До уваги власників 2-річних SSL сертифікатів.

 

З 27 серпня для діючих дворічних SSL сертифікатів після перевипуску буде скорочуватись термін дії до 397 днів (без відшкодування вартості втраченого терміну). Будьте уважні та не перевидавайте діючі дворічки SSL без необхідності.

Нагадуємо, що з 1 вересня SSL сертифікати видаватимутся виключно терміном дії 1 рік. Сертифікаційні центри припиняються видачу 2-річних сертифікатів невалідованим організаціям з 12 серпня, валідованим 27 серпня.

Провідні сертифікаційні центри також почали багаторічні програми, де сертифікат можна придбати на термін до 6 років. Сутність програми в тому, що оплата проводиться одразу на багато років, але сам SSL сертифікат буде перевидаватися щорічно з попередньою валідацію домену та організації.

   

С 1 сентября 2020 года SSL сертификаты только на 1 год

SSL сертифікати тільки на 1 рік

Що це для користувачів сертифікованих веб-сайтів? Що стосується вашого веб-сайту Safari, ви більше не можете публічно надсилати сертифікати TLS, а термін, який потрібно було пройти 398 днів після 30 серпня 2020 року. Будь-які сертифікати, видані до 1 вересня 2020 року, залишаються справді незалежними від терміну дії (до 825 днів). Сертифікати, які використовують не для публічної довіри, все ще можуть бути розпізнані до максимальної терміни, яка вимагає 825 днів.

Чому так сталося.

Як правило, у форумі CA / Browser (CA / B) у Братиславі, Словаччина, Apple оголосила, що з 1 вересня почала використовувати у своєму браузері Safari нові новини, що публікуються публічно, щоб отримати сертифікати TLS, які мають не більше 398 днів. Це супроводжує довгу історію, яка обговорюється у Форумі CA / B, яка працювала над скороченням терміну службового сертифіката та покращувала безпеку, одночасно використовуючи необхідні власні користувачі, переходячи на короткі терміни.

У серпні 2019 року Google представив бюлетень для голосування на форумі CA / B SC22, щоб зменшити терміни сертифікатів TLS до одного року. Організатори розглядали цю пропозицію із своїми власними замовниками та публікували інших користувачів коментарів, які в основному підтримували протидії, а також додавали додаткові результати, необхідні ІТ-команди для скорочення коротких термінів. Будучи не ввімкненим у Форумі, що зазначило, що максимальний термін сертифікатів підтверджувався протягом двох років.

Час від часу можна було отримати сертифікати SSL з максимально можливим терміном три роки. Кілька років тому вони скоро до двох років. Швидкий перехід до цього Apple, який підкреслює те, що не вдалося зробити головному SC22: скоро перевірити сертифікат до одного року.

Чому Apple в односторонньому випадку працювала за короткою терміном, що скорочує термін дії сертифікатів? Їх речник вважає, що це "захищений користувач". З попередньою дискусією Форум CA / B ми знаємо, що довший термін служби сертифікованих довіряє склад у заміні сертифікатів у великих інцидентах, які мають бути впевнені. Apple очевидно хоче використати системи, які не можуть швидко реагувати на основні загрози, представлені сертифікатами. Короткотривалі сертифікати покращують безпеку, при цьому вони зменшують експозицію вікна, і сертифікат TLS надсилається. Також ми підтримуємо нормальне функціонування в організації, використовуючи те, що оновлено ідентифікують, як і колись, і адресу та активні домени. Як і будь-яке, котрий підкреслив, скорочення терміну життя запросив бути суттєво перед твердими, необхідними для користувачів сертифікатів для досить важливих.

Зараз Apple представила свою офіційну інформацію про основні знання про цю тему https://support.apple.com/en-us/HT211025.

   

Постквантовая криптография

Подготовка к квантово-безопасному будущему.

Почти все цифровые коммуникации защищены тремя криптографическими системами:

  1. шифрование с открытым ключом
  2. цифровые подписи
  3. обмен ключами

В современной инфраструктуре открытых ключей эти системы реализованы с использованием асимметричных криптографических алгоритмов RSA или ECC. Криптография RSA и ECC основывается на так называемом предположении о вычислительной жесткости - гипотезе о том, что теоретическая числовая задача (такая как целочисленная факторизация или проблема дискретного логарифма) не имеет эффективного решения. Однако эти предположения основывались на вычислительной мощности классических компьютеров.

В 1994 году Питер Шор продемонстрировал, что асимметричные алгоритмы, основанные на предположении о вычислительной жесткости, могут быть очень легко нарушены с помощью достаточно мощного квантового компьютера и специального алгоритма, позже названного алгоритмом Шора. Фактически, квантовый компьютер с достаточным количеством кубитов и глубиной контура мог мгновенно взломать асимметричные алгоритмы. Исследование, опубликованное ASC X9 Quantum Computing Riz Study Group, оценило эти точные требования.

AlgorithmRequired logical qubitsRequired circuit depth
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1.3 10^112

Для подробного объяснения алгоритма Шора и того, как квантовые компьютеры могут нарушать асимметричное шифрование, смотрите видео.

По оценкам большинства экспертов, в течение следующих 20 лет будет построен достаточно мощный квантовый компьютер с требуемыми кубитами и глубиной контура для взлома ключей RSA и ECC.

Два десятилетия могут показаться долгим, но имейте в виду, что индустрия PKI, которую мы знаем сегодня, заняла примерно столько же, чтобы попасть в наше настоящее. Согласно проекту постквантовой криптографии NIST, «вряд ли будет простая « вставная » замена для наших нынешних криптографических алгоритмов с открытым ключом. Потребуются значительные усилия для разработки, стандартизации и развертывания новых постов». -квантовые криптосистемы. "

Вот почему DigiCert начал работать с несколькими игроками пост-квантовой индустрии, чтобы помочь создать экосистему PKI, которая является квантово-безопасной и достаточно гибкой, чтобы противостоять любым будущим угрозам.

Квантовые векторы атаки

Первым шагом для эффективной защиты от этих будущих угроз является выявление различных векторов атак, создаваемых постквантовым ландшафтом угроз.

TLS / SSL рукопожатие

Квантовые компьютеры представляют наибольшую угрозу для асимметричных криптографических алгоритмов. Это означает, что криптографическая система, используемая для цифровой подписи сертификатов и обработки начального рукопожатия SSL / TLS, является потенциальным вектором атаки.

К счастью, и NIST, и ASC X9 утверждают, что симметричные криптографические алгоритмы (такие как AES), используемые для создания сеансовых ключей для защиты данных при передаче после первоначального рукопожатия TLS / SSL, кажутся устойчивыми к атакам квантовых компьютеров. Фактически, для защиты от квантовых компьютерных атак достаточно удвоить длину в битах симметричного ключа (например, с AES-128 до AES-256). Это связано с тем, что симметричные ключи основаны на псевдослучайной строке символов и требуют использования атаки методом грубой силы или использования какой-либо известной уязвимости для взлома шифрования, в отличие от использования алгоритма (например, алгоритма Шора) для нарушения асимметрии криптография.

Эта упрощенная диаграмма квитирования TLS / SSL показывает, какие действия подвергаются риску квантовых компьютерных атак, а какие безопасны.

TLS / SSL  handshake с использованием современных асимметричных криптографических алгоритмов (RSA, ECC) и AES-256


Этот вектор атаки угрожает начальной связи с серверами с использованием цифровых сертификатов конечных объектов. Хотя это все еще довольно большая угроза, это, вероятно, не самый опасный вектор атаки.

Даже при наличии достаточно мощного квантового компьютера ресурсы, необходимые для вычисления закрытого ключа сертификата, все еще значительны. Из-за этого можно с уверенностью предположить, что ни один цифровой сертификат конечного объекта не является настолько важным, чтобы оправдать квантовую атаку. Не говоря уже о том, что достаточно просто изменить ключ и заново выдать сертификат конечного объекта.

Сеть доверия

Вероятно, наиболее опасным вектором атак со стороны квантовых компьютеров является цепочка доверия (цепочка сертификатов), используемая цифровыми сертификатами. Асимметричные криптографические алгоритмы RSA и ECC используются на каждом уровне цепочки доверия - корневой сертификат подписывает себя и промежуточный сертификат, а промежуточный сертификат подписывает сертификаты конечного объекта.

Если квантовый компьютер сможет вычислить закрытый ключ промежуточного сертификата или корневого сертификата, основа, на которой строится PKI, разрушится. Имея доступ к закрытому ключу, субъект угрозы может выдавать поддельные сертификаты, которые будут автоматически доверяться браузерам. И в отличие от сертификата конечного объекта, замена корневого сертификата совсем не тривиальна.

Квантово-безопасные криптографические системы

Прежде чем могут произойти изменения в существующих криптографических системах PKI, необходимо определить заменяющие криптографические системы. Хотя существует несколько квантово-безопасных криптографических систем, необходимы дальнейшие исследования и исследования, прежде чем на них можно будет положиться для защиты конфиденциальной информации.

С конца 2016 года проект NIST Post-Quantum Cryptography (PQC) возглавляет исследовательские работы по квантово-безопасным криптографическим системам. Пока что они определили 26 постквантовых алгоритмов в качестве потенциальных кандидатов на замену. Однако, прежде чем эти криптографические системы будут готовы к стандартизации и развертыванию, необходимо провести гораздо больше исследований и испытаний.

Согласно срокам проекта NIST PQC, еще один раунд исключений произойдет где-то между 2020 и 2021 годами, а проекты стандартов станут доступны между 2022 и 2024 годами.

Планирование постквантового будущего

Этот переход должен произойти задолго до того, как будут построены какие-либо крупномасштабные квантовые компьютеры, чтобы любая информация, которая впоследствии была скомпрометирована квантовым криптоанализом, перестала быть чувствительной, когда происходит такой компромисс. (Проект NIST PQC)

Из-за времени, которое потребуется для разработки, стандартизации и развертывания постквантовых криптографических методов, DigiCert начал тестирование жизнеспособности встраивания постквантовых алгоритмов в гибридные сертификаты с использованием этого проекта IETF.

В ближайшие недели мы будем предоставлять дополнительную информацию о нашей работе по постквантовой криптографии и разработке гибридных сертификатов, а также информацию по следующим темам:

  • Непосредственные шаги, которые вы можете предпринять, чтобы подготовиться к постквантовому будущему
  • Подробности о гибридных сертификатах и как они могут защитить существующие системы
  • Ресурсы PQC и руководство по настройке

 

 

   

PQC -пост-квантовая криптография Digicert

DigiCert Secure Site Pro делает квантовый прыжок

Квантовые вычисления разрушат текущие стандарты шифрования RSA / ECC. Вопрос только в том, когда. Чтобы помочь вам оставаться на шаг впереди, мы предлагаем первый в отрасли гибридный сертификат постквантовой защиты, доступный для общественности. Потому что доквантовое время - лучшее время быть готовым к постквантовым.

DigiCert подготовило руководство по настройкес  инструментарием DigiCert PQC, чтобы:

  • Применить исправление ISARA PQC к исходным файлам OpenSSL.
  • Скомпилировать вашу модифицированную программу OpenSSL.
  • Сгенерировать постквантовые криптографические ключи.
  • Создать полную цепочку гибридных сертификатов, включая корневые, промежуточные и серверные сертификаты.
  • Протестировать сертификаты, используя утилиты OpenSSL s_server и s_client.

Набор инструментов пост-квантовой криптографии (PQC) DigiCert содержит все необходимое для создания гибридного сертификата TLS. Этот гибридный сертификат использует постквантовый криптографический алгоритм в сочетании с классическим криптографическим алгоритмом, позволяющим вам проверить жизнеспособность развертывания постквантовых гибридных сертификатов TLS, а также поддерживать обратную совместимость.

Для этой первой итерации постквантовый криптографический алгоритм соединяется с криптографическим алгоритмом эллиптической кривой.

Инструментарий DigiCert PQC доступен для загрузки для всех клиентов Secure Site Pro.

Инструментарий PQC DigiCert PQC содержит следующие файлы:

  • ISARA Catalyst OpenSSL Connector
  • Модифицированный openssl.cnf
  • Файлы конфигурации сертификата
  • Пример гибридной цепочки сертификатов

Предупреждение Перед использованием этого руководства убедитесь, что выполнены следующие условия:

  • Доступ к файлам ресурсов инструментария DigiCert PQC
  • 64-разрядная версия Ubuntu 16.04 или более поздняя версия (это руководство написано с использованием Ubuntu 18.04 LTS)
  • Пользователь без полномочий root с доступом sudo (Non-root user with sudo access)

Чтобы защитить вашу систему или производственную среду от проблем, мы рекомендуем вам выполнить следующие действия, используя изолированную программную среду или виртуальную среду.

 

 

   

Процесс подписания пакетов драйверов Kernel-Mode меняется.

Microsoft отказывается от поддержки цифровых подписей пакетов драйверов режима ядра для сторонних производителей. 1 августа 2019 года Microsoft объявила, что Microsoft Trusted Root Program прекращает поддержку кросс-подписанных корневых сертификатов с возможностями подписи в режиме ядра.

В 2021 году срок действия большинства подписанных сертификатов истекает.

Таким образом, Начиная с 2021 года Microsoft будет единственным поставщиком производственных сигнатур кода в режиме ядра. Вам нужно будет начать следовать обновленным инструкциям Microsoft, чтобы подписывать любые новые пакеты драйверов режима ядра в будущем.

Как это повлияет на ваши существующие сертификат подписи Kernel-Mode Code Signing

Вы можете продолжать использовать свой сертификат подписи кода следующим образом:

--Подписыватьь non-driver code, пока он не истечет.*

--Подписывать kernel-mode driver packages до истечения срока действия кросс-подписанного сертификата.

Если вам нужно подписать новые пакеты драйверов кода режима ядра после истечения срока действия кросс-подписанного сертификата, вы должны следовать обновленным инструкциям Microsoft по отправке оборудования.

*-Если вы подпишете и отметите время timestamp для пакета драйвера кода режима ядра до истечения срока действия кросс-подписанного сертификата, его подпись будет продолжать работать после истечения срока действия кросс-подписанного сертификата!

-Если вы подпишете пакет драйвера кода режима ядра только до истечения срока действия кросс-подписанного сертификата, к которому он прикован, ваша подпись станет недействительной после истечения срока действия кросс-подписанного сертификата.

Expiration dates of DigiCert brand trusted cross-signed root certificates:

DigiCert Assured ID Root CA -- Expires 4/15/2021

DigiCert High Assurance EV Root CA -- Expires 4/15/2021

DigiCert Global Root CA -- Expires 4/15/2021

>GeoTrust Primary Certification Authority -- Expires 2/22/2021

GeoTrust Primary Certification Authority - G3 -- Expires 2/22/2021

Thawte Primary Root CA -- Expires 2/22/2021

Thawte Primary Root CA - G3 -- Expires 2/22/2021

VeriSign Class 3 Public Primary Certification Authority - G5 -- Expires 2/22/2021

VeriSign Universal Root Certification Authority -- Expires 2/22/2021

   

Сертификаты под маркою Symantec будут недоступны после апреля 2020 года.

Symantec-branded products are not available after April 2020. Choose from the DigiCert product catalog.

SSL сертификаты сери  Secure Site, а также Symantec Code Signing сертификаты в дальнейшем представлены под брендом DigiCert:

Secure Site

Secure Site SAN

Secure Site EV

Secure Site EV SAN

Secure Site Wildcard

Secure Site Pro

Secure Site Pro SAN

Secure Site Pro EV

Secure Site Pro EV SAN

Secure Site Pro Wildcard

Code Signing

Code Signing EV

   

Новые названия сертификатов Digicert,Thawte, Geotrust,Rapid

Digicert заканчивает процесс интеграции ssl сертификатов группы Symantec и вносит ряд изменений в названия и комплектацию:

Legacy product to CertCentral product mapping

Legacy certificate product nameCertCentral product name
Secure Site Pro with EV
Premium Extended Validation SSL
Secure Site Pro EV SSL
Secure Site Pro
Secure Site Pro Wildcard
Premium SSL
Secure Site Pro SSL
Secure Site with EV
Standard EV SSL
Secure Site EV
Secure Site
Secure Site Wildcard
OFX SSL
Standard SSL
Wildcard SSL
Secure Site OV
True BusinessID with EV GeoTrust TrueBusiness ID EV
RapidSSL Enterprise
Premium Intranet SSL
Standard Intranet SSL
True BusinessID
True BusinessID Wildcard
GeoTrust TrueBusiness ID OV
GeoTrust Trial
QuickSSL
QuickSSL Premium
QuickSSL Premium Wildcard
GeoTrust DV SSL
SSL Web Server with EV Thawte SSL Webserver EV
SSL Web Server
SSL Web Server Wildcard
Thawte SSL Webserver OV
SSL123
SSL 123 Wildcard
Thawte SSL123 DV
FreeSSL RapidSSL Standard DV
RapidSSL Retail: GeoTrust Standard DV
Partner: RapidSSL Standard DV
RapidSSL Wildcard Retail: GeoTrust Wildcard DV
Partner: RapidSSL Wildcard DV
   

Safari и 1year certiicate

В Apple в одностороннему порядке приняли решение и объявили, что Safari будет доверять только краткосрочным сертификатам, срок действия которых составляет 398 дней или меньше (то есть один год плюс возобновляемый льготный период). Эта политика вступает в силу 1 сентября 2020.

На сертификаты, выданные до этой даты, событие никак не повлияет и их нужно заменять или изменять - вы можете продолжать заказывать  двухлетние сертификаты до 31 августа 2020 года и использовать их до их окончания срока действия.

Такое сообщение было сделано Apple 19 февраля на заседании форума по вопросам отраслевых стандартов CA / Browser Forum.

   

Как проходит телефонная валидация для получения OV и EV сертификатов в условиях всемирного карантина.

Сертификационный центр Digicert в своем обращении к партнерам сообщил, что обрабатывает заказы на сертификаты в штатном режиме, не смотря, что многие сотрудники переведены на дистанционную работу из дома.

Тем не менее отраслевые стандарты получения SSL и CodeSign сертификатов с подтверждением организации остаются прежними. Процедура требует чтобы агенты сертификационного центра связались с кем-то, кто представляет организацию, чтобы подтвердить полномочия запрашивающего сертификат для организации.

Сертификационный центр рекомендует заказчикам подготовиться к данному этапу и просит помочь обеспечить возможность связаться с компаниями чтобы выдавать сертификаты без задержек.

Убедитесь что Ваша компания:

-мониторит важные телефонные линии

-налажена возможность переключения телефонного звонка

-обеспечен доступ к голосовой и к электронной почте

DigiCert может использовать эти методы для связи с вами или предоставить коды подтверждения для проверки.


   

Отображение SSL сертификатов в Google Chrome с 19 сентября 2019 року

Обновленный Chrome версии 77.0.3865.90, кроме других новых функций, принес изменения в изображении SSL сертификатов в браузере.

Прежде всего Chrome проводит первоначальное разделение сайтов по признаку защищенности - наличия шифрования передачи данных.

При отсутствии SSL сертификата на сайте в адресной строке перед доменом появляется надпись «Не защищены"

При наличии SSL сертификата на сайте, независимо от его вида имеет показываться значок замочка который обозначает, что соединение защищено

Для определенного количества людей, этой информации может быть достаточно для принятия решения продолжать работу с вебсайтом или нет.

Дополнительные данные о том какой же именно SSL сертификат используется, кем он выдан, что он подтверждает и кто является владельцем веб-ресурса можно узнать щелкнув непосредственно на замочек.

При этом открывается окошко с развернутым объяснением, что подключение является безопасным и информация которую вы сообщаете этому сайту защищена.

Объем этой информации зависит от вида выбранного владельцем сайта сертификата по уровню подтверждение - DV доменный, OV с подтверждением организации, EV расширенной проверки.

DV сертификат

Указывается сначала есть действительным сертификат. При переходе на это ссылка открывается следующее окошко с общими данными -

в поле "Кому" указывается доменное имя, в поле Кем выдан - соответственно доверенный сертификационный центр, подтверждает эту информацию, и срок действия сертификата.

На вкладке Состав можно увидеть другую техническую информацию. Так что владелец сайта не было подтверждено в поле субъект указывается только соответствующее доменное имя.

OV сертификат

В отличие от младшего брата DV, сертификаты класса OV доводят до посетителя проверенную информацию о владельце сертификата (сайта). Название организации теперь можно увидеть во второй вкладке Состав поле Субъект.

EV сертификат, как и раньше, но немного в другой форме реализации, предлагает лучшие возможности продемонстрировать отношение владельцев сайта к их посетителей.

Сразу при нажатии на значок замочка перед адресом сайта в новом окошке изображается название организации владельца сайта. При просмотре сведений можно узнать также кем и когда он выдан, расширенную количество данных по сравнению с другими видами сертификатов, например код организации.

Что ж, разработчики Google Chrome версии 77.0.3865.90, считают эти изменения в показе SSL сертификатов обоснованными и что сделано с целью улучшения и облегчения жизни конечного пользователя. Вероятно, пользователи быстро опознаются, привыкнут и научатся определять безопасность сайтов по новому алгоритму. При этом, надеемся, владельцы сайтов будут делать все для того чтобы видвидачам было спокойно за того, что информация прозрачна и понятна.

Выбирая SSL сертификат владелец ресурса фактически выбирает несколько осведомленным должно быть посетитель о месте куда он попал.

На ум приходит такая аналогия с оффлайнового жизни: человек ищет определенный магазин

достаточно посетителю видеть табличку с номером дома и указанием улицы, нужна внешняя вывеска на здании с названием учреждения или указатель находится внутри дома, для того чтобы он мог быть уверенным, что пришел туда куда надо, а также оставил свои персональные данные, а возможно и деньги, самой этой организации, которой собирался. Примерно так отличаются SSL сертификаты по уровню:

DV проверяется домен - это лишь подтверждение адреса, OV - подтверждение организации - как вывеска внутри дома, EV указания названия на видном месте - внешняя вивиска.яеться домен - это лишь подтверждение адреса, OV - подтверждение организации - как вывеска внутри дома, EV указания названия на видном месте - наружная вывеска.

   
Страница 1 из 3