×

Отправьте заявку

и мы перезвоним вам в ближайшее время

*поля, обязательные для заполнения

НОВОСТИ

19-06-17

Представители Symantec продолжают публичный диалог и внесли свои предложения по выпуску SSL-сертификатов

23 марта разработчики Google Chrome анонсировали в своем блоге планируемые последствия для Symantec за неверную выдачу SSL-сертификатов. Компания Symantec тщательно проанализировала имевшие место события и подготовила список действий, направленных на усиление безопасности в сфере выдачи SSL-сертификатов.

В первую очередь компания Symantec обратилась к своим клиентам, чтобы оценить потенциальное влияние описанных Google санкций за ошибочный выпуск SSL-сертификатов. Среди клиентов компании значатся многочисленные финансовые сервисы, медицинские организации, правительственные учреждения и т.д. Если планируемые изменения Google вступят в силу, то инфраструктура данных организаций сильно пострадает ввиду сложных зависимостей от корневых сертификатов Symantec.

Процесс перехода к новому центру сертификации может растянуться на несколько месяцев, а в некоторых случаях и на годы, поскольку могут возникнуть неизвестные или недокументированные зависимости. Кроме того, лишь немногие компании успели внедрить автоматизацию нового жизненного цикла сертификатов, что требуется для безопасного и выгодного внедрения сертификатов с более коротким сроком действия. Проблемы с совместимостью, которые могут возникнуть в результате полномасштабной замены сертификатов, будут весьма серьезными и непредсказуемыми, считают представители Symantec.

Предложения сообществу со стороны Symantec

Компания Symantec понимает, что необходимо обеспечить полную прозрачность всех действий удостоверяющего центра, а потому она внесла свои предложения, направленные на усиление доверия и достижение непревзойденного уровня безопасности.

  1. Symantec предложили провести ретроспективный аудит всех выпущенных ими активных EV SSL-сертификатов, чтобы доказать свою надежность и ответственность. В качестве аудиторов планируется привлечь стороннюю компанию. Это предложение было внесено в ответ на планируемый отказ в доверии EV сертификатам от Symantec в браузере Chrome (как прошлым, так и будущим). Компания планирует завершить сторонний аудит до конца августа 2017.
  2. Исторически сложилось так, что Symantec выпускали сертификаты либо напрямую, либо через партнерские регистрационные центры (RA). В качестве второй меры Symantec хотят провести аудит всех сертификатов, выпущенных их RA-партнерами, включая CrossCert, Certisign, Certsuperior и Certisur. Эту проверку также планируется завершить до конца августа 2017.
  3. Symantec проведут шестимесячный аудит WebTrust в период с 1 декабря 2016 по 31 мая 2017. После этого аудит будет проводиться ежеквартально, начиная с 1 июня 2017 по 31 августа 2017. Цель этого действия – обеспечение максимальной прозрачности в отношении всех операций и новых сертификатов, выпущенных Symantec.
  4. Будет опубликован ежеквартальный отчет, из которого сообщество сможет узнать о прогрессе внешних аудитов и о ходе программы всестороннего улучшения компании.
  5. Symantec внесут в CA/B Forum предложения по улучшению руководств, связанных с исключительными запросами клиентов. По мнению Symantec, руководства должны быть дополнены пунктами, связанными с оценкой риска, который несут в себе такие запросы клиентов. Также нужно будет прописать условия, при которых CA/B Forum сможет эффективно утверждать такие исключительные запросы (выходящие за рамки установленных правил). 
  6. Symantec планируют пересмотреть процедуру ответа на запросы сообщества браузеров, сделав ответы более детальными и быстрыми.
  7. Symantec полностью поддерживают переход к сертификатам с более коротким сроком действия. К 31 августа 2017 компания планирует предлагать SSL/TLS-сертификаты с трехмесячным сроком действия, которые будут востребованы у клиентов, уже внедривших автоматизацию SSL. Symantec в краткосрочной перспективе инвестируют средства в модернизацию систем выдачи сертификатов и создание инструментов, которые позволят клиентам компании быстро и безопасно внедрять свои сертификаты и конфигурировать свои системы.
  8. Symantec проведут повторную проверку всех выпущенных сертификатов, срок действия которых превышает 9 месяцев. Повторная проверка позволит увеличить доверие к исходному сертификату, что является расширением базовой модели доверия УЦ.
  9. Компания увеличивает инвестиции в безопасность и оценку рисков. Первый шаг: привлечение сторонней компании для проведения анализа и оценки рисков всех операций УЦ Symantec. Эти действия планируется завершить к концу октября 2017 года.
  10. Symantec обновят свою корневую программу (Root Program), чтобы явно разграничить разные случаи использования сертификатов. К примеру, будут созданы специализированные корни и/или субцентры сертификации для сегментирования клиентов, которые используют публичные иерархии для закрытых экосистем, для смешанных экосистем, клиентов, которым требуются сертификаты с более продолжительным сроком действия, клиентов, которые работают с объемным веб-трафиком и т.д. 
  11. Компания Symantec планирует внедрить свою технологическую инфраструктуру Global Intelligence Network для выявления зашифрованных веб-сайтов, которые имеют высокий риск угроз. К таким сайтам будут применяться меры по снижению риска для сертификатов Symantec.

Какие меры уже были предприняты Symantec

Symantec уже осуществили ряд действий, представленных в предложении выше. Во-первых, компания решила закрыть выпуск сертификатов через регистрационные центры (RA). Также специалисты провели аудит всех сертификатов, выпущенных их прошлыми RA-партнерами. Отчет о сертификатах опубликован в блоге Symantec.

Во-вторых, Symantec добилась беспрецедентного уровня безопасности сертификатов, внося в логи прозрачности абсолютно все сертификаты (не только EV, но и DV с OV). Индустрия пока только движется в этом направлении. 

Symantec – один из ключевых игроков в экосистеме веб-доверия. Компания прилагает все усилия для того, чтобы минимизировать последствия, вызванные ошибочным выпуском SSL-сертификатов.

17-06-17

Начиная с Chrome 58, самоподписанные сертификаты без SubjectAltName больше не являются доверенными

В версии Chrome 58 сертификаты, в которых не указаны имена хостов в поле SubjectAltName, будут приводить к ошибке «Your connection is not private» («Ваше соединение не защищено»). Аналогичное изменение было принято и в Firefox 48, однако до этого пользователи не сообщали о каких-либо проблемах.

В деталях к странице ошибки имеется указание на тип ошибки - [missing_subjectAltName]. Сделано это было для того, чтобы сформировать у пользователей представление о возникшей проблеме, так как код ошибки NET::ERR_CERT_COMMON_NAME_INVALID является слишком общим и может выводиться в разных ситуациях. Предупреждение Subject Alternative Name Missing присутствует и в панели Security в инструментах разработчика.

Chrome 58 позволяет временно вернуть старое поведение браузера. Делается это с помощью политики EnableCommonNameFallbackForLocalAnchors. Она позволяет избежать повторной генерации сертификатов. Однако это решение является временным и будет удалено в последующих версиях браузера (не позднее Chrome 65). Мы настоятельно рекомендуем заново сгенерировать самоподписанные SSL-сертификаты с включением расширения Subject Alternative Name.

Также важно помнить о том, что утилита Makecert.exe, поставляемая вместе с Windows, не способна задавать поле SubjectAltName в сертификатах, а потому следует отказаться от ее использования для генерации самоподписанных сертификатов. Вместо нее лучше обратиться к современной команде SelfSignedCertificate в PowerShell.

Самоподписанные SSL-сертификаты - очень слабая (практически нулевая) защита от злоумышленников. Мы настоятельно рекомендуем перейти на коммерческие SSL-сертификаты от доверенных центров сертификации, таких как Comodo, Symantec, Thawte и т.д. Вы всегда можете заказать их в нашем магазине по демократичным ценам.

11-06-17

CA/B Forum рассматривает возможность закрепления размеров компенсаций со стороны удостоверяющих центров за неправильно выпущенные EV SSL-сертификаты

Участники CA/B Forum рассматривают возможность пересмотра условий, связанных с выплатой компенсаций со стороны удостоверяющих центров перед клиентами в связи с неправильным выпуском или компрометацией EV SSL-сертификатов.

Как следует из предложения, внесенного Кирком Холлом и дополненного Питером Боуэном, удостоверяющий центр не может ставить сумму компенсации перед клиентами или сторонами по юридически обоснованным претензиям меньше, чем:

  • $2000 за EV SSL-сертификат на каждого клиента. 
  • $100,000 в совокупности по всем претензиям от всех клиентов и сторон за EV SSL-сертификат.
  • $5,000,000 в совокупности по всем претензиям от всех клиентов и сторон по всем EV SSL-сертификатам, выпущенным удостоверяющим центром в течение любого непрерывного 12-месячного периода.

Предложение в данный момент находится на рассмотрении и будет впоследствии вынесено на голосование.

В случае его принятия удостоверяющим центрам понадобится тщательнее подходить к выполнению расширенной проверки при выпуске EV SSL-сертификатов.

06-06-17

CA/B Forum уточнил правила выпуска SSL-сертификатов для доменов .onion

Не так давно CA/B Forum, регулятор индустрии SSL, принял новое положение: стало обязательным включение расширения Tor Service Descriptor Hash в TBSCertificate. Теперь удостоверяющий центр может выпускать EV сертификат для доменного имени .onion только при выполнении двух правил:

  • Удостоверяющий центр должен включить расширение CAB Forum в TBSCertificate для передачи хэшей ключей, связанных с адресами .onion.
  • Удостоверяющий центр должен включить расширение Tor Service Descriptor Hash в следующем формате:

cabf-TorServiceDescriptorHash OBJECT IDENTIFIER ::= { 2.23.140.1.31 }

TorServiceDescriptorHash:: = SEQUENCE {

algorithm                        AlgorithmIdentifier

subjectPublicKeyHash   BIT STRING              }

Здесь AlgorithmIdentifier – это алгоритм хэширования, определенный в RFC 6234. Этот алгоритм выполняется над необработанным публичным ключом в сервисе .onion.

SubjectPublicKeyHash – это значение хэш-вывода для необработанного публичного ключа.

Предложенные изменения дополняют правила расширенной проверки, принятые CA/B Forum. За данное изменение проголосовало 9 удостоверяющих центров при 4 воздержавшихся, а также 4 производителя браузеров. 

О доменах .onion 

Домены .onion применяются в Tor для сокрытия персональных данных, расположения и поведения в сети. Tor создан для защиты конфиденциальной информации онлайн. Глубокая сеть, закрытая для индексирования и поиска, примерно в 500 раз шире открытой сети. Очень часто .onion сайты используются для хранения баз данных, а также для деятельности государственных учреждений, учебных заведений и частных компаний.

Поскольку глубокая сеть в основном является изолированной, пользователям сложно понять, находятся ли они на правильном .onion сайте. Публичный SSL-сертификат позволяет упростить процесс идентификации для пользователей, поскольку они будут знать, что находятся на верном сайте.

Вы всегда можете заказать SSL-сертификаты для доменов .onion в нашем магазине. 

Начните 14-дневный пробный период

Попробуйте SSL сертификат с 14-дневным бесплатным тестовым периодом и убедитесь в великолепном качестве наших услуг. Начать очень просто - Вы не рискуете ничем. Если Вас что-либо не устроит, просто не платите по окончании тестового периода. Никакой предоплаты!

Готовы попробовать?

Остались вопросы? Звоните! 8 (800) 555-5737
×

Не нашли то, что искали?

У нас настолько много информации по этому запросу, что вы могли бы уточнить Ваш запрос?

Оставьте свои контакты, чтобы получить FAQ на почту

Ссылка на скачивание PDF версии FAQ была успешно выслана на ваш email.

Ошибка отправки письма. Повторите попытку позже.

*поля, обязательные для заполнения
SSL