готові до використання у 2024 році.
Chrome представил механизм квантового гибридного соглашения ключей в своем последнем выпуске (версия 116) 15 августа. С точки зрения организационной безопасности, шаг Google представляет собой первую реальную возможность для пользователей использовать постквантовую криптографию (PQC) для HTTPS. Алгоритм представляет собой «гибридный механизм», который «объединяет результаты двух криптографических алгоритмов для создания сеансового ключа, используемого для шифрования большей части соединения TLS». Используются два алгоритма: X25519 (уже используемый алгоритм эллиптической кривой) и Kyber-768 (победитель конкурса NIST PQC). Алгоритм PQC теперь доступен как для клиентов, так и для серверов
Benefits of 6 GHz Spectrum Policy – надає чіткі дані про те, що надання доступу Wi-Fi ® до всього діапазону частот 6 ГГц сприяє досягненню цілей екологічної стійкості в боротьбі зі зміною клімату. Дослідження демонструє, що при достатньому доступі до спектру Wi-Fi перевершує стільникові мережі у забезпеченні широкосмугового підключення зі значним зниженням споживання енергії та впливу на навколишнє середовище. Відповідно до аналізу WIK-Consult, надання доступу Wi-Fi до всього діапазону 6 ГГц у Європі призведе до усунення 3,2 мегатонн CO 2викидів на рік, подібні результати очікуються в інших частинах світу.
Майбутні події:
Новые #SMIME базовые требования Форума CA/B вступают в силу 1 сентября. Пройдут ли ваши сертификаты проверку? Воспользуйтесь Digicert бесплатным линтером сертификатов S/MIME, чтобы выяснить это.
Форум CA/Browser (CA/B) схвалив перші базові вимоги для підвищення безпеки загальнодовірених цифрових сертифікатів S/MIME, які використовуються в електронній пошті. безпеки. Буде потрібен додатковий етап перевірки, і видача сертифікатів за межами їхнього доменного імені буде неможливою. Починаючи з 1 вересня, класифікуватиме сертифікати на чотири типи: перевірені поштовою скринькою, підтверджені окремою особою, перевірені організацією та підтверджені спонсором mailbox-validated, individual-validated, organization-validated, and sponsor-validated). У кожному типі визначено три покоління (застаріле, багатоцільове та суворе), кожне з різними періодами дії, а також особливі вимоги до підтвердження особи суб’єкта та контролю над адресами електронної пошти.
5 вересня 2023 року DigiCert припинить підтримку некритичного налаштування розширення BasicConstraints у загальнодоступних профілях сертифікатів TLS.
Надалі видаватимося лише загальнодоступні сертифікати TLS із розширенням BasicConstraints, встановленим на критичне .
Ця зміна не впливає на існуючі сертифікати TLS. Однак якщо що повторно видається або дублікат видає сертифікат після 5 вересня, буде встановлено розширення BasicConstraints як критичне у новий сертифікат.
Примітка: Зміна розширення BasicConstraints кореневої програми не стосується приватних сертифікатів TLS.
Chrome не подтвердил переход на 90-дневные сертификаты и не указал сроки для этого предложения...
Постквантова (PQ) криптографія була розроблена для захисту від загрози квантових комп’ютерів. Лише три місяці тому, у липні 2022 року, після шестирічного всесвітнього конкурсу Національний інститут стандартів і технологій США (NIST), відомий AES і SHA2, оголосив, яку постквантову криптографію вони стандартизуватимуть. NIST планує опублікувати остаточні стандарти у 2024 році, але ми хочемо сприяти швидкому впровадженню постквантової криптографії.
Починаючи з сьогоднішнього дня усі веб-сайти та API, які обслуговуються через Cloudflare, підтримують угоду про постквантовий гібридний ключ. За замовчуванням увімкнено немає необхідності в реєстрації. Це означає, що якщо ваш браузер/додаток підтримує це, з’єднання з нашою мережею також буде безпечним для будь-якого майбутнього квантового комп’ютера.
На початку цього року Google оголосив про свої плани скоротити термін дії сертифікатів SSL/TLS із поточних 398 днів (13 місяців) до 90 днів. Термін дії сертифіката SSL/TLS і періоди повторного використання домену, ймовірно, будуть різко скорочені.
У 2025 році Mozilla почне не довіряти старим кореневим сертифікатам. У відповідь у березні минулого року DigiCert почав оновлювати загальнодоступну видачу сертифікатів TLS/SSL за замовчуванням до загальнодоступного кореня другого покоління (G2), а також ієрархії сертифікатів проміжного ЦС (ICA). Ці оновлення стосуються всіх продуктів бренду, включаючи DigiCert, Thawte, GeoTrust, RapidSSL і Encryption Everywhere. Крім того, оновлено стандартна ієрархія в CC EU з G5 на G2.
30 травня 2023 р. DigiCert внісе наступні зміни в процес апаратного токена та підготовку HSM для замовлень на підпис коду та підпис коду EV:
Перевірені галочки більше не лише для соціальних мереж. 3 травня Google почав відображати сині позначки перевірки для відправників електронної пошти, які мають BIMI VMCта сертифікати перевірених позначок .
Покладення особистої відповідальності на керівників і співробітників набирає обертів у спільнотах ІТ та кібербезпеки та на глобальних політичних аренах.
Google Chrome вилучить піктограму замка як наступний крок у тому, щоб зробити HTTPS стандартним для всіх веб-сайтів.
Ця зміна не тому, що Google більше не вважає HTTPS важливим, але насправді все навпаки. Google очікує, що кожен веб-сайт матиме HTTPS за замовчуванням .
Висячий замок буде поступово припинено як для користувачів комп’ютерів, так і для мобільних пристроїв:
Заміна значка замка на нейтральний індикатор запобігає помилковому розумінню того, що значок замка пов’язаний із надійністю сторінки, і підкреслює, що безпека має бути стандартним станом у Chrome.
DigiCert замінив кілька проміжних сертифікатів ЦС (ICA).
Центри сертифікації (CA) використовують проміжні сертифікати CA (ICA) для видачі сертифікатів, наприклад ваших сертифікатів SSL/TLS. Сертифікат ICA пов’язує ваш сертифікат із надійним кореневим сертифікатом, що дозволяє браузерам та іншим програмам довіряти йому.
Як на мене впливають нові сертифікати ICA?
Ніяких дій не потрібно, якщо ви не зробите щось із наведеного нижче.
Якщо ви зробите будь-що з перерахованого вище, рекомендуємо якомога швидше оновити своє середовище. Припиніть закріплення та жорстке кодування сертифікатів ICA або внесіть необхідні зміни, щоб переконатися, що сертифікати, видані з нових сертифікатів ICA, є довіреними (іншими словами, можна з’єднати з їхніми ICA та надійними кореневими сертифікатами).
Розгортання нових сертифікатів ICA не впливає на наявні сертифікати. Ми не видаляємо стару ICA зі сховищ сертифікатів, доки не закінчиться термін дії всіх виданих із неї сертифікатів. Це означає, що активні сертифікати, видані із заміненого сертифіката ICA, залишаються надійними.
Однак це впливає на ці сертифікати, якщо ви їх видаєте повторно, оскільки повторно виданий сертифікат видається з нового сертифіката ICA. Це означає, що вам потрібно буде включити наданий сертифікат ICA під час встановлення повторно виданого сертифіката.
24 травня 2022 року DigiCert замінить перелічені нижче ICA. Радимо вам оновити сховища ключів, бази кодів і закріплення сертифікатів, які можуть використовуватися.
З 1 червня апаратні токени, що надаються DigiCert, коштуватимуть від 120 доларів США.
Починаючи з 1 червня 2023 р. закриті ключі для всіх нових та повторно випущених сертифікатів підпису коду повинні зберігатися на апаратних токенах або апаратних модулях безпеки (HSM), сертифікованих як FIPS 140 рівня 2, Common Criteria EAL 4+. , або еквівалент.
* Ви можете використовувати власний токен або HSM, що підтримується, щоб відповідати новим вимогам до сховища закритого ключа для підпису коду.
Сертифікати підпису коду OV починаючи з 1 червня:
Сертифікати підпису коду EV повинні зберігатися на сертифікованих апаратних токенах, але з 1 червня процес отримання токенів через DigiCert зміниться:
DigiCert ONE, платформа для цифрової довіри, надає організаціям централізовану видимість і контроль над широким спектром державних і приватних потреб у довірі, захищаючи веб-сайти, корпоративний доступ і комунікацію, програмне забезпечення, ідентифікацію, вміст і пристрої. DigiCert поєднує своє відзначене нагородами програмне забезпечення з лідерством у галузі стандартів, підтримки та операцій, і є постачальником цифрової довіри, якого вибирають провідні компанії в усьому світі.
З цього місяця змінюється назви чотирьох продуктів:
8 березня 2023 року DigiCert почне оновлювати стандартну публічну видачу всіх брендів сертифікатів TLS/SSL до кореневих ієрархій другого покоління G2. Поширте корені DigiCert G2 до локальних довірених сховищ, щоб переконатися, що сертифікати TLS/SSL, які з’єднані з кореневими сертифікатами G2, є надійними.
Лідери галузі прийняли нові базові вимоги S/MIME, спрямовані на підвищення узгодженості щодо того, як загальнодовірені сертифікати підпису електронної пошти видаються та керуються глобально. Нові стандарти S/MIME набудуть чинності у вересні 2023 року
Наприкінці 2022 року Президент України підписав Закон 2801-ІХ від 01.12.2022, який забезпечив взаємне визнання між Україною та ЄС кваліфікованих електронних довірчих послуг, а також вніс зміни до деяких нормативно-правових актів, що регулюють процеси електронного документообігу. Верховна Рада ухваліла законопроект № 6173, який і став основою даного Закону. Завдяки даним змінам Україна почне прискорено інтегруватися у Єдиний цифровий ринок Євросоюзу. Законодавство щодо ЕДП буде приведено у відповідність до європейських вимог — загалом це близько девʼяноста законів, які регулюють надання ЕДП та послуг електронної ідентифікації.
28/09/2023 Перша публічна демонстрація Wi-Fi 7
18/09/2023 Саміт DigiCert Trust у Лас-Вегасі 16–18 жовтня 2023 року.
13/09/2023 2024 рік - рік стандартизованих алгоритмів постквантової криптографії
29/08/2023 Google Chrome добавил поддержку гибридного пост-квантового криптографического алгоритма
23/08/2023 дослідження від WIK-Consult
18/08/2023 Соответствие вашего сертификата S/MIME новим требованиям CA/B Forum’s
2/08/2023 Майбутні вимоги до сертифікатів S/MIME
21/07/2023 DigiCert припиняе підтримку розширення BasicConstraints
* Встановлення розширення BasicConstraints на критичне є вимогою CAB Forum для центрів сертифікації (CA), щоб відповідати новим галузевим стандартам кореневих програм.
16/06/2023 Скорочення терміна дії сертифікатів SSL/TLS із 398 до 90 днів ;)
* Dean Coclin - Former Chair CA/B Forum, GW Alum, DigiCert Employee
14/06/2023 Chrome Beta ( ≥ 115.0.5748. 0) поддерживает постквантовый обмен ключами за флагом функции.
30/05/2023 Скорочення терміна дії сертифікатів SSL/TLS із 398 до 90 днів
19/05/2023 DigiCert реалізує зміни ієрархії за замовчуванням для публічного TLS
17/05/2023 З 30 травня змінюється процес випуску сертифіката підпису коду.
17/05/2023 Зміни в Digicert CodeSign сертифікатах
16/05/2023 Зміни у процесі отримання сертифіката підпису коду
15/05/2023 З 3 травня Google почав відображати сині позначки VMC
15/05/2023 Особиста відповідальність керівників і співробітників IT
14/05/2023 Google замінить значок замка в Chrome версії 117
У старому світі за замовчуванням був HTTP. HTTPS був особливим, тому він був нагороджений значком замка. У новому світі кожен веб-сайт повинен мати HTTPS.
20/04/2023 Оновлення DigiCert ICA
GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
GeoTrust TLS DV RSA Mixed SHA256 2021 CA-1
GeoTrust Global TLS RSA4096 SHA256 2022 CA1
DigiCert Global Root CA
RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
RapidSSL TLS DV RSA Mixed SHA256 2021 CA-1
RapidSSL Global TLS RSA4096 SHA256 2022 CA1
DigiCert Global Root CA
17/03/2023 Зміна цін на токени
23/02/2023 Зміна імен менеджерів DigiCert ® ONE
вбудовує та керує ідентифікацією пристрою в масштабі, підтримуючи широкий спектр типів сертифікатів і методів реєстрації, задовольняючи різноманітні потреби безпеки та форм-фактори ринку підключених пристроїв.
зменшує складність керування безпекою протягом життєвого циклу пристрою, дозволяючи клієнтам уникати створення складних внутрішніх додатків безпеки.
це рішення для цифрової довіри, яке захищає цілісність програмного забезпечення в ланцюжку постачання програмного забезпечення, знижує ризик компрометації коду, забезпечує дотримання корпоративної та нормативної політики та забезпечує точне використання ключів і контроль доступу під час підписання коду.
дозволяє організаціям отримувати надійні, сумісні цифрові підписи, електронні печатки та мітки часу, які відповідають нормам Сполучених Штатів, Європейського Союзу, Великобританії, Швейцарії та багатьох інших країн світу.
14/02/2023 Нови кореневи ієрархії G2 Digicert
* У 2025 році Mozilla почне припиняти використання старих загальнодоступних кореневих сертифікатів у своєму браузері Firefox, включаючи деякі публічні кореневі сертифікати, що належать DigiCert. 8 березня 2023 року DigiCert припинить видавати сертифікати TLS/SSL із цих старих ієрархій і почне видавати їх із нових ієрархій G2, щоб гарантувати, що сертифікати DigiCert залишатимуться надійними у Firefox.
13/02/2023 Нові стандарти S/MIME
10/01/2023 Україна та ЄС взаємно визнали електронні довірчі послуги