Pull to refresh
  • by relevance
  • by date
  • by rating

Сертификаты Let's Encrypt обрели официальную поддержку

Information Security *
image

В записи блога от 19 октября исполнительный директор организации Let's Encrypt Джош Аас [Josh Aas] объявил, что её сертификаты получили подписи от консорциума IdenTrust. Это значит, что теперь сертификатам Let's Encrypt будут автоматически доверять все основные браузеры.

Подписи получили оба промежуточных сертификата, Let’s Encrypt Authority X1 и Let’s Encrypt Authority X2. Организаторы проекта выпустили утилиту, которая автоматически настроит поддержку этих сертификатов в системе. Убедиться в поддержке этих сертификатов в вашем браузере можно на специально подготовленном для этого сайте.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 9K
Comments 5

В России планируют обязать Microsoft, Google и другие компании использовать государственный SSL-сертификат

Information Security *
Государство будет следить за безопасностью передачи данных в отечественном сегменте Сети


Фото: Дмитрий Коротаев / Коммерсантъ

Администрация президента сейчас ведет работу по созданию государственного удостоверяющего центра (УЦ), который будет выдавать сайтам в русскоязычном сегменте Сети государственные SSL-сертификаты, пишет «Коммерсант». «Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете»,— сообщил источник, близкий к администрации президента (АП).

О начале реализации такого проекта сообщил и глава Фонда информационной демократии Илья Массух. Он сказал, в частности, что создание УЦ бужет обсуждаться специальной рабочей группой «по использованию информационно-телекоммуникационной сети интернет в отечественной экономике». Эта группа создана в начале февраля этого года решением главы администрации президента Сергея Иванова. В рамках группы создана подгруппа «Интернет плюс суверенитет», в которой «будут вырабатываться предложения по созданию УЦ с учетом мнения экспертов и компаний-разработчиков отечественных браузеров — „Яндекс.Браузер“ и „Спутник“».
Читать дальше →
Total votes 29: ↑27 and ↓2 +25
Views 24K
Comments 387

Google предлагает уменьшить срок действия SSL-сертификатов, а сертификаты EV вообще похоронить

GlobalSign corporate blog Domain names administrating *Interfaces *Server Administration *Browsers


Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 12K
Comments 36

Процедуру выдачи электронной подписи и требования к удостоверяющим центрам ужесточили

Information Security *Legislation in IT
image

Несколько недель назад на Хабре публиковалась новость о том, как ни о чем не подозревающий владелец квартиры, оплачивая коммунальные платежи, увидел на счете чужую фамилию. Как оказалось, его недвижимость переоформили на другого человека, воспользовавшись уязвимостью в процедуре выдачи электронной подписи. Лишь в октябре ему удалось вернуть собственную квартиру.

После этого случая последовал ряд разбирательств, в ходе которых выяснилось, что с выдачей электронной подписи не все в порядке — во многих случаях вместо владельца ее могут получить мошенники.
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 14K
Comments 23

Власти Казахстана снова принуждают пользователей устанавливать сертификат, чтобы читать зашифрованную переписку

Information Security *Cryptography *Legislation in IT
image

Правительство Казахстана обязало жителей столицы Нур-Султан, а также приезжих устанавливать на мобильные устройства сертификат безопасности. Официально это объясняют «учениями по кибербезопасности». Однако после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик посредством атаки посредника (Man-in-the-Middle).
Читать дальше →
Total votes 32: ↑30 and ↓2 +28
Views 15K
Comments 75

Четвёртый бесплатный УЦ как альтернатива Let's Encrypt

ITSumma corporate blog Information Security *Website development *Server Administration *
Как известно, Let's Encrypt — не единственный удостоверяющий центр, который автоматически выдаёт бесплатные сертификаты TLS по протоколу ACME. Кроме него, это делают норвежский Buypass (услуга BuyPass Go SSL) и австрийский ZeroSSL. До сих пор они оставались единственными резервными вариантами. Но теперь в команде бесплатных УЦ появился четвёртый игрок: SSL.com.

Вообще, сейчас всё больше УЦ начинают выдавать краткосрочные сертификаты и автоматизировать работу по протоколу ACME. В любом случае, полезно иметь запасной вариант на случай сбоя Let's Encrypt. Вдруг их новые серверы не выдержат нагрузки.
Читать дальше →
Total votes 38: ↑38 and ↓0 +38
Views 5.7K
Comments 18

«Коммерсантъ» сообщает о проблемах москвичей с продлением цифровых сертификатов о прививке

Health

Как сообщает «Коммерсантъ», у жителей Москвы не продлевается электронный сертификат о вакцинации от коронавируса при повторном приёме вакцины. В других регионах таких проблем не возникает. Приглашённые эксперты издания предполагают, что причиной ошибок могут быть совместимости информационных систем.

Читать далее
Total votes 19: ↑18 and ↓1 +17
Views 1.1K
Comments 3

СУП раздаёт подарки пользователям LiveJournal

Lumber room
Как сообщает LiveJournal, в честь миллионной регистрации в русскоязычном сегменте ЖЖ, каждый зарегистрированный до 27 июня 2007 года пользователь может активировать сертификат номиналом $2.

Полный текст новости:
В честь регистрации миллионного русскоязычного пользователя в кириллическом сегменте (обслуживаемом компанией «СУП») Живой Журнал дарит каждому из пользователей этого сегмента виртуальный сертификат на сумму 2 доллара США.

Виртуальный сертификат позволяет приобрести виртуальные подарки для друзей или использовать его для частичной оплаты своего аккаунта. Сертификат невозможно передать другому пользователю.

Вы можете активировать сертификат до 31 июля 2007 года. Срок действия активированного сертификата не ограничен. Сертификат выдается только пользователям кириллического сегмента, зарегистрировавшимся до 27 июня.
Total votes 15: ↑10 and ↓5 +5
Views 202
Comments 2

Microsoft выиграла суд против сайта, распространяющего сертификационные тренинги

IT-companies
Translation
Федеральный суд Коннектикута постановил запретить сайту, подготавливающему к сетификационным тестам, распространять материалы, связанные с Microsoft после того, как софтверный гигант подал в суд на компанию, утверждая, что те продают настоящие экзаменационные задания.

Предварительным заключением, подписанным на прошлой неделе окружным судьей Уорреном Эгинтоном (Warren Eginton), сайту Pass4sure.com и его родительской компании Freetech Services было запрещено распространять данные материалы.

Как утверждается на веб-сайте, Pass4sure продает «высококачественные экзаменационные тренинги в вопросах и ответах». Компания обещает полный возврат денег, в случае, если кто-либо не сдаст экамен с первого раза после использования их тестового движка.

Microsoft же утверждает, что компания распространяет настоящие экзаменационные ответы. Исследователи компании скачали с Pass4sure тренинги к различным своим тестам в начале мая и убедились, что они «идентичны или очень похожи» на соответствующие собственные тесты Microsoft. С этими материалами компания и обратилась в суд.

Pass4sure распространяет тренинги к массе сертификационных тестов, включая те, которые проводятся Cisco Systems, Oracle и IBM. Средняя цена тренинга между 80$ и 125$.

Такие сертификаты служат важным критерием профессионализма в IT кругах и часто сильно влияют на зарплату их обладателей.

Хотя Pass4sure больше не предлагает тесты Microsoft на своем веб-сайте, в кешах Google.com можно найти ссылки на дюжины таких тренингов.

Ни та ни другая компания никак не прокомментировали данный инцидент.
Total votes 12: ↑7 and ↓5 +2
Views 281
Comments 2

Федерация XMPP — новый сайт, получать SSL сертификаты стало проще

Lumber room
На сайте XMPP ICA, в прошлом — XMPP Federation (сервис выдачи SSL сертификатов для Jabber-серверов) сменили тип движка (перешли с Drupal на MediaWiki) и упростили процедуру выдачи SSL сертификатов для Jabber-серверов.

Начало всё то же — вам необходимо связаться с Питером Сант-Андрэ (в Jabber, мне удалось застать его в эфире за 2 дня), представиться и описать, что за сервер у вас и т.п.

После того, как Питер сочтёт, что можно выдавать вам сертификат, он сообщит ссылку. Далее всё автоматически. Я получил сертификат для своего Jabber-сервера (im.boyandin.ru) за пять минут — плюс ещё три минуты на ввод сертификата в строй.

В целом процедура стала куда менее суетной и почти полностью автоматизированной.

NB: нужно обновить соотв. статью (XMPP Federation). если никто не сделает до того момента, то к понедельнику попробую сделать это сам.

Надеюсь, что «новая схема выдачи сертификатов», о которой они говорят на сайте, не будет существенно менее удобной, нежели нынешняя.
Total votes 8: ↑8 and ↓0 +8
Views 394
Comments 15

Обзор SSL-сертификатов: типы, выбор, приемущества.

Information Security *
Многие задавали себе вопрос, чем различаются разные SSL-сертификаты, зачем его получать и почему нельзя использовать самоподписанный.

Здесь я попытаюсь ответить на эти вопросы, рассмотрев:

  • Причемущества от наличия SSL вообще, и подписанного сертификата в частности.
  • Типы SSL-сертификатов.
  • Пути их получения.


Я не претендую за 100% верность данной статьи, она основана только на моем мнении и личном опыте :)
Подробности
Total votes 79: ↑75 and ↓4 +71
Views 93K
Comments 90

О самоподписных сертификатах

Information Security *
В связи с моим участием в проекте fin-ack.com постоянно сталкиваюсь с подобными замечаниями:
я не доверяю вашому самоподписному сертификату, почему вы не купите «нормальный» сертификат?

Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете. (Вроде знаменитых «Хакеров, крекеров, спамов, куки» :). Хочу разобрать его с двух точек зрения: как человека, некоторое время проработавшего в сфере защиты информации в банке и имевшего дело с большинством аспектов информационной безопасности, и как человека, занимающегося разработкой и развитием интернет-сервиса.

Но сперва отвечу на вопрос, почему у нас нет «нормального» сертификата? (На самом деле, с недавнего времени есть :) Самая главная причина в том, что в нашем списке приоритетов этот пункт стоял на N-ном месте, и только сейчас все N-1 предыдущих пунктов были выполнены. Когда работаешь над новым проектом, всегда приходится от чего-то отказываться, потому что ресурсы, прежде всего временные, ограничены…

А почему же он стоял аж на N-ном месте?
Во-первых, зачем вообще нужен сертификат SSL? Для того, чтобы зашифровать HTTP-соединение между браузером и сайтом, по которому будет передаваться пароль и какие-то другие конфиденциальные данные. Что изменится, если сертификат не подписан доверенным центром сертификации? Ничего! Соединение все равно будет зашифрованно точно также. Единственная возможная проблема: атака человек-посредине, которая в Интернете обычно является phishing'ом или pharming'ом.
  • При фишинге пользователя перенаправляют на сайт с похожим URL. При этом в браузере обязательно появится предупреждение про сертификат (такое же предупреждение появляется и при первом заходе на реальный сайт с самоподписным сертификатом).

    В общем-то, в этой ситуации достаточно просто посмотреть к какому домену относится сертификат, и если это именно тот домен, на который вы хотели попасть, добавить сертификат в доверенные. После этого любое сообщение о недоверенном сертификате для данного сайта можно воспринимать как тревожный звоночек.
  • Отличие фарминга в том, что в данном случае пользователь попадет как-бы на тот сайт, на который хотел (судя по URL). Впрочем, ему также как и при фишинге будет показано сообщение о недоверенном сертификате.

Но это только начало...
Total votes 83: ↑59 and ↓24 +35
Views 22K
Comments 174

Некоторые аспекты разработки платежных систем. Часть II. One time passwords и ECDSA

Payment systems *
Доброго здравия, %username%!

В первой части я рассказал как можно минимальными усилиями защитить БД нашей платежной системы. Но, как заметил один из комментирующих, при компрометации web сервера появляется возможность подсмотреть все логины и пароли пользователей. Тут нам на помощь приходят One time passwords (OTP).
Под катом моя вольная интерпритация данного термина с использованием криптографии эллиптических кривых (ECC). Кстати говоря, платежные системы далеко не единственная сфера применения этой технологии.
Upd:
Ахтунг! При взломе веб сервера все таки есть вероятность подмены платежных реквизитов, так что все таки подписывать лучше не случайную строку (хоть это и защитит от полной компрометации системы, но не защитит от случаев, когда подменяются реквизиты прямо во время платежа), а хэш платежного документа, показывая юзеру при этом все реквизиты платежа в программе.
З.Ы. Генерировать ключ лучше тоже на стороне клиента
Читать дальше →
Total votes 21: ↑17 and ↓4 +13
Views 3K
Comments 57

Генерируем цепочку сертификатов с эллиптическими кривыми при помощи OpenSSL

Cryptography *
график функции y^2 = x^3-x+1Думаю многие слышали о криптографии эллиптических кривых, о том
что работает она во много раз быстрее RSA и при несоизмеримо меньшей длине ключа обеспечивает несоизмеримо большую стойкость ко взлому. Если не слышали, то можно глянуть на wiki или почитать в книгах А.А. Болотова.
К сожалению, данный вид шифрования слабо распространен. Я постараюсь объяснить как им пользоваться и поможет мне в этом OpenSSL.

Чтобы не быть голословным приведу сравнение необходимых длин ключей для обеспечения сравнимой стойкости ко взлому для различных алгоритмов. Нам интересна правая часть.
Сравнение алгоритмов
Видно, что популярным сегодня ключам RSA длиной 1024-2048 бит соответствует всего навсего 160-224битный ключ ECC (Elliptic Curve Cryptography)

Ну а чтобы понять какой RSA тормоз достаточно попробовать сгенерировать самый длинный из предложенных в таблице ключей (и пойти вздремнуть):

openssl genrsa 15360

Желающих прикоснуться к «next gen» криптографии, придуманной аж в 1985 году, прошу под кат.
Читать дальше →
Total votes 77: ↑75 and ↓2 +73
Views 20K
Comments 27

Настраиваем в IIS авторизацию по клиентским сертификатам при помощи OpenSSL

Server optimization *

Доброго времени суток, %username%!
Ранее я рассказывал о генерации сертификатов с эллиптическими кривыми.
Сегодня я расскажу о том как можно без особых усилий настроить в IIS авторизацию по обычным RSAшным клиентским сертификатам, сгенерировать сертификаты для сервера и клиента. И поможет мне в этом как всегда OpenSSL.
Для того чтобы все работало нам понадобятся минимум 3 сертификата:
  1. Корневой сертификат (Certificate Authority или CA). Им будем подписывать все остальные.
  2. Сертификат домена (сервера). Им IIS будет проверять клиентов. И наоборот, клиенты смогут проверить подлинность сервера.
  3. Сертификат(ы) клиента(ов)

image
Читать дальше →
Total votes 37: ↑25 and ↓12 +13
Views 47K
Comments 12

Получаем бесплатный SSL сертификат

System administration *
Tutorial
Привет, хабр!

О StartSSL я узнал от небезызвестного lissyara, в связи с чем ему очень благодарен.

Для начала расскажу, что же за зверь это. Как известно, SSL сертификаты выдаются центрами сертификации, чьи корневые сертификаты хранятся в хранилище сертификатов браузера\ОС (либо другого ПО, использующего SSL). Цена на большинство сертификатов зашкаливает, и платить приходится за каждый сертификат. Но у StartSSL весьма интересный подход — сами сертификаты у них бесплатные, вы платите только за проверку вашей личности.

Так же не может не радовать наличие русскоязычной поддержки.
Читать дальше →
Total votes 136: ↑123 and ↓13 +110
Views 505K
Comments 134

Интернет-магазины: подготовка к праздничному шоппингу

Symantec corporate blog
Сегодня заказал половине семьи подарки в различных интернет-магазинах, в основном выбирая крупные торговые площадки, так как представители малого бизнеса, увы, не всегда обеспечивают достаточный уровень комфорта и безопасности при покупках в их интернет-магазинах.

Хотя, сказать честно, не до конца был доволен и тем, что предлагали и «мастадонты».
Точнее, не то что был не доволен, а всего лишь закрепил в своем мозгу мысль, которая пришла мне пару месяцев назад после ознакомления с результатом опроса, проведенного Symantec совместно с профессионалы.ру на тему отношения пользователей к безопасности при проведении онлайн-транзакций.

Одна из цифр, которая меня поразила больше всего – это 86% пользователей опасаются производить транзакции, при этом всего лишь 20% действительно отказываются их производить… Видимо, у остальных 66% глаза боятся, а руки делают.
Читать дальше →
Total votes 4: ↑3 and ↓1 +2
Views 2.4K
Comments 9

Все на https, безопасно и дешево

Website development *

Краткое введение


В наши дни все понимают насколько простой задачей является угон незащищенной http сессии.
И останавливать от повсеместного внедрения может только цена на покупку сертификата, www.startssl.com решает эту проблему, раздавая бесплатные сертификаты (Class 1). Verified (Class 2) стоят копейки.
Читать дальше →
Total votes 82: ↑74 and ↓8 +66
Views 24K
Comments 52

Цифровые SSL сертификаты. Разновидности, как выбрать?

«TutHost» corporate blog
Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.

Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.

Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.
Как выбрать SSL сертификат
Total votes 109: ↑103 and ↓6 +97
Views 416K
Comments 142

Code Signing сертификаты или сертификаты разработчика. Виды, как выбрать

«TutHost» corporate blog Information Security *Website development *
В прошлый раз мы рассматривали цифровые SSL сертификаты, в этот раз рассмотрим еще один вариант цифровых сертификатов.
Code Signing сертификаты — это сертификат, которым подписывается программное обеспечение или скрипты, который подтверждает автора программы и гарантирует, что код не был изменен, после того, как была наложена цифровая подпись. Также их еще называют сертификаты разработчика.

Итак сертификаты разработчика предоставляют нам несколько возможностей. Во-первых это механизм цифровой подписи, которая подтверждает, что программа, которой вы пользуетесь действительно выпущена той или иной компанией, то есть гарантирует подлинность источника. А во вторых гарантирует целостность содержимого, то есть, что с момента подписания программный продукт не был поврежден или изменен.
Виды сертификатов разработчиков и как выбрать правильный
Total votes 28: ↑26 and ↓2 +24
Views 67K
Comments 57