Материалы по тегу: tls
|
04.07.2026 [13:34], Сергей Карасёв
Microsoft ускоряет внедрение постквантовой криптографииMicrosoft сообщила об ускорении реализации своей программы Quantum Safe Program (QSP), которая ориентирована на внедрение постквантовой криптографии (PQC) для защиты от кибератак нового типа. Редмондский гигант намерен перевести свои продукты и услуги на эту технологию к 2029 году. Microsoft отмечает, что достижения в области квантовых вычислений приводят к появлению качественно новых рисков. В частности, квантовые компьютеры теоретически смогут за приемлемое время взламывать классические алгоритмы шифрования (вроде RSA), что сделает такую защиту неэффективной. Microsoft подчёркивает, что подобные квантовые системы могут появиться значительно раньше, чем предполагалось. Поэтому корпорация ускоряет реализацию инициативы QSP. Работы будут выполняться по трём ключевым направлениям. Одно из них — модернизация средств сетевой криптографии. Речь идёт о масштабном внедрении протокола TLS 1.3, который обеспечивает защищённую передачу данных между клиентом и сервером. В TLS 1.3 используются только современные стойкие шифры (в основном на базе AES-GCM, ChaCha20-Poly1305) и надёжные схемы обмена ключами. Протокол исключает устаревшие и уязвимые алгоритмы шифрования и хеширования, а также небезопасные режимы работы. Вторым направлением определено повышение гибкости криптографических систем. Это позволит изменять криптографические параметры и алгоритмы без комплексного перепроектирования систем. Иными словами, криптографические функции можно будет обновлять с минимальными изменениями в приложении и без существенных перебоев в работе сервисов. В частности, это важно для хранимых данных. Третьей областью работ в рамках QSP станет модернизация криптографических цепочек доверия, лежащих в основе программного обеспечения, устройств и различных служб. Это включает в себя подписание кода, выдачу сертификатов, защиту ключей и реализацию конвейеров обновлений. Microsoft подчёркивает, что для большинства организаций самая сложная задача заключается не в выборе постквантовых алгоритмов, а в понимании и обновлении уже существующих криптографических решений в приложениях, сервисах, сетях, системах идентификации, сертификатах и оборудовании. Инициатива QSP, как ожидается, поможет в решении данных вопросов.
14.06.2026 [01:15], Владимир Мироненко
Удостоверяющий центр GlobalSign начал отзыв EV-сертификатов у российских компаний, находящихся под санкциямиУдостоверяющий центр GlobalSign, зарегистрированный в Бельгии и принадлежащий японской корпорации GMO Group, приступил к отзыву SSL/TLS-сертификатов у российских компаний, находящимся под санкциями Евросоюза, сообщил ресурс OpenNet.ru. Ранее сервис Let’s Encrypt также перестал работать с подсанкционными организациями и лицами. В письме российского представительства сообщается, что отзыв сертификатов начался 13 июня в 04:10 (MSK) и будет проводиться поэтапно. Сообщается, что отзыв начат в связи с утверждением консорциумом CA/Browser Forum новых требований по проверке организаций при выдаче сертификатов. Речь идёт о расширенных сертификатах уровня EV (Extended Validation), подтверждающих заявленные параметры идентификации и требующих не только проверки владения доменом, но и проведения удостоверяющим центром проверки существования и легального статуса компании, получающей сертификат. В браузерах при работе с сайтами, имеющими EV-сертификаты, и сертификаты, полученные только через подтверждение домена, отображается одинаковый значок. УЦ сообщает, что согласно вступившей в силу 4 мая новой версии регламента выдачи EV-сертификатов удостоверяющим центрам запрещено выдавать сертификаты компаниям из санкционных списков, а проверка по спискам блокировки стала не рекомендательной, а обязательной. Как отметил ресурс OpenNet.ru, эта информация не соответствует действительности, так как требования, о которых идёт речь, были добавлены CA/Browser Forum в более ранней версии регламента от 2022 года. Предполагается, что до нынешнего момента GlobalSign полагался на исключение в законе, позволявшее предоставлять подсанкционным компаниям услуги для обеспечения безопасности всего интернета. Но теперь выдача сертификатов квалифицирована юристами GlobalSign или регулирующими органами как оказание коммерческих IT-услуг, что подпадает под санкционные запреты.
10.06.2026 [15:05], Руслан Авдеев
Санкции на сертификат: Let’s Encrypt перестанет работать с недружественными США странами, лицами и организациямиВ пользовательском соглашении удостоверяющего центра Let's Encrypt, бесплатно предоставляющего TLS-сертификаты, появились изменения, запрещающие их выдачу людям и организациям из стран и территорий, на которых наложены «всеобъемлющие» (comprehensive) американские санкции. Запрет коснулся и тех лиц и организаций, на кого наложены персональные санкции. Также учитываются ограничения, связанные с экспортным контролем США. Пострадают и организации, находящиеся под контролем лиц, на которых действуют санкции или действующих от имени таких людей. По имеющимся данным, пока сервис Let's Encrypt применял «точечные» блокировки для конкретных доменов, внесённых в чёрные списки Управления по контролю за иностранными активами США (OFAC). По словам ISRG (Internet Security Research Group), управляющей сервисом Let's Encrypt, сертификаты по-прежнему будут доступны в России и Иране, за исключением государственных структур стран. Официально утверждается, что запреты действуют уже давно, и обновление пользовательского соглашения лишь формально закрепляет уже сложившуюся практику.
Источник изображения: Let's Encrypt По некоторым данным, запросы из России к удостоверяющему центру принимаются без ограничений — если доменов нет в санкционных списках. OpenNET сообщает, что полномасштабные санкции касаются, например, Ирана, КНДР и Кубы, однако относительно РФ тотальный запрет пока не действует. Утверждается, что возможность выдавать сертификаты российским и прочим негосударственным учреждениям и частным лицам обеспечена фактически благодаря принятым и контролируемым OFAC послаблениям, объясняемым содействием защите прав и свобод человека, а также благодаря законам США о защите частной переписки.
02.09.2025 [09:10], Руслан Авдеев
Госсайты многих стран оказались лишены элементарной защиты, а трафик до них идёт через зарубежные сетиСогласно результатам исследования, проведённого в рамках исследовательской стипендии Internet Society Pulse Северо-Западным университетом США (Northwestern University), интернет-трафик к правительственным доменам часто пересекает границы, сообщает The Register. Более того, их связность порой страдает, а иногда трафик даже не шифруется. В исследование попали правительственные сайты 58 стран. Обнаружилось, что значительная часть данных таких сайтов либо свободно пересекает границы, либо использует зарубежные точки обмена трафиком (IX). Так, в странах вроде Малайзии, Норвегии, ЮАР и Таиланда через зарубежные IX проходит 23–43 % трафика, а данные для новозеландских правительственных ресурсов зачастую проходят через Австралию.
Источник изображения: Internet Society Pulse Предполагается, что к использованию офшорной инфраструктуры чаще склонны менее развитые страны. Они же зачастую не используют HTTPS для защиты. Например, в случае Албании через иностранные сети проходит 86 % трафика госсайтов, а ещё 15 % — через расположенные за рубежом IX. При этом лишь треть правительственных доменов вообще применяют HTTPS. В совокупности это создаёт условия для MitM-атак.
Источник изображения: Internet Society Pulse У Казахстана свои особенности. Все правительственные ресурсы располагаются в сетях страны и использует локальные точки обмена, уровень внедрение HTTPS высок и составляет 71,5 %. Однако около 70 % трафика госресурсов проходит через единственного телеком-оператора «Казахтелеком», что снижает устойчивость. Нечто похожее наблюдается в Бангладеше, Пакистане и Турции из-за «наследия» государственных телеком-монополий. В ОАЭ более ¾ маршрутов пролегает через сети Etisalat. А маршрутизации марокканского трафика госсайтов через Испанию и Францию наводит на мысли об «интересных колониальных связях». По данным исследования, США, Великобритания, Канада, Швейцария и Швеция распределяют «государственный» трафик между разными операторами связи и точками обмена, благодаря чему правительственные ресурсы и сервисы более устойчивы к техническим сбоям. А вот оценить показатели африканских государств оказалось трудно, поскольку инструментов вроде RIPE ATLAS на континенте немного.
06.07.2025 [16:23], Руслан Авдеев
Let's Encrypt начал выдавать бесплатные сертификаты для IP-адресов, но нужно это немногимУдостоверяющий центр Let's Encrypt начал выдачу сертификатов для IP-адресов. PositiveSSL, Sectigo и GeoTrust тоже могут выдавать TLS/SSL для IP-адресов, но за $40-$90/год, тогда как Let's Encrypt делает это бесплатно, сообщает The Register. Благодаря этому владельцы ресурсов в Сети смогут предложить безопасное соединение, привязанное к «числовому» адресу ресурса, избегая расходов на доменное имя. Общедоступным сервис станет до конца 2025 года. Впрочем, никаких веских причин использовать IP-адреса при обращении к ресурсам у большинства пользователей нет. Логичнее и привычнее использовать DNS. Кроме того, в отношении доменных имён установлены правила арбитража, существует единая политика Uniform Domain Name Dispute Resolution Policy (UDRP), а споры относительно IP-адресов могут быть очень запутанными.
Источник изображения: FlyD/unsplash.com Тем не менее сертификаты для IP-адресов стали востребованы, как минимум, с 2017 года и есть по крайней мере несколько сценариев, когда их использование оправдано. Так, хостинг-провайдер может создать целевую страницу на случай, если кто-то введёт в браузере IP-адрес вместо доменного имени. Некоторые компании и вовсе не хотят платить за доменное имя, им тоже будет достаточно сертификата для IP. Кроме того, DoH-серверы тоже могут выиграть от использования таких сертификатов. Ещё один сценарий — использование прямых IP-адресов для безопасного удалённого доступа к определённым домашним устройствам вроде NAS или короткоживущих подключений для администрирования серверов. Краткосрочные соединения с отдельными сертификатами, вероятно, через несколько лет станут нормой отрасли. В таких случаях придётся автоматизировать обновление сертификатов владельцами, но инструменты для этого уже существуют. Let's Encrypt ограничивает действие сертификата для IP-адреса шестью днями по соображениям безопасности. В апреле всемирная организация CA/Browser Forum проголосовала за сокращение сроков действия SSL/TLS-сертификатов. С весны 2029 года они будут действовать не более 47 дней, а не 398 дней, как сейчас.
16.04.2025 [17:58], Руслан Авдеев
47 дней вместо 398: вскоре срок действия новых SSL/TLS-сертификатов заметно сократитсяЦентральный орган, объединяющий разработчиков веб-браузеров, эмитентов сертификатов безопасности и прочих причастных — CA/Browser Forum — проголосовал за сокращение сроков действия SSL/TLS-сертификатов. С 15 марта 2029 года они будут действительны не более 47 дней, сообщает The Register. Сегодня сертификаты, лежащие в основе, например, HTTPS действуют до 398 дней до того, как их будет необходимо обновить. В прошлом году Apple выдвинула предложение сократить время их действия и, похоже, получила поддержку IT-гигантов. Основной довод «за» — короткое время обновления означает, что скомпрометированные или украденные сертификаты будут действительны относительно недолго, что теоретически позволит снизить возможный ущерб. С другой стороны, это усложнит жизнь продавцам и покупателям сертификатов, если они не хотят или не могут пользоваться сервисами вроде Let's Encrypt. Голосование о сроках сокращения действия сертификатов прошло в минувшие выходные, 25 участников проголосовали «за», а Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems и TWCA воздержались. Apple, Google, Microsoft и Mozilla единогласно проголосовали за предложение. По словам представителя CA/B Forum, такое единодушие свидетельствует о желании отрасли укрепить цифровую безопасность для всех. Помимо прочего, как ожидается, это поможет приготовиться к рискам «эры квантовых вычислений».
Источник изображения: Greg Martínez/unsplash.com Таким образом, с 15 марта 2026 года все новые сертификаты будут действовать 200 дней, в том числе речь и о Domain Control Validation (DCV). С 15 марта 2027 года сроки действия сократятся до 100 дней. Наконец, с 15 марта 2029 года новые SSL/TLS-сертификаты будут валидны 47 дней, а DCV — всего 10 дней. Примечательно, что с января 2020 года Apple уже и так отказывается принимать TLS-сертификаты со сроком действия более 398 дней (13 мес.). Постепенно ужесточение требований, как ожидается, поможет компаниям адаптироваться к изменениям. Вероятно, системным администраторам в скором будущем придётся перейти на автоматизированные системы работы с SSL/TLS-сертификатами. |
|
