В результате пандемии коронавируса крупные браузеры приняли решение временно продлить поддержку устаревших протоколов TLS 1.0 и 1.1. В данный момент о таких планах высказались разработчики Firefox, Chrome и Edge.


Ранее производители браузеров планировали отказаться от небезопасных версий протокола TLS 1.0 и 1.1 к началу 2020 года. Сегодня уже широко поддерживаются такие версии TLS, как 1.2 и 1.3.

Однако запрет на TLS 1.0 и 1.1 в итоге был временно снят. Основная причина такого подхода: расширение поддержки некоторых государственных сайтов, которые до сих пор работают с устаревшими версиями протокола TLS. В разгар пандемии пользователи должны иметь беспрепятственный доступ ко всем важным сайтам в сети.

Когда ждать отказ от TLS 1.0 и 1.1
Точных дат нет. Разработчики браузеров планируют вернуться к этому вопросу ближе к началу лета.

В данный момент известно, что Microsoft планируют отключить поддержку TLS 1.0 и 1.1 в своем релизе Edge 84, который запланирован на июль 2020.

CA/B Forum, официальный регулятор индустрии SSL-сертификатов, принял новое постановление SC27v3, в котором разъясняются правила выпуска сертификатов для onion-адресов версии 3.

Удостоверяющие центры теперь могут выпускать DV и OV сертификаты, содержащие onion-адреса для Tor с использованием нового формата имен версии 3.

В постановлении 144, которое позднее дополнялось с помощью постановлений 198/201, CA/B Forum задал правила выпуска EV-сертификатов для onion-адресов. Причиной такого решения стало то, что onion-адреса были криптографически слабыми, полагались на алгоритмы RSA-1024 и SHA-1. Недавно введенная «версия 3» устранила эти недостатки.

Расширение Tor Service Descriptor Hash, которое ранее было указано в правилах выпуска EV, теперь больше не требуется. Оно содержало полный хэш ключей, однако теперь он стал частью .onion-адреса в версии 3.

Адреса в версии 2 все еще используются, потому требования Tor Service Descriptor Hash для EV по-прежнему сохраняются для них.

Подытожим:

• Для onion-адресов версии 1 и 2 доступны только EV сертификаты;
• Для версии 3 — DV/OV/EV.

Компания Apple объявила о том, что в Safari будут считаться доверенными только сертификаты, срок действия которых составляет 398 дней и менее (1 год + дополнительный период для продления). Такая политика вступает в силу с 1 сентября 2020 года.

Все сертификаты, выпущенные до этой даты, будут считаться доверенными вплоть до истечения их срока действия. Соответственно, сертификат на 2 года, выпущенный 31 августа 2020 года, будет считаться доверенным для Apple.

Данный анонс был сделан Apple 19 февраля на плановой встрече CA/B Forum.

Решение Apple на данный момент является односторонним, однако в ближайшее время ожидается, что его поддержат и другие крупные поставщики браузеров.

Вы можете воспользоваться нашей контрольной панелью (order.leadertelecom.ru) для удобного управления несколькими сертификатами и их оперативного продления. Также мы всегда рассылаем уведомления на почту, когда требуется продлить сертификат.

CA/B Forum, регулирующий орган в индустрии SSL-сертификатов, принял большинством голосов новый Ballot SC25, определяющий методы HTTP-валидации доменов.

Согласно новому требованию, метод 6 (пункт 3.2.2.4.6) из документа «Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates» считается упраздненным. Однако он будет оставаться актуальным в течение переходного периода (3 месяца с момента принятия Ballot SC25). Впоследствии удостоверяющие центры не смогут опираться на данный пункт при проведении валидации доменов.

Также вводятся два новых метода валидации доменов.

Первый метод валидации домена призван заменить собой устаревший метод 3.2.2.4.6 «Базовых Требований». Второй метод требуется для описания ACME HTTP-валидации, как указано в секции 8.3 спецификации RFC 8555.

Изучить новые методы HTTP-валидации домена можно по ссылке: github.com/dougbeattie/documents/commit/bb90ff37c4bc043636229138d9923fcff670cdfc#diff-7f6d14a20e7f3beb696b45e1bf8196f2

В частности, интерес представляют новые пункты:

• 3.2.2.4.18 — Agreed-Upon Change to Website v2
• 3.2.2.4.19 — Agreed-Upon Change to Website — ACME

Разработчики Google Chrome анонсировали блокировку так называемых «загрузок смешанного контента» (когда на HTTPS-страницах загружаются файлы по HTTP-ссылкам). Этот шаг отвечает более раннему подходу Chrome с блокировкой всех небезопасных ресурсов на HTTPS-страницах.

Файлы, загружаемые по HTTP-ссылкам, угрожают приватности и безопасности пользователей. В качестве первого шага разработчики Chrome хотят запретить HTTP-загрузки на HTTPS-страницах.

Начиная с Chrome 82, который должен выйти в апреле 2020, в браузере появятся предупреждения о загрузках небезопасного контента. Поначалу это правило будет распространяться только на исполняемые файлы, но затем под него подпадут и другие типы файлов.

Полная блокировка всех HTTP-загрузок должна появиться в релизе Chrome 86, который запланирован к выходу в октябре 2020.

Корпоративные клиенты и различные образовательные проекты могут отключить блокировку загрузок для каждого сайта на индивидуальной основе, используя политику InsecureContentAllowedForUrls.

На днях Microsoft сообщила о том, что процедура проверки x.509-сертификатов на базе ECC в Windows содержит в себе критическую уязвимость. Для всех поддерживаемых версий Windows были выпущены патчи.


Уязвимость была раскрыта 14 января. Она связана с Windows CryptoAPI и делает возможным создание поддельных TLS- и Code Signing-сертификатов.

Мы настоятельно рекомендуем немедленно установить патчи на все используемые вами системы с Windows. Набор обновлений безопасности доступен по ссылке: portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601.

Microsoft рекомендует обновиться как можно быстрее пользователям с Windows 10, Windows Server 2016 и Windows Server 2019.

Что делать клиентам с уже имеющимися SSL-сертификатами
Обращаем ваше внимание на то, что уязвимость никоим образом не влияет на уже имеющиеся у вас сертификаты, вне зависимости от этого, используют ли они алгоритм кодирования ECC или нет.

Вам НЕ НУЖНО перевыпускать ваши Code Signing и/или TLS-сертификаты. Вам НЕ НУЖНО отказываться от использования алгоритма ECC (если вы его используете).

www.leaderssl.ru

В браузере Firefox 70 появятся новые индикаторы безопасности, которые позволят снизить визуальную значимость EV SSL-сертификатов и привлечь больше внимания к сайтам, передаваемым через небезопасный протокол HTTP.

Разработчики Google отказались от EV-индикаторов еще в сентябре, выпустив обновленный релиз Chrome 77. В браузере Firefox 70 будет сделано то же самое: зеленый замочек станет серым, а название компании пропадет из адресной строки браузера.



Как и в случае с Chrome, информация о EV-сертификате по-прежнему доступна, но пользователям теперь нужно щелкнуть по замочку, чтобы открыть панель с информацией о сайте.

В Firefox больше не будет выводиться иконка «information» слева от замочка. Ее функциональность теперь встроена в сам замочек. Если сайт будет передаваться по незащищенным протоколам FTP или HTTP, замочек будет перечеркнутым. Раньше такая иконка отображалась только для страниц, требующих ввода данных и передаваемых по HTTP; теперь эта иконка будет выводиться для всех HTTP- и FTP-страниц.

Также в Firefox 70 появится новая иконка с щитом, чтобы показать, включены или выключены в браузере новые возможности защиты от слежения. Серый щит указывает на то, что защита включена (но пока не использовалась), фиолетовый щит – что защита использовалась для текущей страницы, перечеркнутый щит – что защита выключена.


www.leaderssl.ru

Как мы уже писали ранее, крупные разработчики браузеров, включая Google, Mozilla, Microsoft и Apple, анонсировали отказ от поддержки TLS 1.0 и 1.1 в своих решениях в 2019 году. Данные протоколы, несмотря на то, что в них отсутствуют какие-либо известные уязвимости, не поддерживают современные криптографические алгоритмы.

Команда Chrome недавно сообщила о том, какие предупреждения будут выводиться для пользователей браузера при посещении сайтов с устаревшими версиями протокола TLS.

Разработчики Chrome планируют прекратить поддержку TLS 1.0 и 1.1 в два этапа.

На первом этапе в браузере будет выводиться предупреждение о том, что на сайте используется устаревший протокол TLS.

Браузер будет отображать индикатор «Not Secure», начиная с версии Chrome 79, которая должна появиться 13 января 2020 года. При щелчке по индикатору будет выводиться предупреждение о том, что подключение к сайту не является полностью защищенным. На данном этапе блокировки TLS 1.0 и 1.1 не будет.



Полная блокировка последует на втором этапе. По планам Google это должно произойти в марте 2020 года с выходом Chrome 81. В данном случае появится полноэкранное предупреждение, где будет указано, что на сайте используется устаревшая конфигурация безопасности, которая может вести к раскрытию передаваемых данных.

www.leaderssl.ru

CA/B Forum, регулирующий орган в сфере SSL, принял большинством голосов предложение Ballot SC21, связанное с улучшением контроля целостности логов. Главная цель предложения — доработка документа Network and Certificate System Security Requirements, который был утвержден 3 августа 2012 и начал применяться с 1 января 2013.

В частности, специалисты предложили улучшить автоматизацию и непрерывный мониторинг сетей систем и сертификатов. Ручные действия в большинстве случаев являются менее эффективными и более ресурсоемкими, нежели автоматический мониторинг.

Предложение Ballot SC21 также вводит особые требования в отношении своевременности разрешения поступивших уведомлений от систем автоматического мониторинга. Это позволяет гарантировать, что автоматизация не приведет к тому, что потенциальная проблема будет дольше оставаться нераскрытой.

Новые положения, которые были введены в секцию 3 документа Network and Certificate System Security Requirements:

• 3.e. Мониторинг целостности ведения системных логов и логов приложений осуществляется посредством непрерывного отслеживания и оповещений, либо с помощью ручного анализа для обеспечения эффективности ведения логов и корректной работы функций контроля целостности логов. Если используется ручная проверка и система подключена к сети, процесс должен выполняться не реже одного раза в 31 день.
• 3.f. Мониторинг архивации и хранения логов, чтобы гарантировать, что все логи хранятся в течение достаточного периода времени в соответствии с существующими бизнес-практиками и законодательными нормами.
• 3.g. Если непрерывный автоматический мониторинг и оповещения используются для целей секций 1.h или 3.e этих Требований (https://cabforum.org/wp-content/uploads/CABForum-Network-Security-Controls-1.2.pdf), вы должны отреагировать на предупреждение и разработать план действий в течение максимум 24 часов.

www.leaderssl.ru

Команда Google Security Team анонсировала план по блокировке смешанного содержимого, чтобы обеспечить более безопасный просмотр HTTPS-страниц. Смешанное содержимое относится к HTTPS-страницам, на которых загружаются различные ресурсы (изображения, видео, таблицы стилей, скрипты) по HTTP.

Развертывание блокировки смешанного содержимого начнется с выхода Chrome 79 в декабре 2019 года. В данный момент браузер уже блокирует смешанное содержимое (скрипты и iframe), однако в версии 79 будет добавлен новый параметр для отмены такой блокировки вручную для каждого конкретного сайта.

Следующая фаза: выход Chrome 80 в январе 2020. В данном релизе все аудио- и видео-ресурсы, загружаемые по HTTP, будут по умолчанию обновляться до HTTPS. Если их загрузка по HTTPS будет недоступна, Chrome попросту заблокирует их. Изображения, доступные по HTTP, пока еще будут загружаться, однако Chrome будет выдавать надпись «Not Secure» в адресной строке.

Финальная фаза: выход Chrome 81 в феврале 2020. Изображения, доступные по HTTP, будут автоматически обновляться до HTTPS. Если их загрузка будет невозможна по HTTPS, то изображения будут заблокированы.

Целью блокировки смешанного содержимого является устранение потенциальных дыр в безопасности для сайтов, которые уже перешли на HTTPS.

www.leaderssl.ru