• Свободная лицензия из списка Open Source Initiative.
• Действующая поддержка проекта.
• Соответствие требованиям благонадёжности.
• Правильная конфигурация SSL (после выдачи сертификата) с получением высшего балла “A” при проверке в SSL Checker.
• Соглашение со стандартными условиями.
• Сайт не должен использоваться в коммерческих целях.

Все помнят цепочки сертификатов и условия соблюдения доверительных отношений. Будем говорить об этом.

Сегодня прилетела одна “очень интересная задача”. Пользователям понадобился сайт: https://fgiscs.minstroyrf.ru/ - какой-то там ФГИС ЦС.

Поскольку сертификат недоверенный, то был послан Google Chrome следом за кораблём. Сертификат недоверенный, буржуйский фаервол шлёт туда же, да и отечественный Касперский не пускает.

Поехали копать сертификаты.

Всем привет, с вами Искандер Рустамов, младший системный администратор Cloud4Y. Сегодня мы будем покорять развертывание центра сертификации (ЦС). 

Необходимость в выстраивании инфраструктуры на базе государственных требований к решениям в области информационной безопасности заставляет искать новые решения. Одним из них является организация доступа клиентов к веб-ресурсам через портал nGate по защищённому TLS соединению с использованием шифрования по ГОСТ криптопровайдера «КриптоПро». Для этого необходим собственный центр сертификации. 

В данной статье мы рассмотрим установку Standalone Center Authority на базе Windows Server 2019.

• избежать лишних хлопот с оформлением или продлением, увеличив интервал между заказами сертификатов;
• сэкономить деньги, приобретая SSL сразу на несколько лет.

Совсем недавно веб-сайты с Let's Encrypt (225 миллионов доменов) рисковали остаться без трафика с устройств на старых версиях Android (34% от всех девайсов). По заявлениям Let's Encrypt они нашли выход из ситуации и IdenTrust выпустил для них новый трехлетний перекрестный знак для корня ISRG X1 со своего корневого центра сертификации DST X3. Но действительно ли владельцам сайтов с Let's Encrypt можно расслабиться?

Истекающий срок действия корневого сертификата Let's Encrypt означает, что каждое третье устройство Android (более 34% устройств используют версии 7.1.1 и ниже) будет заблокировано с миллионов сайтов, защищенных системой Let's Encrypt.

Данная проблема – результат того, что Let's Encrypt больше не использует перекрестную подпись со сторонним корневым сертификатом. Из-за этого посетители веб-сайтов на старых версиях Android будут заблокированы от доступа к сайтам, защищенным с помощью Let's Encrypt.

Это определенно не то, что пользователи хотят видеть при посещении веб-сайта. Аналогично и владельцы сайтов не горят желанием, чтобы пользователи видели какие-либо предупреждения, которые могут посеять сомнения по поводу безопасности их страниц.

Что именно привело к такому повороту событий? Кого могут коснутся изменение? Что могут сделать владельцы сайтов, чтобы минимизировать ущерб?

Предыстория проблемы

Корни проблемы исходят из 2015 года, когда компания Let’s Encrypt была основана группой Internet Security Research Group (ISRG) и их партнерами. Поскольку могут потребоваться годы на то, чтобы все ОС и браузеры начали доверять их собственному сертификату, они подписали свои сертификаты перекрестно с доверенным корнем существующего ЦС (IdenTrust и их сертификатом DST Root X3), что является типичным поведением для новых центров сертификации.