НОВОСТИ

19-11-17

StartCom закрывается

Удостоверяющий центр StartCom закроется и перестанет выпускать новые сертификаты с начала следующего года. Об этом сообщил председатель управляющего совета организации Xiaosheng Tan. Кроме того, возобновление корневой программы Mozilla больше не обсуждается. Как мы помним, Mozilla и другие крупные производители браузеров удалили корни Startcom и Wosign за нарушение правил выпуска сертификатов.

Startcom принадлежит китайской интернет-компании Qihoo360. Еще до лишения доверия крупные производители браузеров установили, что связь Wosign и Startcom была недостаточно разъяснена. Также имелись технические ошибки в выпуске сертификатов. 

Прекращение выпуска сертификатов должна произойти 1 января 2018 года. Сервисы Certificate Revocation List (CRL) и OCSP будут работать еще два года с отмеченной выше даты. По истечении этого времени все три пары корневых ключей StartCom будут уничтожены.

Удостоверяющий центр Startcom недавно попытался обновить собственную инфраструктуру и повторно войти в различные корневые программы. Однако новое программное обеспечение на базе PHP провалилось в тесте безопасности Cure53. Как показал тест, код на PHP содержал много багов, был плохо закомментирован, и в целом выглядел так, словно его писали на скорую руку.

Xiaosheng Tan из StartCom поблагодарил сообщества Mozilla и Cure53 за обратную связь. Он отметил, что аудит Cure53 показал массу возможностей для улучшения.

Компания LeaderSSL предлагает проверенные сертификаты от ведущих удостоверяющих центров. Вы всегда можете приобрести сертификаты по демократичным ценам в нашем магазине.

15-11-17

Google планируют удалить поддержку HTTP Public Key Pinning (HPKP)

HTTP Public Key Pinning (HPKP) представляет собой стандарт безопасности, который заставляет браузеры принимать только определенные «привязанные» (pinned) публичные ключи при посещении хоста в течение фиксированного периода времени. Эта функция была введена Google в 2015 году. Однако она так и не смогла завоевать популярность.

Крис Палмер написал в блоге Chromium пост о том, что HPKP мертв. Google планируют убрать поддержку HPKP примерно в релизе Chrome 67 (по плану должен выйти в следующем мае). Полная поддержка HPKP была реализована только в Chrome и Opera из крупных браузеров. Firefox так и не закончили развертывание поддержки HPKP, а Apple и Microsoft даже не начинали этого делать.

В качестве второго шага разработчики Chrome планируют полностью удалить поддержку для встроенных PKP («статичных пинов»). Сделано это будет к тому моменту, как Chrome будет требовать выполнение прозрачности сертификатов (Certificate Transparency) для всех публичных сертификатов. Пока конкретных дат по этому решению не было названо. 

Почему приняли решение отказаться от HPKP

Все сводится к тому, что HPKP – это неудобный способ выполнения нескольких действий, которые уже прекрасно реализованы с помощью других механизмов или протоколов.

Проблемы HPKP следующие:

  • Сложно настроить набор пинов, который будет гарантированно работать, поскольку все CA и хранилища доверия работают по-разному.
  • Есть риск сделать сайт неработающим (из-за создания неверного набора пинов).
  • Есть риск пиннинга ошибочного сертификата, который был выпущен злоумышленниками.

По словам Палмера, для защиты от выпуска ошибочных сертификатов веб-разработчики должны использовать заголовок Expect-CT с его возможностью отчетов. Expect-CT более безопасен, нежели HPKP, поскольку можно восстанавливаться после любых ошибок конфигурации. Плюс ко всему, Expect-CT имеет встроенную поддержку со стороны многих CA.

Подписывайтесь на обновления LeaderSSL, чтобы всегда оставаться в курсе событий из мира онлайн-безопасности и SSL.

14-11-17

DigiCert закрыла сделку с Symantec по приобретению SSL бизнеса

31 октября компания DigiCert объявила о том, что сделка по приобретению активов Symantec – инфраструктуры PKI и инструментов безопасности сайтов – на сумму $950 млн была закрыта. Анонс сделки появился в СМИ еще 3 августа. DigiCert приобрели SSL бизнес Symantec после того, как компания попала под немилость по стороны Google и других крупных поставщиков браузеров. По результатам сделки Symantec сохранит 30% долю в акционерном капитале DigiCert. 

Как отметил CEO DigiCert Джон Меррилл (John Merrill), некоторые платформы, используемые Symantec, являлись устаревшими, в то время как инфраструктура DigiCert отличается большей новизной и современностью.

Особенности сделки между Symantec и DigiCert

Symantec изначально приобрела бизнес по выпуску SSL/TLS-сертификатов у VeriSign за $1.28 млрд в 2010. Компания также получила в свое распоряжение такие бренды, как Thawte, GeoTrust и RapidSSL.

Главным импульсом для приобретения DigiCert стал тот факт, что Google публично заявили об отзыве доверия к сертификатам Symantec. По словам Джона Меррилла, представители Google одобрили перенос выпуска SSL/TLS-сертификатов в инфраструктуру DigiCert.

Также Джон рассказал о том, что DigiCert нанял объединенную команду поддержки для всех клиентов Symantec SSL/TLS. Часть плана состоит в том, чтобы удержать уже существующих клиентов, предложив им лучший сервис.

Приобретение SSL бизнеса Symantec – это не первая сделка, заключаемая DigiCert. В июне 2015 года компания приобрела CyberTrust Enterprise SSL бизнес от Verizon Enterprise Solutions. Джон отметил, что у них есть наработанные решения, которые помогли с интеграцией Symantec в инфраструктуру DigiCert.

Как уже было отмечено ранее, DigiCert продолжит работать из своей штаб-квартиры в Лехи (Юта). Компания планирует нанять более 1000 специалистов в дополнительных офисах в Калифорнии, а также в других странах мира. Как отметил Джон Меррилл, добавление решений Symantec для обеспечения безопасности сайтов позволит компании расширить свой глобальный охват.

Наши специалисты сделают все возможное, чтобы переход к новой инфраструктуре произошел максимально легко, быстро и незаметно для клиентов. Также вы всегда можете купить у нас различные сертификаты Symantec по выгодным ценам.

 

13-11-17

Компания Francisco Partners приобрела SSL-бизнес Comodo

Бизнес по выпуску сертификатов Comodo был приобретен компанией Francisco Partners. Новости об этом появились в тот же день, что и анонс закрытия сделки между Symantec и DigiCert.

Мелих Абдулхайоглу (Melih Abdulhayoglu), основатель и директор компании Comodo, отметил, что он лишь снизил свою долю в бизнесе, а не продал весь бизнес. Это позволит компании сконцентрироваться на других решениях в области кибербезопасности.

Francisco Partners назначили Билла Хольца (Bill Holtz)в качестве генерального директора Comodo CA. Ранее Билл работал главным операционным директором в Entrust. По его словам, главной задачей для Comodo станет экспансия рынка SSL-сертификатов. Невзирая на то, что Comodo и так занимает лидирующие позиции на этом рынке, их бренд не настолько хорошо узнаваем в мире. Компании удалось избежать проблем, которые постигли ее конкурентов. Серьезное нарушение, связанное с двумя реселлерами, произошло лишь один раз в 2011 году, и с тех пор компания изменила свою бизнес-модель, чтобы обезопасить себя от подобных случаев.

Еще одно назначение в управляющем совете компании – Билл Коннор (Bill Connor), президент и генеральный директор SonicWALL. Компания SonicWALL также принадлежит Francisco Partners. Естественно, SonicWALL уже объявила о том, что в ближайшем релизе будет введена широкая поддержка Comodo сертификатов. По словам Билла Коннера, со временем бизнес Comodo CA может ждать ребрендинг.

Удостоверяющий центр Comodo выпустил более 91 млн сертификатов и имеет свыше 200 000 клиентов по всему миру. Основатель Comodo Мелих Абдулхайоглу остается в качестве миноритарного владельца и наблюдателя в совете директоров.

LeaderSSL - официальный партнер Comodo, поэтому вы всегда можете приобрести у нас любые сертификаты Comodo по выгодным ценам.

12-11-17

Скорректированы правила задания юрисдикции при выпуске EV-сертификатов

Правила по выпуску и управлению EV (Extended Validation) сертификатов содержат пункт 9.2.5 «Юрисдикция учреждения или регистрации субъекта», который является обязательным для заполнения. Он включает в себя поля «Locality» (если требуется), «State or province» (если требуется) и «Country». При этом текущее описание полей в документе является следующим:

subject:jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1)

ASN.1 - X520LocalityName as specified in RFC 5280

subject:jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2)

ASN.1 - X520StateOrProvinceName as specified in RFC 5280

subject:jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3)

ASN.1 – X520countryName as specified in RFC 5280

Однако участники CA/B Forum обнаружили, что в X.520 или RFC 5280 (https://tools.ietf.org/html/rfc5280) отсутствуют jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1), jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2), jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3.

В связи с этим CA/B Forum вынес предложение Ballot 207, в котором планируется добавить релевантные правила ASN.1 для jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1), jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2), jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3.

Предложение Ballot 207 было принято большинством голосов. Его итогом стало добавление Appendix G (Приложение G) к документу с правилами EV. Приложение G содержит следующие правила задания юрисдикции в синтаксисе ASN.1:

CABFSelectedAttributeTypes {joint‐iso‐itu‐t(2) international‐

organizations(23) ca‐browser‐forum(140) module(4)

cabfSelectedAttribute-Types(1) 1}

DEFINITIONS ::=

BEGIN

-- EXPORTS All

IMPORTS

  -- from Rec. ITU-T X.501 | ISO/IEC 9594-2 selectedAttributeTypes, ID,

ldap-enterprise

      FROM UsefulDefinitions {joint-iso-itu-t ds(5) module(1)

usefulDefinitions(0) 7}

  -- from the X.500 series ub-locality-name, ub-state-name

      FROM UpperBounds {joint-iso-itu-t ds(5) module(1) upperBounds(10) 7}

  -- from Rec. ITU-T X.520 | ISO/IEC 9594-6

  DirectoryString{}, CountryName

      FROM SelectedAttributeTypes selectedAttributeTypes;

id-evat-jurisdiction ID ::= {ldap-enterprise 311 ev(60) 2 1}

id-evat-jurisdiction-localityName ID ::= {id-evat-jurisdiction 1}

id-evat-jurisdiction-stateOrProvinceName ID ::= {id-evat-jurisdiction 2}

id-evat-jurisdiction-countryName ID ::= {id-evat-jurisdiction 3}

jurisdictionLocalityName ATTRIBUTE ::= {

  SUBTYPE OF name

  WITH SYNTAX DirectoryString{ub-locality-name} LDAP-SYNTAX

directoryString.&id LDAP-NAME {"jurisdictionL"} ID

id-evat-jurisdiction-localityName }

jurisdictionStateOrProvinceName ATTRIBUTE ::= {

  SUBTYPE OF name

  WITH SYNTAX DirectoryString{ub-state-name} LDAP-SYNTAX

directoryString.&id LDAP-NAME {"jurisdictionST"} ID

id-evat-jurisdiction-stateOrProvinceName }

jurisdictionCountryName ATTRIBUTE ::= {

  SUBTYPE OF name

  WITH SYNTAX CountryName SINGLE VALUE TRUE LDAP-SYNTAX countryString.&id

LDAP-NAME {"jurisdictionC"} ID id-evat-jurisdiction-countryName }

END

В ближайшее время стоит ждать выхода обновленного руководства по выпуску EV сертификатов, которое будет опубликовано в соответствующей секции CA/B Forum. Оно будет содержать описанный выше Appendix G.

Заказывайте EV-сертификаты в доверенном магазине LeaderSSL. Мы всегда держим руку на пульсе событий!