НОВОСТИ

19-06-17

Представители Symantec продолжают публичный диалог и внесли свои предложения по выпуску SSL-сертификатов

23 марта разработчики Google Chrome анонсировали в своем блоге планируемые последствия для Symantec за неверную выдачу SSL-сертификатов. Компания Symantec тщательно проанализировала имевшие место события и подготовила список действий, направленных на усиление безопасности в сфере выдачи SSL-сертификатов.

В первую очередь компания Symantec обратилась к своим клиентам, чтобы оценить потенциальное влияние описанных Google санкций за ошибочный выпуск SSL-сертификатов. Среди клиентов компании значатся многочисленные финансовые сервисы, медицинские организации, правительственные учреждения и т.д. Если планируемые изменения Google вступят в силу, то инфраструктура данных организаций сильно пострадает ввиду сложных зависимостей от корневых сертификатов Symantec.

Процесс перехода к новому центру сертификации может растянуться на несколько месяцев, а в некоторых случаях и на годы, поскольку могут возникнуть неизвестные или недокументированные зависимости. Кроме того, лишь немногие компании успели внедрить автоматизацию нового жизненного цикла сертификатов, что требуется для безопасного и выгодного внедрения сертификатов с более коротким сроком действия. Проблемы с совместимостью, которые могут возникнуть в результате полномасштабной замены сертификатов, будут весьма серьезными и непредсказуемыми, считают представители Symantec.

Предложения сообществу со стороны Symantec

Компания Symantec понимает, что необходимо обеспечить полную прозрачность всех действий удостоверяющего центра, а потому она внесла свои предложения, направленные на усиление доверия и достижение непревзойденного уровня безопасности.

  1. Symantec предложили провести ретроспективный аудит всех выпущенных ими активных EV SSL-сертификатов, чтобы доказать свою надежность и ответственность. В качестве аудиторов планируется привлечь стороннюю компанию. Это предложение было внесено в ответ на планируемый отказ в доверии EV сертификатам от Symantec в браузере Chrome (как прошлым, так и будущим). Компания планирует завершить сторонний аудит до конца августа 2017.
  2. Исторически сложилось так, что Symantec выпускали сертификаты либо напрямую, либо через партнерские регистрационные центры (RA). В качестве второй меры Symantec хотят провести аудит всех сертификатов, выпущенных их RA-партнерами, включая CrossCert, Certisign, Certsuperior и Certisur. Эту проверку также планируется завершить до конца августа 2017.
  3. Symantec проведут шестимесячный аудит WebTrust в период с 1 декабря 2016 по 31 мая 2017. После этого аудит будет проводиться ежеквартально, начиная с 1 июня 2017 по 31 августа 2017. Цель этого действия – обеспечение максимальной прозрачности в отношении всех операций и новых сертификатов, выпущенных Symantec.
  4. Будет опубликован ежеквартальный отчет, из которого сообщество сможет узнать о прогрессе внешних аудитов и о ходе программы всестороннего улучшения компании.
  5. Symantec внесут в CA/B Forum предложения по улучшению руководств, связанных с исключительными запросами клиентов. По мнению Symantec, руководства должны быть дополнены пунктами, связанными с оценкой риска, который несут в себе такие запросы клиентов. Также нужно будет прописать условия, при которых CA/B Forum сможет эффективно утверждать такие исключительные запросы (выходящие за рамки установленных правил). 
  6. Symantec планируют пересмотреть процедуру ответа на запросы сообщества браузеров, сделав ответы более детальными и быстрыми.
  7. Symantec полностью поддерживают переход к сертификатам с более коротким сроком действия. К 31 августа 2017 компания планирует предлагать SSL/TLS-сертификаты с трехмесячным сроком действия, которые будут востребованы у клиентов, уже внедривших автоматизацию SSL. Symantec в краткосрочной перспективе инвестируют средства в модернизацию систем выдачи сертификатов и создание инструментов, которые позволят клиентам компании быстро и безопасно внедрять свои сертификаты и конфигурировать свои системы.
  8. Symantec проведут повторную проверку всех выпущенных сертификатов, срок действия которых превышает 9 месяцев. Повторная проверка позволит увеличить доверие к исходному сертификату, что является расширением базовой модели доверия УЦ.
  9. Компания увеличивает инвестиции в безопасность и оценку рисков. Первый шаг: привлечение сторонней компании для проведения анализа и оценки рисков всех операций УЦ Symantec. Эти действия планируется завершить к концу октября 2017 года.
  10. Symantec обновят свою корневую программу (Root Program), чтобы явно разграничить разные случаи использования сертификатов. К примеру, будут созданы специализированные корни и/или субцентры сертификации для сегментирования клиентов, которые используют публичные иерархии для закрытых экосистем, для смешанных экосистем, клиентов, которым требуются сертификаты с более продолжительным сроком действия, клиентов, которые работают с объемным веб-трафиком и т.д. 
  11. Компания Symantec планирует внедрить свою технологическую инфраструктуру Global Intelligence Network для выявления зашифрованных веб-сайтов, которые имеют высокий риск угроз. К таким сайтам будут применяться меры по снижению риска для сертификатов Symantec.

Какие меры уже были предприняты Symantec

Symantec уже осуществили ряд действий, представленных в предложении выше. Во-первых, компания решила закрыть выпуск сертификатов через регистрационные центры (RA). Также специалисты провели аудит всех сертификатов, выпущенных их прошлыми RA-партнерами. Отчет о сертификатах опубликован в блоге Symantec.

Во-вторых, Symantec добилась беспрецедентного уровня безопасности сертификатов, внося в логи прозрачности абсолютно все сертификаты (не только EV, но и DV с OV). Индустрия пока только движется в этом направлении. 

Symantec – один из ключевых игроков в экосистеме веб-доверия. Компания прилагает все усилия для того, чтобы минимизировать последствия, вызванные ошибочным выпуском SSL-сертификатов.

17-06-17

Начиная с Chrome 58, самоподписанные сертификаты без SubjectAltName больше не являются доверенными

В версии Chrome 58 сертификаты, в которых не указаны имена хостов в поле SubjectAltName, будут приводить к ошибке «Your connection is not private» («Ваше соединение не защищено»). Аналогичное изменение было принято и в Firefox 48, однако до этого пользователи не сообщали о каких-либо проблемах.

В деталях к странице ошибки имеется указание на тип ошибки - [missing_subjectAltName]. Сделано это было для того, чтобы сформировать у пользователей представление о возникшей проблеме, так как код ошибки NET::ERR_CERT_COMMON_NAME_INVALID является слишком общим и может выводиться в разных ситуациях. Предупреждение Subject Alternative Name Missing присутствует и в панели Security в инструментах разработчика.

Chrome 58 позволяет временно вернуть старое поведение браузера. Делается это с помощью политики EnableCommonNameFallbackForLocalAnchors. Она позволяет избежать повторной генерации сертификатов. Однако это решение является временным и будет удалено в последующих версиях браузера (не позднее Chrome 65). Мы настоятельно рекомендуем заново сгенерировать самоподписанные SSL-сертификаты с включением расширения Subject Alternative Name.

Также важно помнить о том, что утилита Makecert.exe, поставляемая вместе с Windows, не способна задавать поле SubjectAltName в сертификатах, а потому следует отказаться от ее использования для генерации самоподписанных сертификатов. Вместо нее лучше обратиться к современной команде SelfSignedCertificate в PowerShell.

Самоподписанные SSL-сертификаты - очень слабая (практически нулевая) защита от злоумышленников. Мы настоятельно рекомендуем перейти на коммерческие SSL-сертификаты от доверенных центров сертификации, таких как Comodo, Symantec, Thawte и т.д. Вы всегда можете заказать их в нашем магазине по демократичным ценам.

11-06-17

CA/B Forum рассматривает возможность закрепления размеров компенсаций со стороны удостоверяющих центров за неправильно выпущенные EV SSL-сертификаты

Участники CA/B Forum рассматривают возможность пересмотра условий, связанных с выплатой компенсаций со стороны удостоверяющих центров перед клиентами в связи с неправильным выпуском или компрометацией EV SSL-сертификатов.

Как следует из предложения, внесенного Кирком Холлом и дополненного Питером Боуэном, удостоверяющий центр не может ставить сумму компенсации перед клиентами или сторонами по юридически обоснованным претензиям меньше, чем:

  • $2000 за EV SSL-сертификат на каждого клиента. 
  • $100,000 в совокупности по всем претензиям от всех клиентов и сторон за EV SSL-сертификат.
  • $5,000,000 в совокупности по всем претензиям от всех клиентов и сторон по всем EV SSL-сертификатам, выпущенным удостоверяющим центром в течение любого непрерывного 12-месячного периода.

Предложение в данный момент находится на рассмотрении и будет впоследствии вынесено на голосование.

В случае его принятия удостоверяющим центрам понадобится тщательнее подходить к выполнению расширенной проверки при выпуске EV SSL-сертификатов.

06-06-17

CA/B Forum уточнил правила выпуска SSL-сертификатов для доменов .onion

Не так давно CA/B Forum, регулятор индустрии SSL, принял новое положение: стало обязательным включение расширения Tor Service Descriptor Hash в TBSCertificate. Теперь удостоверяющий центр может выпускать EV сертификат для доменного имени .onion только при выполнении двух правил:

  • Удостоверяющий центр должен включить расширение CAB Forum в TBSCertificate для передачи хэшей ключей, связанных с адресами .onion.
  • Удостоверяющий центр должен включить расширение Tor Service Descriptor Hash в следующем формате:

cabf-TorServiceDescriptorHash OBJECT IDENTIFIER ::= { 2.23.140.1.31 }

TorServiceDescriptorHash:: = SEQUENCE {

algorithm                        AlgorithmIdentifier

subjectPublicKeyHash   BIT STRING              }

Здесь AlgorithmIdentifier – это алгоритм хэширования, определенный в RFC 6234. Этот алгоритм выполняется над необработанным публичным ключом в сервисе .onion.

SubjectPublicKeyHash – это значение хэш-вывода для необработанного публичного ключа.

Предложенные изменения дополняют правила расширенной проверки, принятые CA/B Forum. За данное изменение проголосовало 9 удостоверяющих центров при 4 воздержавшихся, а также 4 производителя браузеров. 

О доменах .onion 

Домены .onion применяются в Tor для сокрытия персональных данных, расположения и поведения в сети. Tor создан для защиты конфиденциальной информации онлайн. Глубокая сеть, закрытая для индексирования и поиска, примерно в 500 раз шире открытой сети. Очень часто .onion сайты используются для хранения баз данных, а также для деятельности государственных учреждений, учебных заведений и частных компаний.

Поскольку глубокая сеть в основном является изолированной, пользователям сложно понять, находятся ли они на правильном .onion сайте. Публичный SSL-сертификат позволяет упростить процесс идентификации для пользователей, поскольку они будут знать, что находятся на верном сайте.

Вы всегда можете заказать SSL-сертификаты для доменов .onion в нашем магазине.