Корпорация Google, по сообщению ресурса Dark Reading, выступает с инициативой в несколько раз сократить срок действия сертификатов TLS (Transport Layer Security) для веб-сайтов и иных онлайн-коммуникаций. Предполагается, что это улучшит ситуацию с безопасностью в интернете и затруднит для злоумышленников осуществление мошеннической деятельности.

В 2020 году максимальный срок действия TLS-сертификатов был ограничен 13 месяцами, или 398 днями. До этого он достигал 27 месяцев (825 дней). И вот теперь Google предлагает уменьшить период обновления сертификатов до трёх месяцев. По задумке Google, новые требования могут быть введены либо в виде изменений политики использования TLS, либо в формате голосования на форуме CA/B (Certification Authority Browser Forum). В случае принятия новых правил компании будут вынуждены обновлять каждый TLS-сертификат четыре раза в год.

Источник изображения: pixabay.com

Это может стать не самой простой задачей, учитывая, что у большинства предприятий много сертификатов, а их количество быстро растет. Придётся внедрять по возможности полностью автоматизированные системы выдачи сертификатов, которые позволят решить нынешние проблемы, связанные с человеческим фактором. Дело в том, что «ручной» процесс может быть ненадёжным, поскольку включает в себя много операций: это идентификация сертификатов, срок действия которых истекает, выпуск новых, отзыв старых и активация выданных сертификатов.

Так или иначе, новые правила могут вступить в силу к концу 2024 года. Впрочем, учитывая долю рынка одного только браузера Chrome, Google может продавить своё решение, не советуясь практически ни с кем. У России же особый путь.

Компания «Беллсофт» сообщила о включении в состав среды разработки и исполнения Java-приложений Axiom JDK Pro поддержки отечественных TLS-сертификатов безопасности. Теперь при установлении защищённых соединений с сетевыми ресурсами, использующими сертификаты Минцифры России, подключение программных решений будет происходить автоматически.

«Большинство государственных информационных систем и критических инфраструктур работают на Java и выпуск отечественных TLS-сертификатов — важное событие для рынка. Наши инженеры включили их в состав Axiom JDK Pro, чтобы обеспечить подключение «из коробки», сэкономив ресурсы разработчикам и пользователям. Теперь во всех защищённых TLS-соединениях, устанавливаемых в приложениях Java, подлинность сервера или клиента может автоматически удостоверяться российскими сертификатами», — говорится в заявлении компании «Беллсофт».

Источник изображения: Innova Labs / pixabay.com

Axiom JDK Pro создана на основе проекта с открытым исходным кодом OpenJDK, соответствует спецификациям Java SE и является полноценной заменой Oracle Java. В состав платформы включены все инструменты, исполняемые и бинарные файлы, которые необходимы для компиляции, отладки и выполнения программных продуктов. Среда совместима с различными операционными системами, поддерживается российскими разработчиками и полностью отвечает принципам импортозамещения.

Поддержка отечественных сертификатов включена в новые версии Axiom JDK Pro 19.0.2, 17.0.6, 11.0.18 и 8u382. Они реализуют квартальный цикл развития OpenJDK и доступны синхронно с Oracle Java SE. Таким образом, Java-приложениям, исполняемым на Axiom JDK Pro 8, 11, 17 и 19, не потребуется донастройки для установления безопасных соединений по протоколу TLS и проверки подлинности серверов, в отличие от продуктов, функционирующих на базе Oracle Java и других JDK.

Центр мониторинга и реагирования на киберугрозы UserGate добавил в «Систему обнаружения вторжений» (СОВ) две новые сигнатуры, которые детектируют атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786 в библиотеке OpenSSL. Проблема заключается в переполнении буфера, вызванном ошибкой в реализации punycode, которая потенциально может привести к удаленному выполнению кода.

Злоумышленник может выполнить TLS-запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера. В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена похожая уязвимость (CVE-2022-3786), а их рейтинг был снижен до HIGH.

Фото: Unsplash/Carlos Nunez

Уязвимость затронула версии OpenSSL с 3.0.0 по 3.0.6, которые используются, в частности, в Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing и Unstable, а также других дистрибутивах. Более ранние выпуски OpenSSL 1.1.1, а заодно и деривативы в лице LibreSSL и BoringSSL, такой проблемы не имеют (punycode есть только в >OpenSSL 3.0.x).

Специалисты UserGate рекомендуют пользователям убедиться, что оборудование не использует уязвимую версию OpenSSL и, в случае нахождения уязвимой версии, обновить ее. Кроме того рекомендуется проверить актуальность подписки на модуль Security Updates и добавить в блокирующее правило IDPS сигнатуры «Possible OpenSSL X.509 Email Address 4-byte Buffer Overflow» и «Possible OpenSSL X.509 Email Address Variable Length Buffer Overflow».

Сбер начал переводить свои сайты, рабочие ресурсы и системы на сертификаты, выпущенные Удостоверяющим центром Минцифры. Данное решение обеспечит независимость банка от зарубежных удостоверяющих центров, говорят в компании. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг.

Сертификаты выдаются бесплатно. Как отметил министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, выпуск российских сертификатов безопасности включен Правительством России в план первоочередных действий по обеспечению развития российской экономики в условиях внешнего санкционного давления. Первые шаги в этом направлении были сделаны ещё пять лет назад.

Напомним, что в марте 2022 года Минцифры организовало работу собственного центра сертификации, чтобы решить накопившиеся проблемы с доступом к разным сайтам, которые могут возникать в случае истечения срока годности сертификатов безопасности и невозможности их своевременно обновить из-за западных санкций. Впрочем, TLS-сертификаты повсеместно используются для организации защищённого канала связи, и не только веб-сайтов.

Изображение: pixabay.com / geralt

Как правило, центры сертификации располагаются в странах, поддержавших антироссийские санкции, и не могут принимать платежи за свои услуги. Из-за этого различные веб-ресурсы не могут продлить TLS-сертификаты. После истечения срока их действия браузеры будут блокировать доступ к таким сайтам. Частично смягчить эту ситуацию смогут сертификаты, выдаваемые местным центром.

Эта мера вряд ли сможет полностью решить проблему, поскольку сертификат Минцифры на данный момент не признан ни одним глобальным удостоверяющим центром. Это означает, что в популярных браузерах, таких как Chrome или Firefox, он будет блокироваться. Пользователям этих браузеров потребуется вручную добавлять отечественный сертификат, чтобы подписанные им сайты открывались без проблем. В отечественных обозревателях, таких как «Яндекс.Браузер» и «Атом», сертификат Минцифры работать будет без ограничений.

Центр сертификации Let's Encrypt сообщил, что выпустил миллиардный сертификат 27 февраля 2020 года. Рост их количества свидетельствует не только об увеличении числа веб-сайтов, но и о повышении безопасности. Если в июне 2017 года около 58 % страниц использовали HTTPS по всему миру (из них 64 % в США). На сегодня эта доля выросла до 81 % (91 % в США).

Также сообщается, что сертификатами Let's Encrypt пользовались в 2017 году 46 млн сайтов. Сейчас же речь идёт о 192 млн сайтов.

thedevopsguide.com

В организации сообщили, что столь крупные достижения реализованы за счёт протокола ACME, который обеспечивает высокий уровень автоматизации и обеспечивает ведение лога всех транзакций.

Кроме того, разработчики запустили систему множественной проверки доменов. Она призвана проверять домены и возможность контроля над ними со стороны владельцев. Это нужно для того, чтобы сертификат не попал к злоумышленникам. Обычно процесс проверки включает в себя просьбу к кандидату разместить определенный файл или маркер в контролируемом месте для домена, например, в определенном пути или DNS записи. После этого проверяется его наличие.

Однако если в процессе проверки удавалось перехватить или перенаправить сетевой трафик, то можно было обманом заставить центр сертификации выдать нужный сертификат хакерам. Новая технология препятствует этому, поскольку проверка осуществляется не с одной, а с нескольких точек, что усложняет перехват. Для этого используется облачная система.