Рейтинг
0.00

Leaderssl Хостинг

1 читатель, 52 топика

В тестовых сборках Windows 10 протокол TLS 1.3 будет включен по умолчанию



На прошлой неделе специалисты Microsoft объявили о включении TLS 1.3 в последних сборках Windows 10 (начиная с версии 20170).

TLS 1.3 включен по умолчанию в IIS/HTTP.SYS. Администраторы Microsoft Edge Legacy и Internet Explorer могут включить поддержку этого протокола в разделе Internet Options (меню Advanced Settings).

Новый браузер Microsoft Edgeна базе Chromium отличается встроенной поддержкой TLS 1.3. Он не использует стек Windows TLS.

Также поддержка TLS 1.3 будет добавлена в .NET 5.0+.

Включение TLS 1.3 в сборках Windows 10 – один из важных шагов на пути к более широкому внедрению протокола безопасности в данной операционной системе. Пока нет сведений, когда именно компания Microsoft планирует включить этот протокол в стабильные версии Windows. Маловероятно, что это произойдет в следующем обновлении Windows 10. Самый вероятный кандидат – релиз 21H1 Windows 10, запланированный на следующий год.

Примерная дата перехода к TLS 1.3 в Windows 10 совпадает с отключением TLS 1.0 и 1.1, о чем Microsoft уже объявляла в своих анонсах (это произойдет не раньше весны 2021).

Компания хотела отказаться от устаревших версий протоколов TLS 1.0 и 1.1 в своей ОС Windows еще в первой половине 2020 года. Это начинание поддержали также Google, Mozilla и Apple. Версия TLS 1.3 уже может быть включена в Chrome и Firefox.

Однако глобальная пандемия внесла свои коррективы в этот процесс, а потому специалисты Microsoft отметили, что оба протокола не будут отключены раньше весны 2021 года.

TLS 1.3 обещает лучшую безопасность и более высокую производительность по сравнению со старыми версиями протоколов. Microsoft рекомендует разработчикам как можно быстрее начать тестирование TLS 1.3 в своих приложениях и сервисах.

Стек Windows 10 будет поддерживать три набора шифров с целью безопасности:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
Два первых набора шифров включены по умолчанию.

CA/B Forum утвердил новый метод проверки контроля над доменом с помощью расширения ALPN



CA/B Forum, регулирующий орган в индустрии SSL, принял большинством голосом новое предложение Ballot SC33.

Как следует из предложения, метод проверки прав владения доменом 3.2.2.4.10 (с помощью случайных чисел) теперь считается устаревшим. Вместо него вводится новый пункт 3.2.2.4.20, позволяющий проверять права владения FQDN (полным именем домена) с помощью расширения ALPN.

Причины соответствующих изменений
В январе 2018 года в методе валидации доменов ACME TLS-SNI-01 была обнаружена уязвимость. Именно этот метод использовался как основной для выполнения пункта 3.2.2.4.10 и применялся даже несмотря на имеющиеся проблемы. Метод ALPN является альтернативой проверке с помощью ACME TLS-SNI-01; он был стандартизирован IETF как RFC 8737. По этой причине CA/B Forum решил отказаться от недостаточно прозрачного, потенциально небезопасного метода 3.2.2.4.10 в пользу нового метода 3.2.2.4.20.

В предложении отсутствуют какие-либо сведения о переходном периоде, заданном для метода проверки 3.2.2.4.10. Все предыдущие проверки, выполненные с помощью данного метода, а также валидационные данные, полученные с его помощью, не должны использоваться для выпуска сертификатов.

Данное предложение также ограничивает использование прошедших проверку старым способом FQDN — для разных поддоменов требуются новые проверки, а проверки wildcard недопустимы.

Срок действия сертификатов DigiCert будет ограничен одним годом

С 1 сентября 2020 года все удостоверяющие центры должны прекратить выдачу двухлетних SSL/TLS-сертификатов. Максимальным сроком действия SSL-сертификатов теперь станет 1 год (398 дней, если быть точнее).


С 1 сентября 2020 года все удостоверяющие центры должны прекратить выдачу двухлетних SSL/TLS-сертификатов. Максимальным сроком действия SSL-сертификатов теперь станет 1 год (398 дней, если быть точнее).

Удостоверяющий центр DigiCert (а также принадлежащие ему бренды RapidSSL, Thawte, GeoTrust) поддержал новые требования, ограничив максимальный срок действия SSL-сертификатов до 397 дней (с учетом разницы в часовых поясах). Это изменение распространяется на все публично доверенные TLS/SSL-сертификаты.
  • Организации, которые уже прошли валидацию, могут приобрести двухлетние SSL-сертификаты DigiCert до 27 августа, 23:59 UTC.
  • Если же организации требуется валидация, то в таком случае приобрести двухлетние SSL-сертификаты DigiCert можно будет до 12 августа, 23:59 UTC.
По аналогии с этим установлены ограничены для выпуска OV/EV-сертификатов брендов RapidSSL, Thawte, GeoTrust:
Если компания уже прошла OV/EV-валидацию, то в таком случае приобрести двухлетние сертификаты можно будет до 27 августа 2020 года.
  • Если OV/EV-валидация не была пройдена, то приобрести двухлетние сертификаты можно будет до 12 августа 2020 года.
  • Если у вас уже имеются сертификаты DigiCert, то они будут работать на протяжении всего срока их действия. Перевыпускать их в связи с этим изменением вам не понадобится.

Также вы можете всегда заказать у нас доверенные SSL-сертификаты на срок от 2 до 5 лет в рамках пакетных предложений.

Mozilla перестанет доверять SSL-сертификатам, выпущенным на срок более 1 года



С 1 сентября 2020 года Mozilla перестанет доверять SSL-сертификатам, выпущенным на срок более 1 года (доверенными будут являться только сертификаты сроком 398 дней и менее). Это решение не является неожиданностью, поскольку многие крупные браузеры уже поддержали данную инициативу.

Решение ограничить срок действия SSL-сертификатов связано с обеспечением большей безопасности
Среди главных причин такого сокращения сроков действия SSL-сертификатов называют:
  • Повышение гибкости при поэтапном отказе от старых сертификатов в случае обнаружения уязвимостей в алгоритмах шифрования.
  • Ограничение возможностей компрометации сайтов, поскольку приватные ключи шифрования будут регулярно меняться. В случае кражи TLS-сертификата у злоумышленников будет меньше времени на совершение вредоносных действий.
  • Хостинг-провайдеры и третьи лица не смогут длительное время использовать сертификат после отказа от продления домена.
Что означает решение Mozilla для владельцев сайтов
Описанные выше изменения касаются только новых сертификатов, выпущенных 1 сентября 2020 года и после этой даты.

Если у вас есть уже существующий сертификат со сроком действия в 2 года, вы можете продолжать его использовать до его окончательного истечения. Он не перестанет работать и будет доверенным даже после 1 сентября.

Также вы всегда можете купить у нас SSL-сертификаты по пакетным тарифам на срок от 2 до 5 лет. Эти предложения позволяют отлично сэкономить и получить надежный SSL-сертификат от доверенного удостоверяющего центра. Вам не придется постоянно контролировать срок действия ваших сертификатов – мы рассылаем почтовые уведомления для их оперативного перевыпуска.

www.leaderssl.ru

Sectigo объявили об отказе от выпуска двухлетних SSL-сертификатов



Удостоверяющий центр Sectigo объявил о прекращении выпуска двухлетних SSL-сертификатов. Начиная с 19 августа 2020 года, Sectigo будет предлагать только однолетние публичные SSL/TLS-сертификаты (сроком действия до 398 дней). Связано это с решением крупных браузеров по отказу от доверия к двухлетним сертификатам.

Все двухлетние SSL-сертификаты Sectigo, выпущенные до 19 августа, будут действительны до окончания их срока действия.

Это правило применимо только к публичным TLS/SSL-сертификатам. Другие типы сертификатов (приватные, Code Signing, S/MIME и т.д.) не будут затронуты. Их максимальный срок действия останется тем же, что и был.

Самым выгодным вариантом покупки SSL-сертификатов Sectigo на сегодняшний день остаются пакетные предложения. Вы можете приобрести себе действительный SSL-сертификат сроком от 2 до 5 лет в рамках предлагаемого нами пакета. Как только срок действия сертификата будет подходить к концу, мы оперативно уведомим вас о необходимости его продления по email.

www.leaderssl.ru

С 1 сентября 2020 года Chrome перестанет доверять сертификатам, выпущенным на срок более 1 года

Дин Коклин (Dean Coclin), почетный председатель CA/B Forum, опубликовал в Twitter анонс о том, что Google последует примеру Apple в ограничении срока действия публичных сертификатов SSL/TLS до одного года. Данное решение не стало неожиданностью, поскольку именно Google всегда являлись главными приверженцами сертификатов с коротким сроком действия.


Дин Коклин (Dean Coclin), почетный председатель CA/B Forum, опубликовал в Twitter анонс о том, что Google последует примеру Apple в ограничении срока действия публичных сертификатов SSL/TLS до одного года. Данное решение не стало неожиданностью, поскольку именно Google всегда являлись главными приверженцами сертификатов с коротким сроком действия.

Как только это решение официально будет анонсировано со стороны разработчиков Chrome, доверенными будут считаться только сертификаты, срок действия которых составит 398 дней и менее (1 год + дополнительный период, выделенный для продления). По словам Дина Коклина, это решение уже формально принято, а потому стоит ждать, что с 1 сентября 2020 года оно вступит в силу.

Все сертификаты, выпущенные до наступления этой даты, будут являться доверенными. Следовательно, если вы приобретете сертификат на 2 года, выпущенный 31 августа 2020 года, то он будет считаться доверенным для Chrome.

Остальные крупные производители браузеров должны будут сделать аналогичные заявления в ближайшем будущем.

Можно ли будет приобрести многолетние сертификаты после 1 сентября 2020 года?
Да, можно. Даже после 1 сентября вы сможете покупать у нас сертификаты сроком действия от 2 до 5 лет в рамках многолетних пакетов по подписке. Такие пакеты представлены в таблицах с ценами. Пятилетний сертификат, как показывает практика, является самым выгодным по стоимости – он дает максимальную экономию и позволяет не беспокоиться по поводу регулярных продлений. Мы рассылаем уведомления на почту, потому вы всегда сможете оперативно перевыпустить сертификат.
www.leaderssl.ru

30 мая 2020 года истёк срок действия корневого сертификата Удостоверяющего Центра Sectigo



30 мая 2020 года истёк срок действия корневого сертификата Удостоверяющего Центра Sectigo (ранее Comodo) AddTrust External CA Root, а также промежуточных сертификатов USERTrustRSA и Comodo RSA CA, подписанных им.

Если у Вас проблема с сертификатами Sectigo или Comodo – перевыпуск не требуется. Нужно заменить цепочку. Цепочка немного отличается в зависимости от сертификата, поэтому Вы можете направить запрос нам на info@leaderssl.ru, указав Ваш домен и тип ПО – и мы направим Вам корректную цепочку.

Если вы не обнаружили проблем с Вашими сертификатами, никаких действий от Вас не потребуется.

AddTrust External CA Root использовался в цепочках для поддержки устаревших устройств, где ещё не был включен корневой сертификат USERTrustRSACA.



Окончание действия сертификата AddTrust External CA Root означало окончание поддержки устаревших систем, например, Windows XP, iOS9, Android 2.3, но при этом оставалась вторая актуальная цепочка, которая поддерживается всеми современными системами:



После истечения AddTrust выявились проблемы с проверкой подписи у клиентов OpenSSL 1.0.x, GnuTLS и LibreSSL, не использующих браузеры, где скрипты обращаются по HTTPS, т.е. по API.

При использовании браузера никаких ошибок не возникает.

Sectigo ранее заверяли, что проблем при истечении AddTrust не будет, но всё же проблемы возникают.

Актуальными цепочками являются:


Повторим ещё раз:
Если у Вас проблема с сертификатами Sectigo или Comodo – перевыпуск не требуется. Нужно заменить цепочку. Цепочка немного отличается в зависимости от сертификата, поэтому Вы можете направить запрос нам на info@leaderssl.ru, указав Ваш домен и тип ПО – и мы направим Вам корректную цепочку.

Если вы не обнаружили проблем с Вашими сертификатами, никаких действий от Вас не потребуется.

Крупные браузеры приняли решение временно продолжить поддержку устаревших протоколов TLS 1.0 и 1.1

В результате пандемии коронавируса крупные браузеры приняли решение временно продлить поддержку устаревших протоколов TLS 1.0 и 1.1. В данный момент о таких планах высказались разработчики Firefox, Chrome и Edge.


Ранее производители браузеров планировали отказаться от небезопасных версий протокола TLS 1.0 и 1.1 к началу 2020 года. Сегодня уже широко поддерживаются такие версии TLS, как 1.2 и 1.3.

Однако запрет на TLS 1.0 и 1.1 в итоге был временно снят. Основная причина такого подхода: расширение поддержки некоторых государственных сайтов, которые до сих пор работают с устаревшими версиями протокола TLS. В разгар пандемии пользователи должны иметь беспрепятственный доступ ко всем важным сайтам в сети.

Когда ждать отказ от TLS 1.0 и 1.1
Точных дат нет. Разработчики браузеров планируют вернуться к этому вопросу ближе к началу лета.

В данный момент известно, что Microsoft планируют отключить поддержку TLS 1.0 и 1.1 в своем релизе Edge 84, который запланирован на июль 2020.

Разрешен выпуск SSL-сертификатов для onion-адресов версии 3



CA/B Forum, официальный регулятор индустрии SSL-сертификатов, принял новое постановление SC27v3, в котором разъясняются правила выпуска сертификатов для onion-адресов версии 3.

Удостоверяющие центры теперь могут выпускать DV и OV сертификаты, содержащие onion-адреса для Tor с использованием нового формата имен версии 3.

В постановлении 144, которое позднее дополнялось с помощью постановлений 198/201, CA/B Forum задал правила выпуска EV-сертификатов для onion-адресов. Причиной такого решения стало то, что onion-адреса были криптографически слабыми, полагались на алгоритмы RSA-1024 и SHA-1. Недавно введенная «версия 3» устранила эти недостатки.

Расширение Tor Service Descriptor Hash, которое ранее было указано в правилах выпуска EV, теперь больше не требуется. Оно содержало полный хэш ключей, однако теперь он стал частью .onion-адреса в версии 3.

Адреса в версии 2 все еще используются, потому требования Tor Service Descriptor Hash для EV по-прежнему сохраняются для них.

Подытожим:
  • Для onion-адресов версии 1 и 2 доступны только EV сертификаты;
  • Для версии 3 — DV/OV/EV.

Apple перестанут доверять сертификатам со сроком более 1 года с 1 сентября 2020



Компания Apple объявила о том, что в Safari будут считаться доверенными только сертификаты, срок действия которых составляет 398 дней и менее (1 год + дополнительный период для продления). Такая политика вступает в силу с 1 сентября 2020 года.

Все сертификаты, выпущенные до этой даты, будут считаться доверенными вплоть до истечения их срока действия. Соответственно, сертификат на 2 года, выпущенный 31 августа 2020 года, будет считаться доверенным для Apple.

Данный анонс был сделан Apple 19 февраля на плановой встрече CA/B Forum.

Решение Apple на данный момент является односторонним, однако в ближайшее время ожидается, что его поддержат и другие крупные поставщики браузеров.

Вы можете воспользоваться нашей контрольной панелью (order.leadertelecom.ru) для удобного управления несколькими сертификатами и их оперативного продления. Также мы всегда рассылаем уведомления на почту, когда требуется продлить сертификат.