Google Chrome, Mozilla Firefox и другие браузеры перейдут к 2020 году на TLS 1.2



Представители Google, Microsoft, Mozilla и Apple объявили о том, что к 2020 году в их браузерах будет отключена поддержка Transport Layer Security (TLS) 1.0 и 1.1. Новой версией по умолчанию станет TLS 1.2.

Браузеры Chrome, Edge, Internet Explorer, Firefox и Safari в данный момент имеют поддержку TLS 1.2. При этом в Chrome и Firefox уже имеется поддержка TLS 1.3 – стандарта, который недавно был утвержден в своем финальном виде. Microsoft и Apple пока только планируют включить поддержку TLS 1.3 в будущих версиях своих браузеров.

Как показывает статистика SSL Labs, сегодня 94% всех сайтов в сети используют TLS 1.2.

Ключевые особенности анонсов производителей браузеров:
  • TLS 1.0 и 1.1 будут полностью отключены в версии Chrome 81, которая запланирована к выпуску в январе 2020.
  • Edge и Internet Explorer 11 отключат TLS 1.0 и 1.1 в первой половине 2020 года.
  • В Firefox поддержка TLS 1.0 и 1.1 будет отключена в марте 2020.
  • В Safari поддержка TLS 1.0 и 1.1 будет убрана в марте 2020 вместе с обновлениями Apple iOS и macOS.
Подписывайтесь на нашу рассылку, чтобы всегда быть в курсе последних событий в сфере SSL и онлайн-безопасности!

www.leaderssl.ru

Такие разные SSL-сертификаты



При желании перевести свой сайт на https, пользователь сталкивается с вопросом: какой именно SSL-сертификат нужен его сайту? Существуют разные методы проверки домена и опции, которые мы сегодня и разберем, чтобы сделать этот выбор проще.

Какие методы проверки бывают?
1. Проверяется только доменное имя — Domain Validation.
DV сертификаты сигнализируют пользователям и поисковикам о том, что сайт защищен и оформлен на физическое лицо.
  • Сроки: выпуск сертификата — от 5 минут.
  • Для кого: для доменов, оформленных на физ. лицо.
  • Требования: для установки сертификата понадобится электронный адрес admin@названиесайта.

2. Проверяется домен и организация — Organization Validation.
OV проверка подтверждает защищенность ресурса и его принадлежность юридическому лицу. OV сертификат вызывает больше доверия, особенно если это коммерческий сайт или официальный ресурс компании.
  • Сроки: в большинстве случаев от 1 дня.
  • Для кого: для доменов, оформленных на юр. лицо.
  • Требования: понадобится подтверждение принадлежности домена организации, электронный адрес admin@названиесайта.

3. Расширенная проверка — Extended Validation.
Широко известен по зеленой строке браузера. Обладает максимальной степенью доверия и высокой стоимостью.
  • Сроки: от 7 дней.
  • Для кого: юридических лиц, некоммерческих и государственных организаций.
  • Требования: обязательно проверяются права организации на домен, ее правовую, физическую и операционную деятельность, проводится проверка соответствия компании официальным документам.


Отлично! На этом этапе уже можно определить, какой метод проверки лучше всего подойдет сайту. Дело осталось за малым — выбрать нужные опции.

https для 1 сайта без поддоменов:
  • Обеспечит https-защиту 1 домена с WWW и без него.
  • Подойдет как для латинского адреса сайта (.RU), так и для кириллического (.РФ).
  • Выпуск от 5 минут.


https для 1 сайта с субдоменами (WildCard):
  • Защищает 1 домен и все его поддомены.
  • Подойдет как для латинского адреса сайта (.RU), так и для кириллического (.РФ).
  • Выпуск от 5 минут DV и 7 дней для OV-сертификата.


Мульти-доменные и сертификаты с расширением (SAN):
  • Позволяют установить https-протокол на несколько доменных имен в рамках одного сертификата.
  • Доступны организациям и физическим лицам.
  • Подойдет как для латинского адреса сайта (.RU), так и для кириллического (.РФ).
  • Каждый дополнительный домен оплачивается отдельно.

Мы привели самые выгодные предложения по распространенным опциям. Другие сертификаты от ведущих мировых брендов доступны на сайте. Вы всегда можете уточнить информацию у менеджеров RackStore.

rackstore.ru/ssl-sertificat.html

Что произойдет, если SSL-сертификат истечет



Что будет, если вовремя не обновить SSL-сертификат? Этот вопрос нам часто задают клиенты. Сразу скажем: последствия самые серьезные. Если вы являетесь клиентом LeaderSSL, то вы сможете минимизировать риски подобной ситуации. Как именно? Читайте далее!

Сертификат истек: чем это грозит на практике?
Как вы знаете, срок действия SSL-сертификатов является ограниченным. Это требование CA/B Forum, регулирующего органа индустрии SSL-сертификации. Несколько лет назад вполне легально можно было заказать трехлетние, четырехлетние или даже пятилетние SSL-сертификаты. Сегодня SSL-сертификаты могут иметь срок действия до 27 месяцев (2 года + 3 месяца, которые даются на продление срока действия прошлого сертификата). Индустрия с целью безопасности ограничивает максимальные сроки действия SSL-сертификатов.

Это ведет к тому, что SSL-сертификат нужно обновлять или заменять – либо каждый год, либо раз в 2 года.

При посещении сайта пользовательский браузер выполняет проверку достоверности SSL-сертификата. Если срок действия сертификата истек, то в таком случае браузер выдаст следующее предупреждение:


Естественно, все это чревато следующими негативными последствиями:
  • Трафик вашего сайта кардинально упадет. Как показывают исследования, пользователи, столкнувшиеся с подобным уведомлением, тут же закрывают сайт. Лишь малая часть всех посетителей принимает истекший сертификат.
  • Продажи сильно снизятся. Поскольку сайт выдает предупреждение, пользователи могут посчитать, что ресурс является небезопасным, а потому не станут совершать покупки, даже если делали их на этом же сайте ранее.
  • Показатели ранжирования сайта сильно упадут. В ближайшей перспективе ваш сайт будет постепенно сваливаться вниз в поисковой выдаче, так как поисковые роботы учитывают многие факторы, в том числе и поведение посетителей.
Истечение сертификата грозит катастрофическими последствиями для любого бизнеса. Если вы являетесь клиентом LeaderSSL, то вы можете обезопасить себя от подобных чрезвычайных ситуаций.

Как LeaderSSL помогает поддерживать актуальность всех SSL-сертификатов
Управление сертификатами – головная боль для многих предприятий. Корпоративные клиенты нередко имеют обширные разрозненные сети, многочисленные устройства, подключенные к ним, и за всем этим нужно следить.

Чтобы облегчить этот процесс, мы предлагаем следующие инструменты и механизмы:
  • Почтовые уведомления. Вы получите уведомления на почту о том, что ваш SSL-сертификат истекает. Первое письмо мы отправляем за 90 дней до окончания срока действия SSL-сертификата. Остальные письма рассылаются нами с заранее установленной периодичностью.
  • Платформа для централизованного управления сертификатами. Сервис MPKI помогает отслеживать полный жизненный цикл всех имеющихся SSL-сертификатов, при необходимости продлевая, перевыпуская или аннулируя их в удобном режиме. Вы можете заказать MPKI от ЛидерТелеком по следующей ссылке.
  • Новостные рассылки и публикации в наших группах в социальных сетях. Мы регулярно следим за ситуацией, связанной с SSL-сертификатами, имея свое членство в CA/B Forum. По этой причине любые изменения, касающиеся срока действия сертификатов, не пройдут мимо вас. Просто подпишитесь на нашу новостную рассылку или на нашу группу в предпочтительной социальной сети, чтобы держать руку на пульсе событий.
Истекшие SSL-сертификаты – причина многочисленных проблем и неприятностей для бизнеса. Чтобы предлагать своим клиентам лучший опыт взаимодействия, обязательно вовремя продлевайте свои сертификаты в LeaderSSL.

Даже если раньше вы заказывали SSL-сертификат в другом магазине, вы можете продлить свой сертификат у нас. Сделайте шаг к стабильному будущему вместе с LeaderSSL!
www.leaderssl.ru/mpki

http уже не тот



В конце июля Google выпустил новую версию Chrome, в которой реализовны обещанные санкции к сайтам, доступным по небезопасному протоколу http. Корпорация делает все возможное, чтобы обезопасить пользователей своего популярного браузера.

Если вы еще не перевели свой сайт на https, то обязательно это сделайте, чтобы не отпугивать посетителей сайта и не терять полезный трафик. Для этого необходимо купить и активировать цифровой сертификат безопасности.



№1. Начальный уровень защиты с подтверждением домена (Domain Validation)
Блог, форум, личный сайт, сайт-визитка, информационный или развлекательный ресурс, на котором пользователи не вводят персональные данные и не совершают транзакций.

Для защиты 1 домена подойдут:
  • Comodo PositiveSSL
  • Comodo Essential SSL
  • RapidSSL Certificate
  • GGSSL Domain SSL

Для защиты нескольких доменов (опция SAN):
  • GGSSL Multi-Domain SSL
  • Comodo PositiveSSL Multi-Domain
  • Для защиты домена и поддоменов (опция WildCard):
  • Comodo PositiveSSL WildCard
  • GGSSL WildСard SSL
  • RapidSSL WildСard Certificate
! Для кириллических доменов понадобится опция IDN (Internationalized Domain Names), которая есть у всех перечисленных выше сертификатов кроме GGSSL.

2. Проверка организации (Organization Validation)
! Доступны только для юридических лиц. Необходимо: предоставить данные о компании, подтвердить принадлежность домена указанной организации.
Небольшой интернет-магазин, корпоративный сайт, официальный сайт бренда.
Для защиты 1 домена подойдут:
  • Comodo Instant SSL
  • Geotrust True BusinessID
  • Для защиты нескольких доменов (опция SAN):
  • Comodo Multi-Domain Wildcard
  • Для защиты домена и поддоменов (опция WildCard):
  • Comodo Premium WildCard
  • Geotrust True BusinessID WildCard

3. Расширенная проверка (Extended Validation)
Подтверждаются права на домен и данные о компании. Самый дорогой и долгий процесс верификации. Сайт получает зеленую адресную строку в браузерах.

Подходит для коммерческих сайтов, банков, платежных систем, интернет-магазинов.
Сертификаты:
  • Geotrust True BusinessID with EV
  • Symantec™ Secure Site with EV
  • Symantec™ Secure Site Pro with EV
rackstore.ru/ssl-sertificat.html

Начиная с сентября 2018, в Google Chrome изменятся визуальные индикаторы для HTTPS



Мы уже писали о том, что Google планирует помечать все HTTP-сайты как небезопасные (Not secure). На днях Google сделали еще один шаг в этом направлении – начиная с сентября 2018, в Google Chrome (в версии 69) будет удалено слово «Secure» из адресной строки браузера для всех HTTPS-сайтов.

Наконец, в октябре с выходом Chrome 70 все сайты, не имеющие SSL-сертификатов, будут помечаться красным текстом «Not secure» в адресной строке браузера при пользовательском вводе данных.

Примечание: по умолчанию текст Not Secure для HTTP-страниц имеет серый вид, однако при заполнении любых форм он станет красным.

Почему были введены такие изменения? Как утверждают представители Google, пользователи должны понимать, что Сеть по умолчанию безопасна.

Сегодня SSL-сертификаты имеют доступную стоимость, их гораздо легче интегрировать, нежели раньше.

В нашем магазине LeaderSSL представлена широкая линейка сертификатов для разных потребностей клиентов. Если вы все еще не успели приобрести SSL-сертификат, мы рекомендуем незамедлительно это сделать, чтобы не столкнуться с оттоком посетителей.

Протокол шифрования TLS 1.3 был окончательно доработан и утвержден группой IETF

ый протокол TLS 1.3 был полностью доработан 21 марта 2018 года. До этого протокол обновлялся более 8 лет назад. Среди особенностей TLS 1.3 можно отметить улучшенную безопасность и производительность.


Новый протокол TLS 1.3 был полностью доработан 21 марта 2018 года. До этого протокол обновлялся более 8 лет назад. Среди особенностей TLS 1.3 можно отметить улучшенную безопасность и производительность.

За описание протокола TLS отвечает группа Internet Engineering Task Force (IETF). Прошлая версия TLS, TLS 1.2, была описана в RFC 5246 и использовалась на протяжении 8 лет, имея поддержку в большинстве веб-браузеров. 21 марта 2018 года протокол TLS 1.3 был полностью доработан.

Улучшенная скорость в TLS 1.3
Если говорить о веб-производительности, то TLS и зашифрованные соединения поначалу добавляли дополнительные миллисекунды. С приходом HTTP/2 эта проблема была решена, а TLS 1.3 позволяет еще больше ускорить зашифрованные соединения. В TLS 1.3 появились такие возможности:
  • TLS false start (фальстарт TLS)
  • Zero Round Trip Time (0-RTT) (нулевое время приема-передачи).
  • В TLS 1.2 для совершения TLS-рукопожатия (handshake) требовалось выполнить 2 приема-передачи (round-trip), в то время как в TLS 1.3 для этого требуется только 1 прием-передача (TLS False Start). Это позволяет наполовину сократить задержку для процедуры шифрования.

Еще одно преимущество: нулевое время приема-передачи. Если вы посещали ранее какой-либо сайт, то вы можете отправлять данные в первом же сообщении к серверу. Эта возможность называется 0-RTT. В результате этого страницы загружаются гораздо быстрее.

Улучшенная безопасность в TLS 1.3
В TLS 1.3 были удалены устаревшие и небезопасные алгоритмы, которые существовали в TLS 1.2: SHA-1, RC4, DES, 3DES, AES-CBC, MD5, CVE-2016-0701 и т.д.

Это позволяет исключить атаки на TLS, которые происходили ранее (достаточно вспомнить Heartbleed или POODLE).

Соединения будут по-прежнему откатываться к версии протокола TLS 1.2, если какая-либо из сторон не поддерживает TLS 1.3, однако если злоумышленник попытается обманом вызвать такой откат (с помощью атак man-in-the-middle (MITM)), то в TLS 1.3 это будет обнаружено и предотвращено.

Протокол стал более простым, а потому менее вероятно допустить ошибку в его конфигурировании.

Поддержка браузеров:
  • В Chrome 63 поддержка TLS 1.3 включена для исходящих подключений. Поддержка TLS 1.3 появилась в версии Chrome 56.
  • В Firefox 52 протокол TLS 1.3 включен по умолчанию. Также он включен в Quantum.
  • Остальные браузеры обещают включить протокол в течение нескольких месяцев.

Подпишитесь на нашу рассылку, чтобы всегда быть в курсе свежих изменений в области SSL!

Update on Certificate Transparency with AWS Certificate Manager (ACM)

Это сообщение является продолжением нашего сообщения о метках сертификатов для сертификатов ACM.

Google Chrome будет требовать регистрации всех публично доверенных сертификатов, выданных на или после 30 апреля 2018 года, по крайней мере, два меток сертификатов (КТ) журналов [1]. Любой сертификат, выданный после этой даты, не в журналах КТ выдаст сообщение об ошибке в браузере Google Chrome.

С 24 апреля 2018 года, ACM будет публиковать сертификаты в журналах КТ о выдаче и о возобновлении. Никаких действий от вас не требуется, если вы хотите ACM опубликовать свои сертификаты в журналах КТ, что позволит избежать Google Chrome отображения сообщений об ошибках для сертификатов.

www.certificate-transparency.org/
aws.amazon.com/blogs/security/preparing-for-aws-certificate-manager-acm-certificate-transparency/
docs.aws.amazon.com/acm/latest/userguide/acm-overview.html

С уважением,
Amazon Web Services

Оказание услуг по выпуску SSL-Сертификата Wildcard для Волгоградской области

Мы выиграли тендер на оказание услуг по выпуску SSL-Сертификата Wildcard для Волгоградской области. Заказчиком выступил Комитет по делам территориальных образований, внутренней и информационной политики Волгоградской области. SSL-Сертификат необходим для онлайн-проектов размещенных на домене *.volgograd.ru, установка которого обеспечит безопасность подключения и информационную безопасность.

Требования, предъявляемые к характеристикам сертификата:
-Унифицированный сертификат для электронных коммуникаций;
-Шифрование: SSL-сертификат поддерживает 256-битное шифрование и подписан 2048-битной подписью;
-Возможность перевыпуска сертификата без взимания дополнительной платы, на время действия
SSL-сертификата;
-Совместимость с браузерами и почтовыми клиентами: -------Наивысшая (сертификаты совместимы на не менее 98,9% с современными пользовательскими браузерами, с операционными системами мобильных устройств и E-mail клиентами);
-Наличие технической поддержки;
-Возможность проверки списка отозванных сертификатов;
-Уровень проверки: Organization Validation – OV;
-Предназначен специально для поддоменов;
-Срок действия сертификата — 1 год.

Наши специалисты подобрали, согласно требуемым характеристикам, сертификат и обеспечили его обеспечили оперативный выпуск.
syncweb.ru/ssl-sertifikaty

Google Chrome начнет помечать все http страницы как «не защищенные»

Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018


Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст «Не защищено» («Not secure») в адресной строке всех страниц, которые открываются не по https.

Google Security Blog опубликовал новость об очередном этапе форсирования перехода на https.
  • c октября 2017 года предупрждение возникает при вводе данных уже на любых полях страницы, а также для всех страниц открытых в режиме инкогнито;
  • с июля 2018 года абсолютно все http страницы будут отмечены как «не защищенные».
Все клиенты, размещающие у нас свои сайты, могут совершенно бесплатно получить SSL сертификат Let’s Encrypt в панели хостинга.