Новини TLS/SSL и HTTPS на 01 вересня 2025р.
29.08.2025 Отмена аутентифікації клієнта в сертификатах SSL
_____________________________
Удаление clientAuth EKU из TLS сертификаты сервера — это общеотраслевое изменение политики, которое повысит безопасность и предотвратит нецелевое использование. Для большинства пользователей это не окажет заметного влияния. Однако, если вы полагаетесь на clientAuth EKU, вам следует предпринять упреждающие шаги для получения правильного типа сертификата для ваших нужд.
_____________________________
З 1 жовтня 2025 року DigiCert більше не включатиме використання розширеного ключа автентифікації клієнта (EKU) до наших публічних сертифікатів TLS за замовчуванням . Ця зміна відповідає вимогам root-програми Google Chrome щодо підвищення безпеки та забезпечення сумісності. Зміна аутентифікації клієнта при Extended Key Usage (EKU) в публічних сертифікатах TLS. Ці зміни відповідають нещодавнім змінам у політиках програм у відношенні корневих сертифікатів браузерів і впливають на міжсерверну аутентифікацію за протоколом Mutual TLS (mTLS), а також на інші сценарії використання. DigiCert планує відмінити аутентифікацію клієнта у своїх публічних сертифікатах TLS за наступним графіком:
- Сьогодні DigiCert включає оба параметра — аутентифікацію сервера й аутентифікацію клієнта — для розширеного використання ключів (Extended Key Usage, EKU) у публічних сертифікатах TLS.
- 1 жовтня 2025 р. DigiCert припинить включати автентифікацію клієнта для EKU в публічних сертифікатах TLS за замовчуванням і почати видавати ці сертифікати тільки з автентифікацією сервера для EKU. Ви надалі зможете вручну вибирати автентифікацію клієнта для EKU під час реєстрації публічних сертифікатів TLS.
- 1 травня 2026 р. DigiCert повністю оновлює аутентифікацію клієнта для EKU зі своїх публічних сертифікатів TLS на всіх етапах випуску, включаючи продлення, перевипуск і дублювання сертифікатів. Ви більше не зможете вручну вибирати автентифікацію клієнта для EKU під час реєстрації публічних сертифікатів TLS.
Протягом обмеженого часу, до 1 травня 2026 року, CertCentral надає дві нові опції EKU у формі запиту публічних сертифікатів TLS/SSL у розділі Варіанти профілю для сертифіката :
Примітка. Відміна автентифікації клієнта для EKU не використовується, якщо ваші сертифікати SSL/TLS використовуються лише для захисту веб-сайтів (HTTPS).
18.08.2025 Зміна стандартів елктронной пошти
Стандарти сертифікатів електронної пошти оновлено для підтримки автоматизації ACME та майбутньої безпеки PQC Зміни до базових вимог до сертифіката S/MIME додають підтримку автоматичної перевірки поштових скриньок (через протокол ACME) та тестування алгоритмів постквантової криптографії
SMC012: Впровадження ACME для S/MIME було офіційно прийнято як частину Базових вимог S/MIME 2 липня. Цей бюлетень надає центрам сертифікації (CA) стандартизований та автоматизований спосіб реагування на запити на перевірку керування поштовою скринькою за допомогою протоколу ACME. Це пропонує ще один зручний для автоматизації метод для CA для перевірки адрес поштових скриньок.
SMC013: Увімкнення алгоритмів PQC для S/MIME вступило в 30-денний період розгляду, який має завершитися 20 серпня. Цей бюлетень має на меті додати використання двох алгоритмів постквантової криптографії (PQC) до Базових вимог S/MIME. Ці сертифікати призначені для тестування (CA та клієнтами) і не будуть загальнодоступними. Однак цей крок знаменує собою ще один крок на шляху, який зрештою призводить до впровадження та використання PQC у публічних мережах.
25.07.2025 DigiCert додає нові виділені IPv4-адреси
8 вересня DigiCert додасть вторинну мережу доставки контенту (CDN) з додатковими виділеними IPv4-адресами для певних сервісів DigiCert.
25.07.2025 DigiCert припиняє підтримку HTTP/1.0-з'єднань для перевірки статусу сертифікатів OCSP та CRL.
8 вересня DigiCert припинить підтримку HTTP/1.0, щоб відповідати сучасним інтернет-стандартам та оптимізувати продуктивність. Якщо у вас є інтеграція для перевірки статусу сертифікатів OCSP та CRL, вам потрібно переконатися, що інтеграція використовує HTTP/1.1 або пізнішу версію до 8 вересня, щоб уникнути потенційних перебоїв у робочому процесі.
10.07.2025 Кінець терміну дії профілю сертифіката Legacy Digicert
10 липня 2025 року DigiCert припинив приймати запити на сертифікати захищеної електронної пошти з використанням профілю сертифіката Legacy . Усі нові запити на сертифікати повинні використовувати профіль сертифіката Strict або Multipurpose . Ця зміна впливає на нові, поновлені та перевидані запити на сертифікати.
* Кінець терміну дії профілю сертифіката DigiCert Legacy означає, що сертифікат, який був виданий DigiCert, більше не дійсний і не може використовуватися для встановлення безпечного з'єднання. Це може призвести до проблем з безпекою при відвідуванні веб-сайтів, які використовують цей сертифікат, і до помилок у роботі програм, які його використовують.
1.07.2025 Підвищення цін на SSL сертифікати Digicert
З 1 серпня 2025 року DigiCert підвищує рекомендовану роздрібну ціну (MSRP) для всіх своіх брендів цифрових сертифікатів CertCentral®, включаючи DigiCert, GeoTrust® та Thawte®, а також Rapid SSL. У середньому ціни зростуть на 6% . Коригування різняться залежно від продукту та можуть бути вищими або нижчими за 6% для певних продуктів
16.06.2025 Нові SSL-сертифікати не підтримуватимуть автентифікацію клієнтів
Google Chrome оголосив, що з 15 червня 2026 року припинить довіряти публічним сертифікатам сервера (сертифікатам SSL/TLS), які підтримують використання розширеного ключа автентифікації клієнта (clientAuth EKU).
з 1 жовтня 2025 року DigiCert більше не включатиме ClientAuth EKU до публічних SSL/TLS-сертифікатів за замовчуванням. Digicert повністю виключить ClientAuth EKU з усіх публічних SSL/TLS-сертифікатів, включаючи поновлення, перевипуски та дублікати сертифікатів, починаючи з 1 травня 2026 року.
* Ця зміна не вплине на більшість користувачів або веб-сайтів (наприклад, організацій, які використовують SSL-сертифікати лише для автентифікації сервера). Але якщо ви використовуєте свій SSL-сертифікат для автентифікації клієнта, вам потрібно буде внести зміни якомога швидше.
09.06.2025 Let’s Encrypt припинив надсилання сповіщень про закінчення терміну дії SSL
З 4 червня Let’s Encrypt припинив надсилання електронних листів про закінчення терміну дії SSL/TLS Навіть якщо ви використовуєте автоматизацію для оновлення та оновлення сертифіката (це добре!), ви не на 100% захищені від небезпеки. На жаль, реальність полягає в тому, що cron-завдання/автоматизовані завдання поновлення сертифікатів можуть зазнавати невдачі (онлайн-форуми рясніють прикладами), що призводить до несправності сайтів через закінчення терміну дії сертифіката SSL/TLS.
*Let’s Encrypt (LE) оголосила раніше цього року, що припинить надсилання електронних листів із сповіщеннями про закінчення терміну дії SSL/TLS у середу, 4 червня. ;)
Моніторінг сертифікатів WebTrust Ukraine SSL Monitoring Service >>>
06.06.2025 Сертифікати TLS матимуть лише ключ автентифікації serverAuth
Починаючи з 15 вересня 2025 року , сертифікати сервера TLS будуть видаватися без розширення використання розширеного ключа (EKU) для автентифікації клієнта . Ця зміна регулюється Політикою кореневої програми Google Chrome .
* Розширене використання ключа (EKU) – це розширення сертифіката, яке визначає цільову функцію відкритого ключа в цифровому сертифікаті. Воно встановлює структурований набір дозволених застосувань, гарантуючи, що ключ використовується лише для певних криптографічних операцій. Ця функціональність регулюється ідентифікаторами об'єктів (OID) – унікальними числовими ідентифікаторами, які класифікують кожне дозволене використання, таке як підпис коду, автентифікація сервера, автентифікація клієнта або захищена електронна пошта. Коли автентифікація базується на сертифікаті, об'єкт перевірки перевіряє сертифікат, щоб ідентифікувати ідентифікатор об'єкта (OID) в EKU. Вбудовуючи розширення EKU, центр сертифікації (CA) обмежує область дії сертифіката заздалегідь визначеними ролями, причому кожна призначена мета явно зіставлена з OID. Наприклад:
- Автентифікація веб-сервера TLS – вказує, що сертифікат можна використовувати для автентифікації сервера (наприклад, веб-сайту HTTPS). OID, що відповідає автентифікації сервера, – 1.3.6.1.5.5.7.3.1
- Автентифікація веб-клієнта TLS – вказує на те, що сертифікат може використовуватися клієнтом для автентифікації на сервері (наприклад, сертифікат клієнта для взаємної TLS). OID, призначений автентифікації клієнта, – 1.3.6.1.5.5.7.3.2.
Браузерам і серверам потрібен лише ключ EKU serverAuth для встановлення безпечного з’єднання для HTTPS, але історично багато сертифікатів сервера TLS містили як ключі EKU serverAuth , так і clientAuth .
DigiCert припиняє автентифікацію клієнтів у наших публічних сертифікатах TLS у наступний термін:
- Зараз DigiCert включає використання розширених ключів (EKU) як для автентифікації сервера, так і для автентифікації клієнта у публічних сертифікатах TLS.
- 1 жовтня 2025 року DigiCert припинить включати EKU автентифікації клієнта до публічних сертифікатів TLS за замовчуванням і видаватиме ці сертифікати лише з EKU автентифікації сервера . Ви все ще можете вручну вибрати EKU автентифікації клієнта під час реєстрації для публічних сертифікатів TLS.
- 1 травня 2026 року DigiCert повністю видалить EKU автентифікації клієнта з процесу видачі публічних сертифікатів TLS для всіх сертифікатів, включаючи поновлення, перевипуски та дублікати сертифікатів. Ви більше не можете вручну вибирати EKU автентифікації клієнта під час реєстрації на публічні сертифікати TLS.
23.05.2025 adgrafics ICANN RDP update
Оновлена Політика реєстраційних даних (RDP) ICANN містить нові вимоги щодо визначення права власності на домен і вимагає від нас повідомляти реєстрантів про цю зміну.
Згідно з оновленим RDP:
• Якщо в полі «Організація» є будь-яка інформація, ця організація вважатиметься законним власником домену.
• Якщо реєстрант хоче бути вказаним як власник домену як фізична особа, поле «Організація» має бути залишено порожнім.
16.05.2025 adgrafics Історія життя SSL сертифікатів
Ринок сертифікатів SSL/TLS переживає бум, і, за прогнозами, до 2028 року він досягне 4,2 мільярда доларів. Оскільки коротші терміни дії сертифікатів, такі як 47-денний TLS, незабаром стануть новою нормою, ручне керування сертифікатами не лише забирає багато часу, а й є немасштабованим.
16.04.2025 adgrafics 8 травня кінець перевірки контролю домену на основі WHOIS
Починаючи з 8 травня 2025 року, метод перевірки контролю домену електронної пошти (DCV) на основі WHOIS більше не буде доступний під час замовлення сертифіката або перевірки домену.
16.04.2025 adgrafics Microsoft запроваджує вимоги щодо масової автентифікації відправників з 5 травня
Microsoft приєднується до Gmail та Yahoo у розширенні їхніх зусиль щодо контролю спаму та шкідливих електронних листів, які потрапляють до поштових скриньок користувачів, шляхом запровадження суворих вимог до масових відправників електронної пошти. 2 квітня Microsoft оголосила про свої плани посилити свої зобов'язання щодо захисту поштових скриньок споживачів від спамерів та шахраїв за допомогою суворіших налаштувань безпеки електронної пошти.
16.04.2025 adgrafics З 15 квітня 2026 року Google і Mozilla почнуть не довіряти сертифікатам DigiCert Assured ID Root CA, DigiCert Global Root CA, DigiCert High Assurance EV Root CA
Починаючи з 15 квітня 2026 року, Google і Mozilla більше не довірятимуть кінцевим TLS-сертифікатам, виданим із постраждалих коренів G1. DigiCert Assured ID Root CA, DigiCert Global Root CA, DigiCert High Assurance EV Root CA
Оскільки максимальний термін дії сертифіката для загальнодоступного TLS становить 397 днів, Digicert скорочує термін дії сертифікатів, щойно виданих із кореневої ієрархії G1, щоб не перевищувати 15 квітня 2026 року, коли вони стануть недійсними.
15.04.2025 adgrafics 47-денні сертифікати SSL/TLS стануть новим стандартом
Запропонований Apple і схвалений Sectigo, голосування CA/Browser Forum щодо скорочення максимального життєвого циклу сертифікатів SSL/TLS до 47 днів до 2029 року пройшло... CA/Browser Forum официально проголосовал за одобрение голосования Apple, которое сокращает срок действия сертификата TLS до 47 дней к 2029 году в поэтапном развертывании с 398 → 200 → 100 → 47 дней.
Протягом наступних кількох років термін дії сертифіката поступово скорочуватиметься з поточних 398 днів до 47 днів:
- 15 березня 2026 р.: термін дії сертифіката скорочується до 200 днів. Період повторного використання DCV охоплюватиме 200 днів.
- 15 березня 2027 р.: термін служби скорочено до 100 днів, період повторного використання DCV до 100 днів.
- 15 березня 2028 р.: період повторного використання DCV зменшено до 10 днів.
- 15 березня 2029 р.: максимальний термін дії сертифіката скоротиться до 47 днів.
DigiCert поддерживает полную автоматизацию сертификации на компьютерах, подсистемах балансировки нагрузки, облачных рабочих нагрузках, пользовательских устройствах, программном обеспечении и цифровом контенте. Мы предлагаем встроенную поддержку ACME и ARI в рамках каждой подписки на сертификат TLS.
4.04.2025 adgrafics Зміни smime Digicert сертифікатів
DigiCert з 1 липня 2025 року припиняє випуск сертифікатів smime Legacy відповідно до нових галузевих норм, які вимагають суворішої перевірки домену електронної пошти. Старі продукти сертифікатів S/MIME Premium, Email Security Plus, Digital Security Plus, Class 1 S/MIME більше не будуть доступні
* Примітка . Ці зміни не торкнуться наявних сертифікатів S/MIME, виданих із застарілим профілем сертифіката до 1 липня. Ви можете продовжувати використовувати ці сертифікати до закінчення терміну їх дії.
DigiCert пропонує три нови типи сертифікатів >>> безпечної електронної пошти для підпису та шифрування ваших електронних листів. Підпис підтверджує, що ваші електронні листи надходять від вас, а шифрування захищає конфіденційні дані електронної пошти.
- Безпечна електронна пошта для фізичних осіб
Завдяки сертифікатам Secure Email for Individual захищайте електронні листи від загальнодоступних постачальників послуг електронної пошти, таких як Gmail, Outlook, Yahoo, Hotmail і MSN, а також у ваших доменах електронної пошти. Ці сертифікати називаются S/MIME сертифікатом електронної пошти, перевіреним поштовою скринькою, оскільки центри сертифікації (ЦС) перевіряють адреси електронної пошти, включені в сертифікат. - Безпечна електронна пошта для організації
Сертифікати Secure Email for Organisation захищають електронну пошту для вашої організації у ваших доменах електронної пошти. Ці сертифікати ідеально підходять для захисту електронних листів зі спільних або інших електронних адрес, не призначених конкретній особі. Як і сертифікати TLS, ви повинні продемонструвати контроль над своїми доменами електронної пошти. Ці сертифікати називают S/MIME сертифікатом електронної пошти, перевіреним організацією, оскільки центри сертифікації підтверджують організацію. - Безпечна електронна пошта для бізнесу
Завдяки сертифікатам Secure Email for Business захищайте електронну пошту для окремих підроздилів та осіб у вашій організації у ваших доменах електронної пошти. Як і сертифікати TLS, ви повинні продемонструвати контроль над своїми доменами електронної пошти. Ці сертифікати називають S/MIME сертифікатом електронної пошти, з перевіреной особой, оскільки організація підтверджує, що особа є дійсним працівником або представником компанії. Центри сертифікації підтверджують організацію, яку особа представляє або в якій працює.
7.03.2025 adgrafics З 13 березня DigiCert починає перевіряти записи ресурсів CAA перед видачею сертифікатів безпечної електронної пошти (S/MIME)
Згідно з останніми базовими вимогами S/MIME , 15 березня 2025 року о 00:00 UTC усі центри сертифікації (CA) повинні отримати та обробити записи CAA перед видачею сертифіката, який містить адресу поштової скриньки. Ця нова вимога дозволяє організаціям визначати, які ЦС уповноважені видавати сертифікати S/MIME для поштових скриньок (доменів електронної пошти).
22.01.2025 adgrafics 7 причин скоротити термін служби сертифіката
Google і Apple оголосили про намір скоротити максимальний термін дії сертифіката TLS до 90 і 47 днів відповідно. Хоча це потенційно складно для деяких компаній, розробників і ІТ-команд, скорочення життєвого циклу сертифіката є стратегічним рішенням для усунення конкретних ризиків і підвищення загальної безпеки:
- Пом'якшення компрометації приватного ключа
- Відповідність технологічним досягненням
- Гнучкі засоби захисту для організацій
- Зменшення вразливостей
- Відповідність вимогам цифрового середовища, яке швидко змінюється
Ось 7 основних причин скорочення терміну служби сертифіката:
- Зменшення вікна атаки через компрометацію закритого ключа
- Зменшення наслідків неправильно виданих сертифікатів
- Більш тісне узгодження володіння сертифікатом і керування доменом
- Підвищення криптографічної гнучкості та постквантової готовності
- Усунення залежності від OCSP і CRL
- Пом’якшення проблеми невдалих обов’язкових відкликань
- Заохочення використання автоматизації
15.01.2025 adgrafics Зміна цін на додаткові домени VMC
З 11 лютого 2025 року структуру ціноутворення для додаткових доменів, доданих до замовлень VMC , буде оновлено відповідно до ринкових тарифів DigiCert. Відповідно до цієї нової структури вартість кожного додаткового домену відповідатиме ціні початкової покупки домену.
Для замовлень, розміщених до 11 лютого 2025 року, застосовуватимуться поточні ціни. Усі нові замовлення та поновлення після цієї дати відображатимуть оновлену структуру ціноутворення.
08.01.2025 Проблема випуску CodeSign, PDF та EV SSL сертифікатів
Внаслідок хакерської атаки 19 грудня постраждали державні реєстри, у тому числі держреєстр юридичних осіб. Масштабну кібератаку на державні реєстри Міністерства юстиції України здійснили російські хакери, пов’язані з Головним управлінням Генштабу збройних сил країни-агресора росії ГРУ. У зв'язку зі зломом Реєстру ускладнена процедура верифікації компаній, що в свою чергу викликає затримку у випуску сертифікатів вищого рівня CodeSign сертифікатів >>>, PDF сертифікатів>>>, EV SSL сертифікатів >>>
08.01.2025 WHOIS and SSL сертифікати
Метод перевірки контролю домену - DCV, який спирається на контактну інформацію загальнодоступного домену, наведеную в базі даних WHOIS - ненадійний. Використання контактної інформації WHOIS стало ненадійним і менш безпечним способом перевірки доменів, а галузеві стандарти вимагають використання більш суворих методів перевірки.
Щоб підтримувати відповідність новим галузевим стандартам, DigiCert має припинити використання методів DCV, які залежать від WHOIS, у наступний термін:
• 8 січня 2025 р. – припинення підтримки HTTPS/веб-пошуку WHOIS (іноді використовується агентами DigiCert, коли автоматичний пошук не повертає дані).
• 8 травня 2025 р. – припинено підтримку всіх методів DCV, які базуються на WHOIS.
• 8 липня 2025 р. – Визнайте недійсними всі існуючі домени, перевірені за допомогою методів DCV, що залежать від WHOIS.