ЛидерТелеком

Новости компании

Компания ЛидерТелеком приняла участие в выставке RIW 2015

Компания ЛидерТелеком поучаствовала в мероприятии RIW 2015 (Russian Interactive Week), которое прошло с 21 по 23 октября в Экспоцентре, Москва.

Фишинг по email: враг у ворот!

Фишинговые атаки перестали быть редкостью в последнее время. Каждый второй пользователь сталкивался с поддельными сайтами, имитирующими популярные крупные банки, интернет-магазины, электронные платежные системы. Все это делается с одной целью: обманным путем получить ценные пользовательские данные, которые потом можно будет использовать для снятия наличных, кражи персональной информации и т.д.

Wildcard EV сертификаты, возможно, появятся в ближайшее время

В данный момент получить Wildcard EV сертификат невозможно ввиду существующих ограничений от CA/B Forum – регулятора, отвечающего за выдачу EV-сертификатов. Единственный альтернативный способ расширения одного EV-сертификата на несколько доменов – это использование поля SAN – Subject Alternative Names. Это поле позволяет задавать дополнительные имена хостов (сайты, IP-адреса, CN и т.д.), которые будут защищены при помощи одного SSL-сертификата. Однако такой подход имеет свои ограничения, которые зачастую не устраивают клиентов.

Компании «Гарант-Парк-Интернет» (Inoventica Services) присвоен статус Бриллиантового партнера ЛидерТелеком

Компания ”Гарант-Парк-Интернет” (Inoventica Services), являющаяся крупнейшим в России провайдером облачных услуг, на днях получила статус Бриллиантового партнера ЛидерТелеком. Партнерство с ЛидерТелеком позволило компании получать сертификаты по скидкам и предлагать их своим клиентам. Сегодня SSL-сертификаты являются очень востребованным товаром, который пользуется спросом среди разных групп пользователей.

Свежие изменения в индустрии SSL

С началом нового 2016 года в индустрии SSL произошло много интересных событий. В этой новости мы постараемся охватить самые значимые из них, а также расскажем о планах некоторых крупных центров сертификации.

Вышла новая версия Chrome 72: TLS 1.0 и TLS 1.1 признаны устаревшими, поддержка HPKP удалена

Разработчики Google Chrome выпустили новую версию 72, основные изменения которой направлены на базовые Web API и протоколы браузера. Наиболее важным из изменений является полное удаление поддержки HPKP (HTTP-Based Public Key Pinning). Мы уже писали ранее о том, что Google планировал отказаться от HPKP. Впервые стандарт был признан устаревшим в Chrome 65, который вышел в марте 2018.

CA/B Forum проголосовал за удаление валидационного метода с использованием тестового сертификата (3.2.2.4.9)

CA/B Forum, регуляционный орган индустрии SSL-сертификатов, принял большинством голосов новое предложение Ballot SC15, связанное с удалением валидационного метода 3.2.2.4.9.

Расширение Transparency Report от Google: мощный сигнал в пользу перехода к HTTPS

Google анонсировал расширение своего проекта Transparency Report. В отчете появилась новая секция для отслеживания прогресса по внедрению шифрования – как на сайтах Google, так и на некоторых самых посещаемых сайтах сети. Целью этого проекта является повышение общей безопасности в сети.

Одна строка кода – и вся компания ушла в небытие

Владелец хостинг-провайдера Марко Марсала случайно удалил все следы своей компании и все сайты своих клиентов, написав всего лишь одну строку кода. Об этом неприятном инциденте он рассказал на форуме Server Fault, где общаются различные эксперты по серверам.

Начиная с июня, все iOS-приложения в App Store должны будут обязательно поддерживать IPv6

Пора попрощаться со старым Интернетом. Начиная с июня, все приложения для iPhone и iPad должны будут поддерживать IPv6. Сетевой протокол IPv4 был введен очень давно, однако многие компании до сих пор не используют его новую версию IPv6. Но времена меняются.

Тревога: зафиксирован рост атак с использованием программ-вымогателей!

Более $ 17 000 – именно такую сумму перевел анонимным хакерам медицинский центр Hollywood Presbyterian Medical Center, расположенный в Лос-Анджелесе, за восстановление работы своего сервера. Весь медицинский центр оказался парализованным в результате всего лишь одной программы-вымогателя, которая зашифровала данные больницы и всех пациентов.

XXV-й ХостОбзор: впечатления от посещения

Компания ЛидерТелеком стала спонсором и приняла участие в XXV-м Всероссийском форуме хостинг-провайдеров, который по традиции прошел в загородном отеле Raivola в живописных местах под Санкт-Петербургом. На мероприятии рассматривались многие важные вопросы, связанные с IT-индустрией, рынком хостинга, онлайн-безопасностью и т.д.

Сертификаты с ECDSA: быстрая верификация и высокий уровень безопасности

Компания ЛидерТелеком предлагает всем желающим купить сертификаты с ECDSA, которые отличаются максимальной защитой от взлома и быстрой верификацией. Заказать сертификат с ECDSA Вы всегда можете по следующей ссылке. Если же Вам интересна техническая сторона вопроса, то читайте далее.

Самоподписанные SSL-сертификаты – почему опасно их использовать?

Многие компании, сталкивающиеся с необходимостью покупки SSL-сертификата, нередко обращают свое внимание на бесплатную альтернативу – самоподписанные сертификаты. Так ли уж эффективно это решение? Поможет ли оно сэкономить средства? Не выльется ли впоследствии это в более серьезные затраты? На эти вопросы мы ответим далее.

Comodo отказываются от SGC сертификатов

С 1-го августа 2016 года центр сертификации Comodo прекращает выпуск SGC SSL-сертификатов. Данные сертификаты были необходимы для поддержки старых браузеров. Технология SGC (Server Gated Cryptography) позволяла преобразовать старое 40- и 56-битное шифрование в надежное 256-битное шифрование (SHA2). Однако сегодня количество пользователей старых браузеров практически равно нулю, в результате чего центр сертификации Comodo принял решение остановить выпуск SGC SSL-сертификатов.

CA/B Forum задумался о новых алгоритмах шифрования в эпоху квантовых компьютеров

Квантовые компьютеры – настоящий технологический прорыв, открывающий новые перспективы развития современной IT-отрасли. Однако, несмотря на все свои положительные стороны, переход к квантовым компьютерам выставляет и новые проблемы – в частности, проблему с используемыми сегодня алгоритмами шифрования.

SSL-сертификаты для IPSec: реальный пример использования

Не так давно мы столкнулись с одной проблемой: клиенту требовалось создать защищенный VPN-туннель между Palo Alto Networks и VPN-клиентом Global Protect. Клиент до этого использовал самоподписанный сертификат, который не позволял защитить канал и приводил к появлению уведомлений, указывающих на характер сертификата (самоподписанные сертификаты не имеют доверия).

Сайты, работающие по HTTP и передающие пароли, будут помечаться как небезопасные в Chrome в начале 2017

Команда безопасности Google Chrome в своем блоге анонсировала новость о том, что браузер, начиная с января 2017 года, будет помечать все HTTP-сайты, передающие пароли или данные кредитных карт, как небезопасные. В данный момент Chrome выводит для защищенных сайтов иконку с зеленым замочком, однако команда безопасности решила пересмотреть этот процесс.

Онлайн-скимминг: как от него защититься и почему это очень важно для всех владельцев интернет-магазинов

Онлайн-скимминг – это примерно то же самое, что и обычный скимминг. Злоумышленники крадут данные ваших кредитных карт и могут распоряжаться вашими деньгами по своему усмотрению. Однако скимминг в сети более эффективен, поскольку его сложнее обнаружить и практически невозможно найти тех, кто украл ваши средства.

ЛидерТелеком примет участие в мероприятии WHD.Moscow 2016

Компания ЛидерТелеком примет участие в знаковом событии для всего мира хостинга, онлайн-безопасности и других смежных IT-областей – мероприятии WHD.Moscow 2016, которое пройдет 30 ноября в московской гостинице Холидей Инн.

Восточная Европа познакомилась с голландской индустрией IT и безопасности

Во вторник 1 ноября делегация из Восточной Европы, состоящая из IT-специалистов, посетила Гаагу в рамках пятидневной торговой миссии в Нидерланды, организованной ЛидерТелеком – компанией, работающей в сфере кибербезопасности. Торговая делегация состояла из представителей различных технологических компаний в сфере IT и кибербезопасности. Основная цель миссии – укрепление двусторонних отношений с рядом голландских бизнес-центров, обмен знаниями и содействие развитию торговли. Пятидневная программа охватила такие города, как Амстердам, Гаага и Утрехт.

Mozilla планирует выводить предупреждение «Untrusted Connection» для сайтов с SHA1

Начиная с версии Firefox 51, в браузере будет выводиться предупреждение ”Untrusted Connection” для сайтов, защищенных с помощью устаревших сертификатов SHA-1. Mozilla планирует выпустить Firefox 51 в январе 2017 года, что полностью отвечает базовому плану разработчиков по внесению SHA-1 сертификатов в черный список к началу 2017 года.

Apple, Mozilla и Google перестанут доверять SSL-сертификатам WoSign и StartCom

Apple, Moziila и Google планируют отклонять новые цифровые сертификаты, выданные двумя удостоверяющими центрами – WoSign и StartCom. Причина такого решения – нарушение принятых правил и лучших практик индустрии.

Почему не стоит использовать технологии с устаревшими методами криптографии

Как вы уже знаете, с 1 января 2016 года все крупные браузеры выводят предупреждение для сайтов, защищенных с помощью SSL-сертификатов на базе алгоритма шифрования SHA-1. Сделано это по причине слабой криптографической стойкости алгоритма SHA-1, который был введен более десяти лет назад. В данный момент ситуация такова, что практически все владельцы SSL-сертификатов с SHA-1 заменили их на сертификаты с SHA-2. При этом использование SHA-1 все еще встречается, несмотря на активные усилия по переводу сети на шифрование SHA-2.

Компания ЛидерТелеком приняла участие в мероприятии WHD.Moscow 2016

Компания ЛидерТелеком посетила мероприятие WHD.Moscow 2016, которое прошло 30 ноября 2016 года в московском отеле Холидей Инн. Уютная атмосфера, долгожданные встречи со старыми партнерами, интересные выступления и информативные стенды, заинтересованные посетители – вот чем традиционно запомнилась конференция WHD.Moscow, проводимая ежегодно.

Команда Chrome планирует сделать требование прозрачности сертификатов (Certificate Transparency) обязательным в 2017 году

Команда разработчиков Google Chrome объявила о своей цели сделать требование прозрачности сертификатов (Certificate Transparency) обязательным для всех сертификатов, выпущенных с октября 2017 года. Если у новых SSL-сертификатов будут неясные или скомпрометированные цепочки доверия (chains of trust), то в таком случае пользователи Google Chrome увидят соответствующее предупреждение.

Торговая миссия «Россия едет на Infosecurity.nl» прошла в Нидерландах с 31 октября по 3 ноября 2016

Мероприятие ”Россия едет на Infosecurity.nl” (#securitytrademission2016), организатором которого является компания ЛидерТелеком при поддержке Торгового представительства Российской Федерации в Нидерландах, успешно прошло в Нидерландах. Мероприятие охватило три города – Амстердам, Гаагу и Утрехт. В состав торговой миссии вошли многие бизнесмены, видные деятели политики, науки и IT-сферы, среди которых можно выделить Первого заместителя главы Тамбовской области Александра Ганова, директора InfoWatch Алексея Нагорного и т.д.

Symantec отказывается от использования SHA1 RFC 3161 в пользу SHA256 RFC 3161

В конце января 2017 Symantec откажется от использования timestamp-сервиса SHA1 RFC 3161, Подпись Java-приложений будет происходить с помощью SHA256 code signing сертификатов с временной меткой, задаваемой с помощью сервиса SHA256 RFC от Symantec.

Mozilla вводит новые предупреждения о небезопасности HTTP-страниц в браузере Firefox

Неприятная новость для тех, кто до сих пор не установил SSL-сертификаты на свои сайты: в браузере Firefox 51, выпуск которого запланирован на 23 января, будут выводиться новые индикаторы безопасности. Самое значительное изменение, коснувшееся интерфейса браузера – появление нового индикатора для HTTP-страниц, содержащих формы ввода паролей.

Компания ЛидерТелеком посетила мероприятие «Security Breach!»

Компания ЛидерТелеком посетила мероприятие ”Security Breach!”, которое прошло 1 февраля в бизнес-центре Axisparc, расположенном в небольшом бельгийском городе Лувен-ля-Нёв (30 км южнее Брюсселя).

Google Chrome совместно с Symantec расследует ошибочный выпуск 30 000 сертификатов

Разработчики Google Chrome во время исследования обнаружили, что Symantec ошибочно выпустили более 30 тыс. SSL-сертификатов за последние несколько лет. В результате этого эксперты из Google решили предпринять довольно жесткие меры.

Symantec поделились планом действий на случай введения санкций со стороны Google

Как вы уже знаете, в ответ на ошибочный выпуск 30000 SSL-сертификатов Symantec разработчики Google Chrome пригрозили отказать в доверии всем SSL-сертификатам от данного удостоверяющего центра (а также всех аффилированных с ним центров). На днях представители Symantec разослали письма всем клиентам, в которых разъяснили свою точку зрения и обрисовали путь решения возникших проблем.

С 1 марта 2018 года прекращается выпуск трехлетних SSL-сертификатов

В 2018 году вступает в силу новое требование CA/B Forum: максимальный срок действия SSL-сертификатов будет ограничен двумя годами. CA/B Forum – это отраслевой орган, который формирует и принимает правила, связанные с порядком выпуска и проверки SSL-сертификатов.

УЦ Let’s Encrypt выпустил свыше 15 тысяч SSL-сертификатов, используемых для фишинга с PayPal

Как показали исследования экспертов, удостоверяющий центр Let”s Encrypt, снискавший популярность благодаря выпуску бесплатных SSL-сертификатов, выдал более 15 000 SSL-сертификатов, которые впоследствии использовались для фишинга с PayPal. Эксперты призвали Let”s Encrypt остановить выпуск SSL-сертификатов для доменов, содержащих слово PayPal и его видоизмененные версии. В 99% случаев такие домены создаются для фишинга.

Хакеры использовали сертификаты Let’s Encrypt для атак на крупный бразильский банк

Злоумышленники атаковали пользователей, отыскав уязвимость в системе безопасности одного из достаточно крупных бразильских банков и воспользовавшись сертификатами Let”s Encrypt для создания фишинговых страниц. Лишь недавно исследователи раскрыли информацию о том, как хакеры смогли найти брешь в защите банка. О подробностях читайте далее.

SSL-соединение получило слабый эфемерный ключ Диффи-Хеллмана: как решить данную проблему

В некоторых случаях при неправильной установке SSL-сертификата на сервер можно увидеть следующее уведомление в браузере: ”При соединении с www.site.com произошла ошибка. SSL получило слабый эфемерный ключ Диффи-Хеллмана в сообщении рукопожатия ”Обмен ключами сервера”. (Код ошибки: ssl_error_weak_server_ephemeral_dh_key).

Проверка CAA с сентября 2017 станет обязательной для всех удостоверяющих центров при выпуске SSL/TLS-сертификатов

По существующим правилам, утвержденным CA/B Forum, удостоверяющие центры должны гарантировать, что запросы на SSL-сертификаты идут либо от самого владельцев домена, либо от тех, кто управляет данным доменом.Обычно проверка прав на домен происходит с помощью создания DNS TXT-записи с определенным значением либо загрузки кода в определенное место сайта. Это и подтверждает факт владения доменом.

Фишинг с использованием Punycode: будьте бдительны!

Punycode – метод преобразования доменного имени в альтернативный формат с использованием только ASCII-символов. К примеру, URL вида ”пример-сайта.рф” будет иметь следующий вид в Punycode: ” xn----8sbarojrwjdmo.xn--p1ai”. Скорее всего, вы уже сталкивались с такими URL-адресами.

Chrome 68 будет помечать все страницы с HTTP как небезопасные в инкогнито-режиме

Усилия Google по внедрению шифрования на все сайты сети продолжаются. Начиная с октября, компания будет выводить новые предупреждения для всех HTTP-страниц в браузере Chrome. В начале этого года разработчики Chrome уже реализовали вывод надписи ”not secure” для HTTP-сайтов, принимающих данные кредитных карт или запрашивающих пароли.

CA/B Forum уточнил правила выпуска SSL-сертификатов для доменов .onion

Не так давно CA/B Forum, регулятор индустрии SSL, принял новое положение: стало обязательным включение расширения Tor Service Descriptor Hash в TBSCertificate. Теперь удостоверяющий центр может выпускать EV сертификат для доменного имени .onion только при выполнении двух правил.

CA/B Forum рассматривает возможность закрепления размеров компенсаций за выпуск неверных EV SSL

Участники CA/B Forum рассматривают возможность пересмотра условий, связанных с выплатой компенсаций со стороны удостоверяющих центров перед клиентами в связи с неправильным выпуском или компрометацией EV SSL-сертификатов.

Начиная с Chrome 58, самоподписанные сертификаты без SubjectAltName больше не являются доверенными

В версии Chrome 58 сертификаты, в которых не указаны имена хостов в поле SubjectAltName, будут приводить к ошибке ”Your connection is not private” (”Ваше соединение не защищено”). Аналогичное изменение было принято и в Firefox 48, однако до этого пользователи не сообщали о каких-либо проблемах.В деталях к странице ошибки имеется указание на тип ошибки - [missing_subjectAltName].

Представители Symantec продолжают публичный диалог по выпуску SSL-сертификатов

23 марта разработчики Google Chrome анонсировали в своем блоге планируемые последствия для Symantec за неверную выдачу SSL-сертификатов. Компания Symantec тщательно проанализировала имевшие место события и подготовила список действий, направленных на усиление безопасности в сфере выдачи SSL-сертификатов.

Новая версия Chrome 59: изменения, связанные с безопасностью

Релиз Chrome 59 имеет много изменений, связанных с безопасностью и SSL. Горячая тема последних обсуждений – выпуск ошибочных SSL-сертификатов удостоверяющим центром Symantec. Крупные браузеры пока еще не определились с тем, как именно наказать Symantec за данную оплошность, а потому SSL-сертификаты от данного удостоверяющего центра останутся доверенными в Chrome 59.

CA/B Forum скорректировал правила расширенной проверки (EV), касающиеся нотариусов

CA/B Forum, регулятор SSL-индустрии, скорректировал правила, касающиеся привлечения доверенных нотариусов для процесса расширенной проверки EV.

Сделка года: Symantec решили продать часть своего бизнеса компании DigiCert

Все мы помним о том, какими последствиями грозили Symantec представители ведущих браузеров за ошибочный выпуск SSL-сертификатов. Санкции предлагались самые разные, отрасль не желала оставлять это без внимания – но Symantec, судя по их заявлениям в блоге, были решительно настроены на преодоление любых препятствий. Однако Symantec изменили свою стратегию - на днях в их блоге появилось сообщение о том, что компания решила продать DigiCert часть своего бизнеса, связанного с SSL-сертификатами.

Разработчики Google Chrome определились с санкциями для сертификатов Symantec

Масштабная дискуссия, вызванная фактом ошибочного выпуска сертификатов Symantec, подошла к своему логическому финалу – разработчики Chrome сформировали ”дорожную карту” по отказу в доверии к сертификатам Symantec.

Разработчики Google Chrome анонсировали полный отказ доверия к сертификатам WoSign и Startcom

Удостоверяющие центры WoSign и StartCom, неоднократно нарушавшие процесс выдачи сертификатов в прошлом, будут полностью лишены доверия в браузере Chrome. Этот процесс уже запущен, и будет полностью завершен к моменту выхода Chrome 61.

CA/B Forum принял решение о запрете удостоверяющим центрам делегировать проверки прав владения доменом/IP

До недавнего времени удостоверяющие центры могли делегировать процесс проверки домена и IP-адреса сторонним компаниям. Gervase Markham (Mozilla), а также Ryan Sleevi (Google) и Mike Reilly (Microsoft) решили внести предложение в CA/B Forum о запрете подобного делегирования.

Изменения в санкциях: перевыпуск Symantec-сертификатов не потребуется (UPD: все же потребуется)

Представители Symantec, основываясь на сообщениях от разработчиков Chrome, объявили о том, что каких-либо действий по перевыпуску SSL-сертификатов Symantec в данный момент не потребуется.

Клиенты Symantec (а также GeoTrust, Thawte и RapidSSL) должны включить CAA в DNS-запись доменов

В соответствии с последними изменениями CAB Forum, регулятора SSL-индустрии, выпускающий удостоверяющий центр (Symantec, GeoTrust, Thawte или RapidSSL) должен быть указан в CAA DNS-записи домена.

ЛидерТелеком: новости июня-августа

Летние месяцы выдались достаточно жаркими для специалистов ЛидерТелеком. Внутренняя кухня просто кипела – мы заложили основу для многочисленных улучшений, нововведений, а также внедрили несколько полезных особенностей, которые, безусловно, по достоинству оценит каждый клиент. Над чем мы работали все лето, читайте далее.

В Chrome 63 появятся новые предупреждения о перехвате TLS

Начиная с версии Chrome 63, браузер будет уведомлять пользователей о перехвате TLS, который происходит чаще всего во время MitM (Man-in-the-middle) атак. Выход версии Chrome 63 запланирован на 5 декабря 2017 года.Как мы уже отмечали ранее, Google, Mozilla, Microsoft и другие крупные разработчики браузеров активно продвигают HTTPS. Веб-сайты, переключившиеся на HTTPS, получают определенные бонусы в виде лучшего ранжирования в поисковой выдаче, а также более высокого доверия со стороны посетителей.

Скорректированы правила задания юрисдикции при выпуске EV-сертификатов

Правила по выпуску и управлению EV (Extended Validation) сертификатов содержат пункт 9.2.5 ”Юрисдикция учреждения или регистрации субъекта”, который является обязательным для заполнения. Он включает в себя поля ”Locality” (если требуется), ”State or province” (если требуется) и ”Country”.

Компания Francisco Partners приобрела SSL-бизнес Comodo

Бизнес по выпуску сертификатов Comodo был приобретен компанией Francisco Partners. Новости об этом появились в тот же день, что и анонс закрытия сделки между Symantec и DigiCert. Мелих Абдулхайоглу (Melih Abdulhayoglu), основатель и директор компании Comodo, отметил, что он лишь снизил свою долю в бизнесе, а не продал весь бизнес. Это позволит компании сконцентрироваться на других решениях в области кибербезопасности.

DigiCert закрыла сделку с Symantec по приобретению SSL бизнеса

31 октября компания DigiCert объявила о том, что сделка по приобретению активов Symantec – инфраструктуры PKI и инструментов безопасности сайтов – на сумму $950 млн была закрыта. Анонс сделки появился в СМИ еще 3 августа. DigiCert приобрели SSL бизнес Symantec после того, как компания попала под немилость по стороны Google и других крупных поставщиков браузеров. По результатам сделки Symantec сохранит 30% долю в акционерном капитале DigiCert.

Google планируют удалить поддержку HTTP Public Key Pinning (HPKP)

HTTP Public Key Pinning (HPKP) представляет собой стандарт безопасности, который заставляет браузеры принимать только определенные ”привязанные” (pinned) публичные ключи при посещении хоста в течение фиксированного периода времени. Эта функция была введена Google в 2015 году. Однако она так и не смогла завоевать популярность.

StartCom закрывается

Удостоверяющий центр StartCom закроется и перестанет выпускать новые сертификаты с начала следующего года. Об этом сообщил председатель управляющего совета организации Xiaosheng Tan. Кроме того, возобновление корневой программы Mozilla больше не обсуждается. Как мы помним, Mozilla и другие крупные производители браузеров удалили корни Startcom и Wosign за нарушение правил выпуска сертификатов.

Внимание: обнаружен баг с EV SSL сертификатами Symantec в браузере Chrome

Все Symantec (а также Thawte и GeoTrust) EV SSL-сертификаты, выпущенные после 28 ноября 2017 в иерархии DigiCert SHA-256, перестали выводить зеленую адресную строку в браузере Chrome. Специалисты Google уже осведомлены об этом баге. Как ожидается, проблема будет исправлена приблизительно в январе 2018 года.

Спешите: последняя возможность купить трехлетние SSL-сертификаты!

Как мы уже писали ранее, выпуск трехлетних SSL-сертификатов будет прекращен всеми удостоверяющими центрами, начиная с 1 марта 2018 года.

С 1 февраля все DigiCert сертификаты будут отвечать требованиям прозрачности

Как сообщается в блоге DigiCert, с 1 февраля 2018 года все новые публично доверенные SSL-сертификаты этого удостоверяющего центра по умолчанию будут вноситься в журналы прозрачности (Certificate Transparency logs).

Скорректированы правила проверки доменов для выпуска SSL-сертификатов

На днях CA/B Forum, регулятор индустрии SSL-сертификатов, принял большинством голосов предложение Ballot 218, связанное с удалением нескольких методов проверки (валидации) домена.

Протокол шифрования TLS 1.3 был окончательно доработан и утвержден группой IETF

Новый протокол TLS 1.3 был полностью доработан 21 марта 2018 года. До этого протокол обновлялся более 8 лет назад. Среди особенностей TLS 1.3 можно отметить улучшенную безопасность и производительность.

Apple приняли новую политику прозрачности SSL-сертификатов

На конференции Apple Worldwide Developers Conference (WWDC) 2018 компания сделала важное заявление: начиная с 15 октября, все SSL/TLS-сертификаты должны быть внесены в публичные логи прозрачности, иначе Safari и различные платформы Apple не будут им доверять.

Домены .app от Google, доступные только по HTTPS, открылись для регистрации

8 мая Google открыл регистрацию доменов .app для широкой публики. Как и следует из названия, эти домены предназначены для разработчиков приложений, однако зарегистрировать домен можно и для любых других целей.

Начиная с сентября 2018, в Google Chrome изменятся визуальные индикаторы для HTTPS

Мы уже писали о том, что Google планирует помечать все HTTP-сайты как небезопасные (Not secure). На днях Google сделали еще один шаг в этом направлении – начиная с сентября 2018, в Google Chrome (в версии 69) будет удалено слово ”Secure” из адресной строки браузера для всех HTTPS-сайтов.

Как отключить устаревшие версии SSL/TLS в Apache

Начиная с 30 июня 2018, для совместимости с PCI владельцы сайтов должны отказаться от поддержки TLS 1.0. Протоколы TLS 1.0/1.1 и SSL 2.0/3.0 являются устаревшими. Они не дают должной защиты при передаче данных. В частности, TLS 1.0 содержит уязвимости для некоторых атак. Представленные выше версии протоколов должны быть удалены в средах, требующих высокого уровня безопасности.

Лондонский протокол: новая инициатива по борьбе с фишингом

Совет безопасности центров сертификации (The Certificate Authority Security Council (CASC)) на мероприятии CA/Browser Forum в Лондоне объявил о запуске новой инициативы, которая получила название Лондонского протокола.

Что произойдет, если SSL-сертификат истечет

Что будет, если вовремя не обновить SSL-сертификат? Этот вопрос нам часто задают клиенты. Сразу скажем: последствия самые серьезные. Если вы являетесь клиентом LeaderSSL, то вы сможете минимизировать риски подобной ситуации. Как именно? Читайте далее!

Google Chrome, Mozilla Firefox и другие браузеры перейдут к 2020 году на TLS 1.2

Представители Google, Microsoft, Mozilla и Apple объявили о том, что к 2020 году в их браузерах будет отключена поддержка Transport Layer Security (TLS) 1.0 и 1.1. Новой версией по умолчанию станет TLS 1.2.

Компания Comodo CA провела ребрендинг: теперь она называется Sectigo

Comodo CA, популярный удостоверяющий центр, а также крупный поставщик решений в области онлайн-безопасности, анонсировал свой ребрендинг – компания решила сменить свое название в пользу Sectigo. Примерно год назад компания была выкуплена Francisco Partners.

CA/B Forum запретил использовать символы подчеркивания в записях dNSName

CA/B Forum, орган регулирования SSL-индустрии, запретил использовать символы подчеркивания (”_”) в любых записях dNSName. Соответствующее предложение (Ballot SC12) было принято и поддержано большинством голосов.

Удостоверяющий центр Sectigo анонсировал отказ от корней Comodo CA в пользу корней USERTrust CA

Удостоверяющий центр Sectigo анонсировал отказ от корней Comodo CA. Переход к новым корням USERTrust CA должен произойти 14 января. Это позволит Sectigo исключить любые упоминания бренда Comodo – в частности, убрать его из промежуточных и корневых удостоверяющих центров.

Подводим итоги 2018 года

Сегодня же мы решили по традиции подвести итоги уходящего 2018 года. Что было нами реализовано, каких успехов мы достигли, чем нам запомнился этот год – давайте вместе пробежимся по этим памятным страницам!

В Firefox 65 предупреждения о MitM-атаках будут расширены

Начиная с версии 61, в браузере Firefox появилось новое предупреждение о том, что программа пытается выполнить MitM-атаку (Man-in-the-Middle). В предстоящей версии Firefox 65 это предупреждение будет дополнено информацией, указывающей на то, что причиной ошибки может выступать антивирусная программа.

CA/B Forum обновил методы телефонной валидации

CA/B Forum, регулятор индустрии SSL-сертификатов, принял новые изменения, касающиеся методов телефонной валидации.

CA/B Forum обновил методы IP-валидации

CA/B Forum, регулирующий орган SSL-индустрии, принял Ballot SC7, посвященный обновлению методов IP-валидации.

CA/B Forum уточнил использование атрибутов поля Subject в SSL-сертификатах

На днях CA/B Forum, регулирующий орган индустрии SSL, большинством голосов принял Ballot SC16, призванный уточнить использование атрибутов поля Subject в SSL-сертификатах.

Яндекс вводит более активные предупреждения о небезопасности HTTP-сайтов

Предупреждения о небезопасности сайтов, передаваемых по HTTP, появятся в новой версии Яндекс.Браузера, на поиске, а также в других сервисах компании.

Протокол ACME был утвержден в качестве стандарта IETF

Протокол ACME (Automated Certificate Management Environment) был официально стандартизирован Инженерным советом Интернета (IETF). С помощью протокола ACME удостоверяющие центры могут автоматизировать процесс выдачи и проверки сертификата.

Владельцы доменов могут публиковать номера телефонов в DNS CAA для валидации

CA/B Forum, регулирующий орган индустрии SSL, принял большинством голосов Ballot SC19, согласно которому владельцы доменов теперь могут публиковать номера телефонов в записях DNS CAA, что используется для выполнения валидации.

Google и Mozilla прекратят выводить наименование компании в адресной строке браузера

Разработчики крупнейших браузеров Google Chrome и Mozilla Firefox анонсировали отказ от вывода наименования компании в EV (Extended Validation) SSL-сертификатах. В данный момент наименование организации выводится в адресной строке браузера.

CA/B Forum не поддержал сокращение максимального срока действия SSL-сертификатов до года

Предложение Ballot SC22 по сокращению максимального срока действия SSL-сертификатов до одного года (точнее: до 397 дней) было отклонено большинством голосов. Активные обсуждения, связанные с этим, велись в CA/B Forum на протяжении последних нескольких месяцев.

Начиная с января 2020, в Chrome будет блокироваться смешанное содержимое

Команда Google Security Team анонсировала план по блокировке смешанного содержимого, чтобы обеспечить более безопасный просмотр HTTPS-страниц. Смешанное содержимое относится к HTTPS-страницам, на которых загружаются различные ресурсы (изображения, видео, таблицы стилей, скрипты) по HTTP.

Одобрено предложение Ballot SC21 по контролю целостности логов

CA/B Forum, регулирующий орган в сфере SSL, принял большинством голосов предложение Ballot SC21, связанное с улучшением контроля целостности логов. Главная цель предложения - доработка документа Network and Certificate System Security Requirements, который был утвержден 3 августа 2012 и начал применяться с 1 января 2013.

В Chrome появится индикатор Not Secure для сайтов, использующих устаревшие TLS-версии

Как мы уже писали ранее, крупные разработчики браузеров, включая Google, Mozilla, Microsoft и Apple, анонсировали отказ от поддержки TLS 1.0 и 1.1 в своих решениях в 2019 году. Данные протоколы, несмотря на то, что в них отсутствуют какие-либо известные уязвимости, не поддерживают современные криптографические алгоритмы.

В Firefox 70 появятся новые индикаторы безопасности

В браузере Firefox 70 появятся новые индикаторы безопасности, которые позволят снизить визуальную значимость EV SSL-сертификатов и привлечь больше внимания к сайтам, передаваемым через небезопасный протокол HTTP.

Microsoft выпустила патчи для найденной уязвимости в Windows CryptoAPI

На днях Microsoft сообщила о том, что процедура проверки x.509-сертификатов на базе ECC в Windows содержит в себе критическую уязвимость. Для всех поддерживаемых версий Windows были выпущены патчи.

Принят Ballot SC25, определяющий новые методы HTTP-валидации домена

CA/B Forum, регулирующий орган в индустрии SSL-сертификатов, принял большинством голосов новый Ballot SC25, определяющий методы HTTP-валидации доменов.

Google Chrome будет блокировать небезопасные HTTP-загрузки

Разработчики Google Chrome анонсировали блокировку так называемых ”загрузок смешанного контента” (когда на HTTPS-страницах загружаются файлы по HTTP-ссылкам). Этот шаг отвечает более раннему подходу Chrome с блокировкой всех небезопасных ресурсов на HTTPS-страницах.

Разрешен выпуск SSL-сертификатов для onion-адресов версии 3

CA/B Forum, официальный регулятор индустрии SSL-сертификатов, принял новое постановление SC27v3, в котором разъясняются правила выпуска сертификатов для onion-адресов версии 3.

Apple перестанут доверять сертификатам со сроком более 1 года с 1 сентября 2020

Компания Apple объявила о том, что в Safari будут считаться доверенными только сертификаты, срок действия которых составляет 398 дней и менее (1 год + дополнительный период для продления). Такая политика вступает в силу с 1 сентября 2020 года.

Крупные браузеры приняли решение временно продолжить поддержку устаревших протоколов TLS 1.0 и 1.1

В результате пандемии коронавируса крупные браузеры приняли решение временно продлить поддержку устаревших протоколов TLS 1.0 и 1.1. В данный момент о таких планах высказались разработчики Firefox, Chrome и Edge.

30 мая 2020 года истёк срок действия корневого сертификата Удостоверяющего Центра Sectigo

30 мая 2020 года истёк срок действия корневого сертификата Удостоверяющего Центра Sectigo (ранее Comodo) AddTrust External CA Root, а также промежуточных сертификатов USERTrustRSA и Comodo RSA CA, подписанных им.

С 1 сентября 2020 года Chrome перестанет доверять сертификатам, выпущенным на срок более 1 года

Дин Коклин (Dean Coclin), почетный председатель CA/B Forum, опубликовал в Twitter анонс о том, что Google последует примеру Apple в ограничении срока действия публичных сертификатов SSL/TLS до одного года. Данное решение не стало неожиданностью, поскольку именно Google всегда являлись главными приверженцами сертификатов с коротким сроком действия.

Mozilla перестанет доверять SSL-сертификатам, выпущенным на срок более 1 года

С 1 сентября 2020 года Mozilla перестанет доверять SSL-сертификатам, выпущенным на срок более 1 года (доверенными будут являться только сертификаты сроком 398 дней и менее). Это решение не является неожиданностью, поскольку многие крупные браузеры уже поддержали данную инициативу.

Sectigo объявили об отказе от выпуска двухлетних SSL-сертификатов

Удостоверяющий центр Sectigo объявил о прекращении выпуска двухлетних SSL-сертификатов. Начиная с 19 августа 2020 года, Sectigo будет предлагать только однолетние публичные SSL/TLS-сертификаты (сроком действия до 398 дней). Связано это с решением крупных браузеров по отказу от доверия к двухлетним сертификатам.

CA/B Forum утвердил новый метод проверки контроля над доменом с помощью расширения ALPN

CA/B Forum, регулирующий орган в индустрии SSL, принял большинством голосом новое предложение Ballot SC33.

Срок действия сертификатов DigiCert будет ограничен одним годом

С 1 сентября 2020 года все удостоверяющие центры должны прекратить выдачу двухлетних SSL/TLS-сертификатов. Максимальным сроком действия SSL-сертификатов теперь станет 1 год (398 дней, если быть точнее).

В тестовых сборках Windows 10 протокол TLS 1.3 будет включен по умолчанию

На прошлой неделе специалисты Microsoft объявили о включении TLS 1.3 в последних сборках Windows 10 (начиная с версии 20170).

В Firefox 83 появился режим HTTPS-Only

В браузере Mozilla Firefox 83 появился новый режим HTTPS-Only. Когда он активирован, происходит следующее.

С 1 марта 2021 года Sectigo удалит информацию о полном адресе и почтовом индексе из всех публичных сертификатов

С 1 марта 2021 года Sectigo удалит информацию о полном адресе (Street address) и почтовом индексе (Postal/Zip code) из всех публичных сертификатов. Как отметили представители удостоверяющего центра, эта информация не является необходимой для включения в сертификаты.

Браузер Google Chrome 90 будет использовать протокол HTTPS по умолчанию

В последнем обновлении браузер Google Chrome стал еще быстрее и безопаснее. Теперь по умолчанию для открытия страниц будет использоваться протокол HTTPS вместо HTTP. Разработчики Chrome уже давно призывают всех владельцев сайтов переходить на HTTPS.

Изменения, связанные с проверкой доменов для выпуска SSL-сертификатов в 2021 году

CA/B Forum, регулятор индустрии SSL-сертификатов, одобрил несколько изменений, связанных с политикой валидации доменов. Изменения касаются всех новых сертификатов, а также перевыпусков и продлений старых сертификатов. Уже выпущенные SSL/TLS-сертификаты продолжат функционировать (менять их не потребуется).

Новые требования к размеру RSA-ключей для Code Signing сертификатов DigiCert

Начиная с 27 мая 2021 года, для выпуска Code Signing сертификатов DigiCert потребуются RSA-ключи размером 3072-бит или выше.

С 1 июля 2021 года DNS-операторы будут обязаны проверять CAA-записи при выпуске сертификатов

В результате дополнительных проверок CA/B Forum выяснил, что секция 3.2.2.8 текущих правил по выпуску SSL-сертификатов (Baseline Requirements) содержит дыры в безопасности, связанные с проверкой CAA.

Принято решение по отказу от поля subject:organizationalUnitName в SSL-сертификатах

CA/B Forum, регулирующий орган в сфере SSL-сертификатов, принял решение отказаться от поля subject:organizationalUnitName, поскольку все прежние попытки по ужесточению его проверки не увенчались успехом.

Скорректированы правила валидации Wildcard-сертификатов

Не так давно CA/B Forum утвердил постановление Ballot SC45, устраняющее дыры в безопасности для методов 3.2.2.4.6, 3.2.2.4.18 и 3.2.2.4.19 базовых правил* выпуска сертификатов (Baseline Requirements).

Принят Ballot SC48 v2, устраняющий неточности с кодированием доменного имени и IP-адреса

Команда CA/B Forum решила уточнить правила кодирования доменных имен и IP-адресов. Итогом обсуждения и голосования стал Ballot SC48 v2. Он был принят большинством голосов.

Разработчики Google Chrome планируют удалить иконку замочка для HTTPS-сайтов

В случае принятия изменений сайты, доступные по HTTPS, больше не будут иметь иконку замочка в Chrome 93. При этом ресурсы, которые работают по HTTP, по-прежнему будут маркироваться как ”Not secure”.

В Firefox 91 включен протокол HTTPS по умолчанию в режиме приватного просмотра

Браузер Firefox 91, вышедший 10 августа, включает в себя HTTPS по умолчанию в режиме приватного просмотра.

В Firefox 92 будут блокироваться по умолчанию HTTP-загрузки на HTTPS-страницах

Разработчики Firefox планируют блокировать незащищенные загрузки на всех HTTPS-страницах. Аналогичный функционал был внедрен в Google Chrome в прошлом году. Его еще называют блокировкой загрузки смешанного контента.

Удостоверяющий центр Sectigo планирует отказаться от поля localityName

Удостоверяющий центр Sectigo постепенно отказывается от использования информации Locality в пользу данных State и Province в публичных SSL/TLS-сертификатах (с OV и EV проверкой).

Apple перестанет поддерживать TLS 1.0 и 1.1, начиная с iOS 15 и macOS 12

Компания Apple продолжает отказываться от поддержки Transport Layer Security 1.0 и 1.1 в своих операционных системах.

Принят Ballot SC53, связанный с отказом от SHA-1 OCSP-подписей

CA/B Forum, регулятор в индустрии SSL-сертификатов, принял большинством голосов новый Ballot SC53. Теперь SHA-1 OCSP-подписи больше не поддерживаются.

Текущие ограничения выпуска SSL-сертификатов для России

Уважаемые клиенты, уведомляем вас о том, что в связи с изменениями законодательства некоторые Удостоверяющие Центры ввели ряд ограничений.

Изменились правила выпуска публичных OV Code Signing сертификатов

Согласно CA/B Forum, регулятору SSL-индустрии, с 15 ноября 2022 года приватные ключи для OV Code Signing сертификатов должны храниться на устройствах, отвечающих стандартам безопасности FIPS 140 Level 2, Common Criteria EAL 4+ или аналогичным. В итоге защита приватного ключа будет усилена и доведена до уровня EV (Extended Validation).

Иконка замка для HTTPS будет пересмотрена в браузере Google Chrome 117

Иконка замка в браузере давно уже вызывала недовольство у разработчиков Google, потому в сентябре 2022 было принято решение пересмотреть ее дизайн.

Вышел новый релиз библиотеки OpenSSL 3.2

Выпущено обновление свободной, открытой библиотеки OpenSSL 3.2, используемой для обеспечения безопасного соединения в сетях. Работа над OpenSSL 3.2 длилась более 2 лет. Было собрано более 4000 коммитов и предложений от 300 разных авторов.

GlobalSign переходит на новые корневые сертификаты Alpha SSL

На днях удостоверяющий центр GlobalSign объявил о переходе на новую иерархию корневых сертификатов Alpha SSL – с R1 на R6. Сделано это с целью соответствия обновленной политике корневого хранилища Mozilla и базовым требованиям CA/B Forum.

CA/B Forum одобрил использование CAA-записи для S/MIME-сертификатов

CA/B Forum, регулирующий орган в индустрии SSL-сертификатов, принял изменения, связанные с введением CAA-записей для выпуска S/MIME-сертификатов. Теперь CAA-записи поддерживаются и для доменов электронной почты, что определено в стандарте RFC 9495.