Рейтинг
0.00

Leaderssl Хостинг

2 читателя, 66 топиков

Новые требования к размеру RSA-ключей для Code Signing сертификатов DigiCert



Начиная с 27 мая 2021 года, для выпуска Code Signing сертификатов DigiCert потребуются RSA-ключи размером 3072-бит или выше.

Это изменение связано с ужесточившимися стандартами индустрии. Новые требования к размеру RSA-ключа касаются всей цепочки сертификатов (корневого, конечного сертификата и всех промежуточных). При этом требования к ECC-ключам остались неизменными.
  • Все сертификаты, выпущенные до 27 мая, не нуждаются в изменениях. Они продолжат работать до конца своего срока действия.
  • После 27 мая все новые, продленные и повторно выпущенные сертификаты Code Signing от DigiCert будут автоматически выпускаться с обновленными цепочками (с новыми промежуточными и корневыми сертификатами).
  • После 27 мая все Code Signing сертификаты будут требовать RSA-ключи размером 3072-бит или выше. Для EV Code Signing сертификатов нужен будет новый токен (или HSM), поддерживающий минимум 3072-битные ключи. В настоящий момент токены и HSM поддерживают в основном только 2048-битные ключи.

Что нужно сделать вам
Если в вашей среде отсутствуют прикрепленные (pinned) или напрямую прописанные (hard coded) ссылки на промежуточные и корневые сертификаты, вам не потребуется ничего делать. В противном случае вам придется обновлять свою среду.

Для EV Code Signing сертификатов вам нужно будет получить HSM/токен, поддерживающий размер RSA-ключа минимум 3072-бит.

leaderssl.ru

Браузер Google Chrome 90 будет использовать протокол HTTPS по умолчанию



В последнем обновлении браузер Google Chrome стал еще быстрее и безопаснее. Теперь по умолчанию для открытия страниц будет использоваться протокол HTTPS вместо HTTP. Разработчики Chrome уже давно призывают всех владельцев сайтов переходить на HTTPS.

Как следует из поста, опубликованного в блоге Chromium, любые записи в адресной строке браузера, не включающие в себя какой-либо протокол, будут получать префикс https://

Если пользователь впервые посещает тот или иной сайт, Chrome будет автоматически выбирать HTTPS-версию этого ресурса. Соответственно, работа с сайтами станет более приватной и безопасной. Это повлияет и на скорость открытия сайтов, поскольку браузеру теперь не придется делать лишний редирект с HTTP на HTTPS.

Если сайт до сих пор не поддерживает протокол HTTPS, браузер попытается обратиться к его HTTP-версии. Также протокол HTTP будет использоваться по умолчанию для IP-адресов, однокомпонентных доменов (single label domain) и зарезервированных имен хостов (reserved hostnames).

Изменения появятся в версии Chrome 90 для десктопов и для Android-устройств. Чуть позже должен выйти релиз Chrome для iOS.

С 1 марта 2021 года Sectigo удалит информацию о полном адресе и почтовом индексе из всех публичных сертификатов



С 1 марта 2021 года Sectigo удалит информацию о полном адресе (Street address) и почтовом индексе (Postal/Zip code) из всех публичных сертификатов. Как отметили представители удостоверяющего центра, эта информация не является необходимой для включения в сертификаты. Технические спецификации ее не требуют. Изменение затрагивает все публичные OV/EV SSL и OV/EV Code Signing сертификаты.
www.leaderssl.ru

В Firefox 83 появился режим HTTPS-Only



В браузере Mozilla Firefox 83 появился новый режим HTTPS-Only. Когда он активирован, происходит следующее:
  • Firefox пытается установить защищенные соединения со всеми сайтами, которые вы посещаете;
  • Firefox запрашивает у вас разрешение на то, чтобы посетить сайт, который доступен только по HTTP.
Сегодня сайты, работающие только по небезопасному и устаревшему протоколу HTTP, становятся редкостью. Также в сети имеется множество старых ссылок, открывающихся по HTTP. Если вы перейдете по такой ссылке, браузер перенесет вас на HTTP-версию сайта.

Режим HTTPS-Only гарантирует, что Firefox не будет переносить вас на HTTP-сайты без вашего прямого разрешения. Все соединения будут полностью защищенными.

Как включить режим HTTPS-Only
Включить режим HTTPS-Only в Firefox легко:
  • Переходим в меню браузера и выбираем Preferences.
  • Далее выбираем раздел Privacy & Security и переходим в секцию HTTPS-Only Mode.
  • Включаем режим HTTPS-Only.
Если сайт недоступен по HTTPS, вы увидите следующее предупреждение


Бывает и так, что сам сайт доступен по HTTPS, но его внутренние ресурсы отдаются по HTTP (ошибка смешанного содержимого). По этой причине некоторые страницы сайта будут выглядеть некорректно. Тогда вы можете временно отключить режим HTTPS-Only, щелкнув по иконке замочка в адресной строке браузера.

Подписывайтесь на нашу рассылку, чтобы всегда быть в курсе свежих новостей из мира SSL и онлайн-безопасности!

www.leaderssl.ru

В тестовых сборках Windows 10 протокол TLS 1.3 будет включен по умолчанию



На прошлой неделе специалисты Microsoft объявили о включении TLS 1.3 в последних сборках Windows 10 (начиная с версии 20170).

TLS 1.3 включен по умолчанию в IIS/HTTP.SYS. Администраторы Microsoft Edge Legacy и Internet Explorer могут включить поддержку этого протокола в разделе Internet Options (меню Advanced Settings).

Новый браузер Microsoft Edgeна базе Chromium отличается встроенной поддержкой TLS 1.3. Он не использует стек Windows TLS.

Также поддержка TLS 1.3 будет добавлена в .NET 5.0+.

Включение TLS 1.3 в сборках Windows 10 – один из важных шагов на пути к более широкому внедрению протокола безопасности в данной операционной системе. Пока нет сведений, когда именно компания Microsoft планирует включить этот протокол в стабильные версии Windows. Маловероятно, что это произойдет в следующем обновлении Windows 10. Самый вероятный кандидат – релиз 21H1 Windows 10, запланированный на следующий год.

Примерная дата перехода к TLS 1.3 в Windows 10 совпадает с отключением TLS 1.0 и 1.1, о чем Microsoft уже объявляла в своих анонсах (это произойдет не раньше весны 2021).

Компания хотела отказаться от устаревших версий протоколов TLS 1.0 и 1.1 в своей ОС Windows еще в первой половине 2020 года. Это начинание поддержали также Google, Mozilla и Apple. Версия TLS 1.3 уже может быть включена в Chrome и Firefox.

Однако глобальная пандемия внесла свои коррективы в этот процесс, а потому специалисты Microsoft отметили, что оба протокола не будут отключены раньше весны 2021 года.

TLS 1.3 обещает лучшую безопасность и более высокую производительность по сравнению со старыми версиями протоколов. Microsoft рекомендует разработчикам как можно быстрее начать тестирование TLS 1.3 в своих приложениях и сервисах.

Стек Windows 10 будет поддерживать три набора шифров с целью безопасности:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
Два первых набора шифров включены по умолчанию.

CA/B Forum утвердил новый метод проверки контроля над доменом с помощью расширения ALPN



CA/B Forum, регулирующий орган в индустрии SSL, принял большинством голосом новое предложение Ballot SC33.

Как следует из предложения, метод проверки прав владения доменом 3.2.2.4.10 (с помощью случайных чисел) теперь считается устаревшим. Вместо него вводится новый пункт 3.2.2.4.20, позволяющий проверять права владения FQDN (полным именем домена) с помощью расширения ALPN.

Причины соответствующих изменений
В январе 2018 года в методе валидации доменов ACME TLS-SNI-01 была обнаружена уязвимость. Именно этот метод использовался как основной для выполнения пункта 3.2.2.4.10 и применялся даже несмотря на имеющиеся проблемы. Метод ALPN является альтернативой проверке с помощью ACME TLS-SNI-01; он был стандартизирован IETF как RFC 8737. По этой причине CA/B Forum решил отказаться от недостаточно прозрачного, потенциально небезопасного метода 3.2.2.4.10 в пользу нового метода 3.2.2.4.20.

В предложении отсутствуют какие-либо сведения о переходном периоде, заданном для метода проверки 3.2.2.4.10. Все предыдущие проверки, выполненные с помощью данного метода, а также валидационные данные, полученные с его помощью, не должны использоваться для выпуска сертификатов.

Данное предложение также ограничивает использование прошедших проверку старым способом FQDN — для разных поддоменов требуются новые проверки, а проверки wildcard недопустимы.

Срок действия сертификатов DigiCert будет ограничен одним годом

С 1 сентября 2020 года все удостоверяющие центры должны прекратить выдачу двухлетних SSL/TLS-сертификатов. Максимальным сроком действия SSL-сертификатов теперь станет 1 год (398 дней, если быть точнее).


С 1 сентября 2020 года все удостоверяющие центры должны прекратить выдачу двухлетних SSL/TLS-сертификатов. Максимальным сроком действия SSL-сертификатов теперь станет 1 год (398 дней, если быть точнее).

Удостоверяющий центр DigiCert (а также принадлежащие ему бренды RapidSSL, Thawte, GeoTrust) поддержал новые требования, ограничив максимальный срок действия SSL-сертификатов до 397 дней (с учетом разницы в часовых поясах). Это изменение распространяется на все публично доверенные TLS/SSL-сертификаты.
  • Организации, которые уже прошли валидацию, могут приобрести двухлетние SSL-сертификаты DigiCert до 27 августа, 23:59 UTC.
  • Если же организации требуется валидация, то в таком случае приобрести двухлетние SSL-сертификаты DigiCert можно будет до 12 августа, 23:59 UTC.
По аналогии с этим установлены ограничены для выпуска OV/EV-сертификатов брендов RapidSSL, Thawte, GeoTrust:
Если компания уже прошла OV/EV-валидацию, то в таком случае приобрести двухлетние сертификаты можно будет до 27 августа 2020 года.
  • Если OV/EV-валидация не была пройдена, то приобрести двухлетние сертификаты можно будет до 12 августа 2020 года.
  • Если у вас уже имеются сертификаты DigiCert, то они будут работать на протяжении всего срока их действия. Перевыпускать их в связи с этим изменением вам не понадобится.

Также вы можете всегда заказать у нас доверенные SSL-сертификаты на срок от 2 до 5 лет в рамках пакетных предложений.

Mozilla перестанет доверять SSL-сертификатам, выпущенным на срок более 1 года



С 1 сентября 2020 года Mozilla перестанет доверять SSL-сертификатам, выпущенным на срок более 1 года (доверенными будут являться только сертификаты сроком 398 дней и менее). Это решение не является неожиданностью, поскольку многие крупные браузеры уже поддержали данную инициативу.

Решение ограничить срок действия SSL-сертификатов связано с обеспечением большей безопасности
Среди главных причин такого сокращения сроков действия SSL-сертификатов называют:
  • Повышение гибкости при поэтапном отказе от старых сертификатов в случае обнаружения уязвимостей в алгоритмах шифрования.
  • Ограничение возможностей компрометации сайтов, поскольку приватные ключи шифрования будут регулярно меняться. В случае кражи TLS-сертификата у злоумышленников будет меньше времени на совершение вредоносных действий.
  • Хостинг-провайдеры и третьи лица не смогут длительное время использовать сертификат после отказа от продления домена.
Что означает решение Mozilla для владельцев сайтов
Описанные выше изменения касаются только новых сертификатов, выпущенных 1 сентября 2020 года и после этой даты.

Если у вас есть уже существующий сертификат со сроком действия в 2 года, вы можете продолжать его использовать до его окончательного истечения. Он не перестанет работать и будет доверенным даже после 1 сентября.

Также вы всегда можете купить у нас SSL-сертификаты по пакетным тарифам на срок от 2 до 5 лет. Эти предложения позволяют отлично сэкономить и получить надежный SSL-сертификат от доверенного удостоверяющего центра. Вам не придется постоянно контролировать срок действия ваших сертификатов – мы рассылаем почтовые уведомления для их оперативного перевыпуска.

www.leaderssl.ru

Sectigo объявили об отказе от выпуска двухлетних SSL-сертификатов



Удостоверяющий центр Sectigo объявил о прекращении выпуска двухлетних SSL-сертификатов. Начиная с 19 августа 2020 года, Sectigo будет предлагать только однолетние публичные SSL/TLS-сертификаты (сроком действия до 398 дней). Связано это с решением крупных браузеров по отказу от доверия к двухлетним сертификатам.

Все двухлетние SSL-сертификаты Sectigo, выпущенные до 19 августа, будут действительны до окончания их срока действия.

Это правило применимо только к публичным TLS/SSL-сертификатам. Другие типы сертификатов (приватные, Code Signing, S/MIME и т.д.) не будут затронуты. Их максимальный срок действия останется тем же, что и был.

Самым выгодным вариантом покупки SSL-сертификатов Sectigo на сегодняшний день остаются пакетные предложения. Вы можете приобрести себе действительный SSL-сертификат сроком от 2 до 5 лет в рамках предлагаемого нами пакета. Как только срок действия сертификата будет подходить к концу, мы оперативно уведомим вас о необходимости его продления по email.

www.leaderssl.ru

С 1 сентября 2020 года Chrome перестанет доверять сертификатам, выпущенным на срок более 1 года

Дин Коклин (Dean Coclin), почетный председатель CA/B Forum, опубликовал в Twitter анонс о том, что Google последует примеру Apple в ограничении срока действия публичных сертификатов SSL/TLS до одного года. Данное решение не стало неожиданностью, поскольку именно Google всегда являлись главными приверженцами сертификатов с коротким сроком действия.


Дин Коклин (Dean Coclin), почетный председатель CA/B Forum, опубликовал в Twitter анонс о том, что Google последует примеру Apple в ограничении срока действия публичных сертификатов SSL/TLS до одного года. Данное решение не стало неожиданностью, поскольку именно Google всегда являлись главными приверженцами сертификатов с коротким сроком действия.

Как только это решение официально будет анонсировано со стороны разработчиков Chrome, доверенными будут считаться только сертификаты, срок действия которых составит 398 дней и менее (1 год + дополнительный период, выделенный для продления). По словам Дина Коклина, это решение уже формально принято, а потому стоит ждать, что с 1 сентября 2020 года оно вступит в силу.

Все сертификаты, выпущенные до наступления этой даты, будут являться доверенными. Следовательно, если вы приобретете сертификат на 2 года, выпущенный 31 августа 2020 года, то он будет считаться доверенным для Chrome.

Остальные крупные производители браузеров должны будут сделать аналогичные заявления в ближайшем будущем.

Можно ли будет приобрести многолетние сертификаты после 1 сентября 2020 года?
Да, можно. Даже после 1 сентября вы сможете покупать у нас сертификаты сроком действия от 2 до 5 лет в рамках многолетних пакетов по подписке. Такие пакеты представлены в таблицах с ценами. Пятилетний сертификат, как показывает практика, является самым выгодным по стоимости – он дает максимальную экономию и позволяет не беспокоиться по поводу регулярных продлений. Мы рассылаем уведомления на почту, потому вы всегда сможете оперативно перевыпустить сертификат.
www.leaderssl.ru