Рейтинг
0.00

Leaderssl Хостинг

1 читатель, 59 топиков

Разработчики Google Chrome планируют удалить иконку замочка для HTTPS-сайтов



В случае принятия изменений сайты, доступные по HTTPS, больше не будут иметь иконку замочка в Chrome 93. При этом ресурсы, которые работают по HTTP, по-прежнему будут маркироваться как «Not secure».

Протестировать изменение можно уже сейчас в сборках Chrome 93 Beta и Chrome 94 Canary. Чтобы сделать это, необходимо установить флаг Omnibox Updated connection security indicators.

Вводим chrome://flags в адресную строку Chrome 93 Beta или Chrome 94 Canary.
Ищем раздел security indicators.
Задаем Enabled для флага Omnibox Updated connection security indicators.
Перезапускаем браузер.
Также в Chrome 93 будет введена корпоративная политика LockIconInAddressBarEnabled для компаний, которые не готовы отказаться от вывода замочка в адресной строке для HTTPS-сайтов.

Изменение находится на этапе тестирования. Даже если текущий дизайн будет изменен, пользователи по-прежнему смогу выявлять незащищенные сайты с помощью указателя «Not secure».

Релиз Chrome 93 ожидается 31 августа 2021 года.

С 1 июля 2021 года DNS-операторы будут обязаны проверять CAA-записи при выпуске сертификатов



В результате дополнительных проверок CA/B Forum выяснил, что секция 3.2.2.8 текущих правил по выпуску SSL-сертификатов (Baseline Requirements) содержит дыры в безопасности, связанные с проверкой CAA.

В настоящий момент секция 3.2.2.8 позволяет обойти проверку CAA, если удостоверяющий центр (или его аффилированное лицо) является DNS-оператором.

Определение DNS-оператора, данное в RFC 7719, содержит четкое техническое описание того, как конфигурируются и передаются зоны авторитетных серверов (включая NS-записи). Соответственно, удостоверяющий центр может обойти проверку CAA-записи, но это не освобождает его от необходимости поиска всех остальных записей при выдаче каждого сертификата.

В итоге это вызвало некоторые разногласия среди удостоверяющих центров. Они стали называть себя авторитетными без каких-либо подтверждений, что не соответствует текущим правилам.

Чтобы избежать подобных проблем, с 1 июля 2021 года оператор DNS должен будет выполнять проверку CAA. Это позволит снизить двусмысленность правил выпуска сертификатов для удостоверяющих центров.

leaderssl.ru/

Изменения, связанные с проверкой доменов для выпуска SSL-сертификатов в 2021 году



CA/B Forum, регулятор индустрии SSL-сертификатов, одобрил несколько изменений, связанных с политикой валидации доменов. Изменения касаются всех новых сертификатов, а также перевыпусков и продлений старых сертификатов. Уже выпущенные SSL/TLS-сертификаты продолжат функционировать (менять их не потребуется).

ПОВТОРНАЯ ВАЛИДАЦИЯ ДОМЕНОВ ПОТРЕБУЕТСЯ КАЖДЫЕ 398 ДНЕЙ
Начиная с 1 октября 2021 года, повторная валидация доменов (FQDN) должна будет проводиться каждые 398 дней. То же самое относится и к повторной валидации IP-адресов. Это изменение отмечено в Ballot SC42. Для проверки по организации (OV) остается все тот же 825-дневный период повторного использования данных.

Расширенная проверка (EV) в данном случае не затрагивается, поскольку домены с EV-сертификатами и так требуют повторной валидации каждый год.

ИЗМЕНЕНА ПРОВЕРКА УПРАВЛЕНИЯ ДОМЕНОМ (DCV) С ИСПОЛЬЗОВАНИЕМ ФАЙЛОВОЙ АУТЕНТИФИКАЦИИ
CA/B Forum внес некоторые изменения в файловую аутентификацию доменов. Метод проверки управления доменом на базе файлов будет запрещен для wildcard-сертификатов. При этом для отдельных поддоменов такая проверка будет осуществима.
Методы проверки управления доменом на базе Email и DNS не будут затронуты.

Изменение политики CA/B Forum требует проведения отдельной проверки на базе файлов для каждого FQDN. При этом валидация на базе Email и DNS будет все так же работать для wildcard-сертификатов. Ее можно будет применить для валидации всех поддоменов одного проверенного домена. Данное изменение вступит в силу 1 декабря 2021 года.

НУЖНО ЛИ МНЕ ЧТО-ТО ДЕЛАТЬ В СВЯЗИ С ЭТИМИ ИЗМЕНЕНИЯМИ
Каких-либо срочных действий совершать не требуется.
Чтобы лучше подготовиться к данным изменениям, мы рекомендуем изменить метод валидации доменов на email или DNS для wildcard и мультидоменных сертификатов. Файловая аутентификация подойдет только для отдельных доменов (она перестанет охватывать все пространство доменов внутри проверенного домена).

Новые требования к размеру RSA-ключей для Code Signing сертификатов DigiCert



Начиная с 27 мая 2021 года, для выпуска Code Signing сертификатов DigiCert потребуются RSA-ключи размером 3072-бит или выше.

Это изменение связано с ужесточившимися стандартами индустрии. Новые требования к размеру RSA-ключа касаются всей цепочки сертификатов (корневого, конечного сертификата и всех промежуточных). При этом требования к ECC-ключам остались неизменными.
  • Все сертификаты, выпущенные до 27 мая, не нуждаются в изменениях. Они продолжат работать до конца своего срока действия.
  • После 27 мая все новые, продленные и повторно выпущенные сертификаты Code Signing от DigiCert будут автоматически выпускаться с обновленными цепочками (с новыми промежуточными и корневыми сертификатами).
  • После 27 мая все Code Signing сертификаты будут требовать RSA-ключи размером 3072-бит или выше. Для EV Code Signing сертификатов нужен будет новый токен (или HSM), поддерживающий минимум 3072-битные ключи. В настоящий момент токены и HSM поддерживают в основном только 2048-битные ключи.

Что нужно сделать вам
Если в вашей среде отсутствуют прикрепленные (pinned) или напрямую прописанные (hard coded) ссылки на промежуточные и корневые сертификаты, вам не потребуется ничего делать. В противном случае вам придется обновлять свою среду.

Для EV Code Signing сертификатов вам нужно будет получить HSM/токен, поддерживающий размер RSA-ключа минимум 3072-бит.

leaderssl.ru

Браузер Google Chrome 90 будет использовать протокол HTTPS по умолчанию



В последнем обновлении браузер Google Chrome стал еще быстрее и безопаснее. Теперь по умолчанию для открытия страниц будет использоваться протокол HTTPS вместо HTTP. Разработчики Chrome уже давно призывают всех владельцев сайтов переходить на HTTPS.

Как следует из поста, опубликованного в блоге Chromium, любые записи в адресной строке браузера, не включающие в себя какой-либо протокол, будут получать префикс https://

Если пользователь впервые посещает тот или иной сайт, Chrome будет автоматически выбирать HTTPS-версию этого ресурса. Соответственно, работа с сайтами станет более приватной и безопасной. Это повлияет и на скорость открытия сайтов, поскольку браузеру теперь не придется делать лишний редирект с HTTP на HTTPS.

Если сайт до сих пор не поддерживает протокол HTTPS, браузер попытается обратиться к его HTTP-версии. Также протокол HTTP будет использоваться по умолчанию для IP-адресов, однокомпонентных доменов (single label domain) и зарезервированных имен хостов (reserved hostnames).

Изменения появятся в версии Chrome 90 для десктопов и для Android-устройств. Чуть позже должен выйти релиз Chrome для iOS.

С 1 марта 2021 года Sectigo удалит информацию о полном адресе и почтовом индексе из всех публичных сертификатов



С 1 марта 2021 года Sectigo удалит информацию о полном адресе (Street address) и почтовом индексе (Postal/Zip code) из всех публичных сертификатов. Как отметили представители удостоверяющего центра, эта информация не является необходимой для включения в сертификаты. Технические спецификации ее не требуют. Изменение затрагивает все публичные OV/EV SSL и OV/EV Code Signing сертификаты.
www.leaderssl.ru

В Firefox 83 появился режим HTTPS-Only



В браузере Mozilla Firefox 83 появился новый режим HTTPS-Only. Когда он активирован, происходит следующее:
  • Firefox пытается установить защищенные соединения со всеми сайтами, которые вы посещаете;
  • Firefox запрашивает у вас разрешение на то, чтобы посетить сайт, который доступен только по HTTP.
Сегодня сайты, работающие только по небезопасному и устаревшему протоколу HTTP, становятся редкостью. Также в сети имеется множество старых ссылок, открывающихся по HTTP. Если вы перейдете по такой ссылке, браузер перенесет вас на HTTP-версию сайта.

Режим HTTPS-Only гарантирует, что Firefox не будет переносить вас на HTTP-сайты без вашего прямого разрешения. Все соединения будут полностью защищенными.

Как включить режим HTTPS-Only
Включить режим HTTPS-Only в Firefox легко:
  • Переходим в меню браузера и выбираем Preferences.
  • Далее выбираем раздел Privacy & Security и переходим в секцию HTTPS-Only Mode.
  • Включаем режим HTTPS-Only.
Если сайт недоступен по HTTPS, вы увидите следующее предупреждение


Бывает и так, что сам сайт доступен по HTTPS, но его внутренние ресурсы отдаются по HTTP (ошибка смешанного содержимого). По этой причине некоторые страницы сайта будут выглядеть некорректно. Тогда вы можете временно отключить режим HTTPS-Only, щелкнув по иконке замочка в адресной строке браузера.

Подписывайтесь на нашу рассылку, чтобы всегда быть в курсе свежих новостей из мира SSL и онлайн-безопасности!

www.leaderssl.ru

В тестовых сборках Windows 10 протокол TLS 1.3 будет включен по умолчанию



На прошлой неделе специалисты Microsoft объявили о включении TLS 1.3 в последних сборках Windows 10 (начиная с версии 20170).

TLS 1.3 включен по умолчанию в IIS/HTTP.SYS. Администраторы Microsoft Edge Legacy и Internet Explorer могут включить поддержку этого протокола в разделе Internet Options (меню Advanced Settings).

Новый браузер Microsoft Edgeна базе Chromium отличается встроенной поддержкой TLS 1.3. Он не использует стек Windows TLS.

Также поддержка TLS 1.3 будет добавлена в .NET 5.0+.

Включение TLS 1.3 в сборках Windows 10 – один из важных шагов на пути к более широкому внедрению протокола безопасности в данной операционной системе. Пока нет сведений, когда именно компания Microsoft планирует включить этот протокол в стабильные версии Windows. Маловероятно, что это произойдет в следующем обновлении Windows 10. Самый вероятный кандидат – релиз 21H1 Windows 10, запланированный на следующий год.

Примерная дата перехода к TLS 1.3 в Windows 10 совпадает с отключением TLS 1.0 и 1.1, о чем Microsoft уже объявляла в своих анонсах (это произойдет не раньше весны 2021).

Компания хотела отказаться от устаревших версий протоколов TLS 1.0 и 1.1 в своей ОС Windows еще в первой половине 2020 года. Это начинание поддержали также Google, Mozilla и Apple. Версия TLS 1.3 уже может быть включена в Chrome и Firefox.

Однако глобальная пандемия внесла свои коррективы в этот процесс, а потому специалисты Microsoft отметили, что оба протокола не будут отключены раньше весны 2021 года.

TLS 1.3 обещает лучшую безопасность и более высокую производительность по сравнению со старыми версиями протоколов. Microsoft рекомендует разработчикам как можно быстрее начать тестирование TLS 1.3 в своих приложениях и сервисах.

Стек Windows 10 будет поддерживать три набора шифров с целью безопасности:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
Два первых набора шифров включены по умолчанию.

CA/B Forum утвердил новый метод проверки контроля над доменом с помощью расширения ALPN



CA/B Forum, регулирующий орган в индустрии SSL, принял большинством голосом новое предложение Ballot SC33.

Как следует из предложения, метод проверки прав владения доменом 3.2.2.4.10 (с помощью случайных чисел) теперь считается устаревшим. Вместо него вводится новый пункт 3.2.2.4.20, позволяющий проверять права владения FQDN (полным именем домена) с помощью расширения ALPN.

Причины соответствующих изменений
В январе 2018 года в методе валидации доменов ACME TLS-SNI-01 была обнаружена уязвимость. Именно этот метод использовался как основной для выполнения пункта 3.2.2.4.10 и применялся даже несмотря на имеющиеся проблемы. Метод ALPN является альтернативой проверке с помощью ACME TLS-SNI-01; он был стандартизирован IETF как RFC 8737. По этой причине CA/B Forum решил отказаться от недостаточно прозрачного, потенциально небезопасного метода 3.2.2.4.10 в пользу нового метода 3.2.2.4.20.

В предложении отсутствуют какие-либо сведения о переходном периоде, заданном для метода проверки 3.2.2.4.10. Все предыдущие проверки, выполненные с помощью данного метода, а также валидационные данные, полученные с его помощью, не должны использоваться для выпуска сертификатов.

Данное предложение также ограничивает использование прошедших проверку старым способом FQDN — для разных поддоменов требуются новые проверки, а проверки wildcard недопустимы.

Срок действия сертификатов DigiCert будет ограничен одним годом

С 1 сентября 2020 года все удостоверяющие центры должны прекратить выдачу двухлетних SSL/TLS-сертификатов. Максимальным сроком действия SSL-сертификатов теперь станет 1 год (398 дней, если быть точнее).


С 1 сентября 2020 года все удостоверяющие центры должны прекратить выдачу двухлетних SSL/TLS-сертификатов. Максимальным сроком действия SSL-сертификатов теперь станет 1 год (398 дней, если быть точнее).

Удостоверяющий центр DigiCert (а также принадлежащие ему бренды RapidSSL, Thawte, GeoTrust) поддержал новые требования, ограничив максимальный срок действия SSL-сертификатов до 397 дней (с учетом разницы в часовых поясах). Это изменение распространяется на все публично доверенные TLS/SSL-сертификаты.
  • Организации, которые уже прошли валидацию, могут приобрести двухлетние SSL-сертификаты DigiCert до 27 августа, 23:59 UTC.
  • Если же организации требуется валидация, то в таком случае приобрести двухлетние SSL-сертификаты DigiCert можно будет до 12 августа, 23:59 UTC.
По аналогии с этим установлены ограничены для выпуска OV/EV-сертификатов брендов RapidSSL, Thawte, GeoTrust:
Если компания уже прошла OV/EV-валидацию, то в таком случае приобрести двухлетние сертификаты можно будет до 27 августа 2020 года.
  • Если OV/EV-валидация не была пройдена, то приобрести двухлетние сертификаты можно будет до 12 августа 2020 года.
  • Если у вас уже имеются сертификаты DigiCert, то они будут работать на протяжении всего срока их действия. Перевыпускать их в связи с этим изменением вам не понадобится.

Также вы можете всегда заказать у нас доверенные SSL-сертификаты на срок от 2 до 5 лет в рамках пакетных предложений.