Підбір сертификату |
PQC -пост-квантовая криптография DigicertDigiCert Secure Site Pro делает квантовый прыжок Квантовые вычисления разрушат текущие стандарты шифрования RSA / ECC. Вопрос только в том, когда. Чтобы помочь вам оставаться на шаг впереди, мы предлагаем первый в отрасли гибридный сертификат постквантовой защиты, доступный для общественности. Потому что доквантовое время - лучшее время быть готовым к постквантовым. DigiCert подготовило руководство по настройкес инструментарием DigiCert PQC, чтобы:
Набор инструментов пост-квантовой криптографии (PQC) DigiCert содержит все необходимое для создания гибридного сертификата TLS. Этот гибридный сертификат использует постквантовый криптографический алгоритм в сочетании с классическим криптографическим алгоритмом, позволяющим вам проверить жизнеспособность развертывания постквантовых гибридных сертификатов TLS, а также поддерживать обратную совместимость. Для этой первой итерации постквантовый криптографический алгоритм соединяется с криптографическим алгоритмом эллиптической кривой. Инструментарий DigiCert PQC доступен для загрузки для всех клиентов Secure Site Pro. Инструментарий PQC DigiCert PQC содержит следующие файлы:
Предупреждение Перед использованием этого руководства убедитесь, что выполнены следующие условия:
Чтобы защитить вашу систему или производственную среду от проблем, мы рекомендуем вам выполнить следующие действия, используя изолированную программную среду или виртуальную среду.
Процесс подписания пакетов драйверов Kernel-Mode меняется.Microsoft отказывается от поддержки цифровых подписей пакетов драйверов режима ядра для сторонних производителей. 1 августа 2019 года Microsoft объявила, что Microsoft Trusted Root Program прекращает поддержку кросс-подписанных корневых сертификатов с возможностями подписи в режиме ядра. В 2021 году срок действия большинства подписанных сертификатов истекает. Таким образом, Начиная с 2021 года Microsoft будет единственным поставщиком производственных сигнатур кода в режиме ядра. Вам нужно будет начать следовать обновленным инструкциям Microsoft, чтобы подписывать любые новые пакеты драйверов режима ядра в будущем. Как это повлияет на ваши существующие сертификат подписи Kernel-Mode Code Signing Вы можете продолжать использовать свой сертификат подписи кода следующим образом: --Подписыватьь non-driver code, пока он не истечет.* --Подписывать kernel-mode driver packages до истечения срока действия кросс-подписанного сертификата. Если вам нужно подписать новые пакеты драйверов кода режима ядра после истечения срока действия кросс-подписанного сертификата, вы должны следовать обновленным инструкциям Microsoft по отправке оборудования. *-Если вы подпишете и отметите время timestamp для пакета драйвера кода режима ядра до истечения срока действия кросс-подписанного сертификата, его подпись будет продолжать работать после истечения срока действия кросс-подписанного сертификата! -Если вы подпишете пакет драйвера кода режима ядра только до истечения срока действия кросс-подписанного сертификата, к которому он прикован, ваша подпись станет недействительной после истечения срока действия кросс-подписанного сертификата. Expiration dates of DigiCert brand trusted cross-signed root certificates: DigiCert Assured ID Root CA -- Expires 4/15/2021 DigiCert High Assurance EV Root CA -- Expires 4/15/2021 DigiCert Global Root CA -- Expires 4/15/2021 >GeoTrust Primary Certification Authority -- Expires 2/22/2021 GeoTrust Primary Certification Authority - G3 -- Expires 2/22/2021 Thawte Primary Root CA -- Expires 2/22/2021 Thawte Primary Root CA - G3 -- Expires 2/22/2021 VeriSign Class 3 Public Primary Certification Authority - G5 -- Expires 2/22/2021 VeriSign Universal Root Certification Authority -- Expires 2/22/2021 Сертификаты под маркою Symantec будут недоступны после апреля 2020 года.Symantec-branded products are not available after April 2020. Choose from the DigiCert product catalog. SSL сертификаты сери Secure Site, а также Symantec Code Signing сертификаты в дальнейшем представлены под брендом DigiCert: Secure Site Secure Site SAN Secure Site EV Secure Site EV SAN Secure Site Wildcard Secure Site Pro Secure Site Pro SAN Secure Site Pro EV Secure Site Pro EV SAN Secure Site Pro Wildcard Code Signing Code Signing EV Новые названия сертификатов Digicert,Thawte, Geotrust,RapidDigicert заканчивает процесс интеграции ssl сертификатов группы Symantec и вносит ряд изменений в названия и комплектацию: Legacy product to CertCentral product mapping
Safari и 1year certiicateВ Apple в одностороннему порядке приняли решение и объявили, что Safari будет доверять только краткосрочным сертификатам, срок действия которых составляет 398 дней или меньше (то есть один год плюс возобновляемый льготный период). Эта политика вступает в силу 1 сентября 2020. На сертификаты, выданные до этой даты, событие никак не повлияет и их нужно заменять или изменять - вы можете продолжать заказывать двухлетние сертификаты до 31 августа 2020 года и использовать их до их окончания срока действия. Такое сообщение было сделано Apple 19 февраля на заседании форума по вопросам отраслевых стандартов CA / Browser Forum. Как проходит телефонная валидация для получения OV и EV сертификатов в условиях всемирного карантина.Сертификационный центр Digicert в своем обращении к партнерам сообщил, что обрабатывает заказы на сертификаты в штатном режиме, не смотря, что многие сотрудники переведены на дистанционную работу из дома. Тем не менее отраслевые стандарты получения SSL и CodeSign сертификатов с подтверждением организации остаются прежними. Процедура требует чтобы агенты сертификационного центра связались с кем-то, кто представляет организацию, чтобы подтвердить полномочия запрашивающего сертификат для организации. Сертификационный центр рекомендует заказчикам подготовиться к данному этапу и просит помочь обеспечить возможность связаться с компаниями чтобы выдавать сертификаты без задержек. Убедитесь что Ваша компания: -мониторит важные телефонные линии -налажена возможность переключения телефонного звонка -обеспечен доступ к голосовой и к электронной почте DigiCert может использовать эти методы для связи с вами или предоставить коды подтверждения для проверки. Отображение SSL сертификатов в Google Chrome с 19 сентября 2019 рокуОбновленный Chrome версии 77.0.3865.90, кроме других новых функций, принес изменения в изображении SSL сертификатов в браузере. Прежде всего Chrome проводит первоначальное разделение сайтов по признаку защищенности - наличия шифрования передачи данных. При отсутствии SSL сертификата на сайте в адресной строке перед доменом появляется надпись «Не защищены" При наличии SSL сертификата на сайте, независимо от его вида имеет показываться значок замочка который обозначает, что соединение защищено Для определенного количества людей, этой информации может быть достаточно для принятия решения продолжать работу с вебсайтом или нет. Дополнительные данные о том какой же именно SSL сертификат используется, кем он выдан, что он подтверждает и кто является владельцем веб-ресурса можно узнать щелкнув непосредственно на замочек. При этом открывается окошко с развернутым объяснением, что подключение является безопасным и информация которую вы сообщаете этому сайту защищена. Объем этой информации зависит от вида выбранного владельцем сайта сертификата по уровню подтверждение - DV доменный, OV с подтверждением организации, EV расширенной проверки. DV сертификат Указывается сначала есть действительным сертификат. При переходе на это ссылка открывается следующее окошко с общими данными - в поле "Кому" указывается доменное имя, в поле Кем выдан - соответственно доверенный сертификационный центр, подтверждает эту информацию, и срок действия сертификата. На вкладке Состав можно увидеть другую техническую информацию. Так что владелец сайта не было подтверждено в поле субъект указывается только соответствующее доменное имя. OV сертификат В отличие от младшего брата DV, сертификаты класса OV доводят до посетителя проверенную информацию о владельце сертификата (сайта). Название организации теперь можно увидеть во второй вкладке Состав поле Субъект. EV сертификат, как и раньше, но немного в другой форме реализации, предлагает лучшие возможности продемонстрировать отношение владельцев сайта к их посетителей. Сразу при нажатии на значок замочка перед адресом сайта в новом окошке изображается название организации владельца сайта. При просмотре сведений можно узнать также кем и когда он выдан, расширенную количество данных по сравнению с другими видами сертификатов, например код организации. Что ж, разработчики Google Chrome версии 77.0.3865.90, считают эти изменения в показе SSL сертификатов обоснованными и что сделано с целью улучшения и облегчения жизни конечного пользователя. Вероятно, пользователи быстро опознаются, привыкнут и научатся определять безопасность сайтов по новому алгоритму. При этом, надеемся, владельцы сайтов будут делать все для того чтобы видвидачам было спокойно за того, что информация прозрачна и понятна. Выбирая SSL сертификат владелец ресурса фактически выбирает несколько осведомленным должно быть посетитель о месте куда он попал. На ум приходит такая аналогия с оффлайнового жизни: человек ищет определенный магазин достаточно посетителю видеть табличку с номером дома и указанием улицы, нужна внешняя вывеска на здании с названием учреждения или указатель находится внутри дома, для того чтобы он мог быть уверенным, что пришел туда куда надо, а также оставил свои персональные данные, а возможно и деньги, самой этой организации, которой собирался. Примерно так отличаются SSL сертификаты по уровню: DV проверяется домен - это лишь подтверждение адреса, OV - подтверждение организации - как вывеска внутри дома, EV указания названия на видном месте - внешняя вивиска.яеться домен - это лишь подтверждение адреса, OV - подтверждение организации - как вывеска внутри дома, EV указания названия на видном месте - наружная вывеска. Можлива зміна максимального терміну дії SSL сертифікатаНещодавно Google запропонував зміни, які, якщо якщо їх підтримає більшість CAB Forum, скоротять термін дії сертифікатів з поточних максимум двох років до 13 місяців. Зараз максимальний термін дії 2 роки для SSL сертифікатів та 3 роки для підпису Code SIgning. Запропоноване голосування було ініційоване Google, Apple, деякими браузерами та сертифікаційними центрами. Якщо пропозиція пройде - зміна вимог набуде чинності у березні 2020 року. Вашим клієнтам, які використовують сертифікати, термін дії яких перевищує 13 місяців, рекомендується переглянути свої системи та оцінити, як запропоновані зміни можуть вплинути на їх розгортання та використання сертифікатів. Зверніть увагу, що всі сертифікати TLS, видані до березня 2020 року, термін дії яких перевищує 13 місяців, залишаться функціональними. Це бюлетень не впливає на сертифікати, що не належать до TLS, включаючи підписання коду, приватну TLS, клієнтські сертифікати тощо. Не потрібно буде відкликати будь-які сертифікати в результаті цього голосування. Ви можете висловити свою думку з цього приводу. Результати опитування буде узагальнено та передано в CAB форум для розгляду. Новые требования соответствия Apple для частных SSL-сертификатовApple недавно объявила о некоторых новых требованиях безопасности для сертификата SSL / TLS, которые вступят в силу с выпуском iOS 13 и macOS 10.15. Эти требования касаются публичного и частного сертификата, выданного после 1 июля 2019 года. Для ваших общедоступных сертификатов DigiCert SSL / TLS никаких действий не требуется. Публичные сертификаты SSL / TLS DigiCert уже соответствуют всем этим требованиям безопасности. На эти публичные сертификаты SSL / TLS эти новые требования не влияют, и им будут доверять iOS 13 и macOS 10.15. Что нового? Apple реализует дополнительные требования безопасности для всех сертификатов SSL / TLS, которые по своей конструкции влияют на частные сертификаты SSL / TLS. См. Требования к доверенным сертификатам в iOS 13 и macOS 10.15. Частные сертификаты SSL / TLS DigiCert соответствуют этим требованиям, если они выданы администраторами учетных записей в соответствии с требованиями общедоступных сертификатов. Ниже приведен список требований, которые могут повлиять на ваши частные сертификаты SSL / TLS. К счастью, эти версии ОС Apple планируется выпустить осенью этого года. Это значит, у вас есть время для подготовки.
Если у вас есть личные сертификаты, которые не соответствуют этим требованиям, и для ваших личных сертификатов требуется доверие Apple iOS и macOS, вам необходимо убедиться, что все частные сертификаты SSL / TLS, выпущенные после 1 июля 2019 года, будут выданы изначально или переиздан до общей доступности iOS 13 и macOS 10.15.
Digicert повышает цены на некоторые сертификатыC 4 июня 2019 года DigiCert увеличил рекомендованную розничную стоимость MSRP для всех сертификатов GeoTrust, Thawte и DigiCert Basic примерно на 15%. Еще статьи...
Страница 2 из 4
|