Как мы помним, в 2018 году максимальный срок действия публичных сертификатов SSL/TLS уменьшили до 825 дней, а в 2020 году — до 398 дней (13 месяцев). Соответствующие решения в 2018−2020 годы принял Форум CA/B (CA/Browser Forum) — добровольный консорциум удостоверяющих центров, разработчиков браузеров, ОС и других приложений с поддержкой PKI. Хотя многие участники голосовали против такого предложения, но впоследствии им пришлось пересмотреть своё решение с учётом общественного мнения. Даже опрос GlobalSign на Хабре показал, что 72,7% респондентов «скорее поддерживают» сокращение срока действия сертификатов.
Это не единственная новация в порядке обращения сертификатов. В 2021−2022 гг нас ожидает ещё несколько изменений.
Итак, что изменится в работе удостоверяющих центров в 2021−2022 годы.
Дата вступления в силу: 1 октября 2021 г.
Пояснение. Максимальный срок действия сертификата уменьшили до 398 дней, но период повторной проверки доменов и организаций оставался на уровне 825 дней, так что в некоторых случаях при смене владельца домена существующие сертификаты продолжали заменяться/выпускаться предыдущим удостоверяющим центром. Вполне логично, что этот срок тоже уменьшили. Решение принято единогласно.
Для сравнения, крупнейший в интернете удостоверяющий центр Let's Encrypt выпускает сертификаты с максимальным сроком действия 90 дней и повторной проверкой домена в течение максимум 30 дней, так что между проверкой и истечением срока действия сертификата проходит не более 4 месяцев.
Можем ожидать, что отрасль будет стремиться к базовому уровню Let's Encrypt, а в итоге установит сроки даже короче, чем у него.
Ранее Google заявляла, что стремится сократить максимальный срок действия SSL-сертификатов до целевого показателя в 90 дней. Такое сокращение потребует от владельцев веб-сайтов полной автоматизации выдачи, переоформления и продления сертификатов. Нынешнее сокращение максимального срока — шаг в этом направлении.
Короткие времена жизни сертификатов имеют два главных преимущества с точки зрения информационной безопасности:
Только полная автоматизация и прозрачность действий с сертификатами позволит избавиться от нынешних проблем с безопасностью (они часто объясняются человеческим фактором) и надёжно зашифровать 100% публичного трафика. А это главная цель, к которой стремится IT-сообщество.
Дата вступления в силу: 1 декабря 2021 г.
Методы HTTP-проверки домена типа «Согласованные изменение веб-сайта» (3.2.2.4.16, 3.2.2.4.18 и 3.2.2.4.19) используются для проверки контроля над доменом. Если вы способны разместить файл в определённом каталоге веб-сайта, это «демонстрирует» контроль над доменом.
Но на самом деле это доказательство лишь контроля над сайтом/хостингом, но не над всем доменным пространством внутри этого домена.
В то же время владелец (или взломщик) условного example.com получает право выдачи сертификаты поддоменам, хотя там могут размещаться другие организации. С 1 декабря 2021 года это станет невозможно. Другими словами, wildcard-сертификаты и сертификаты SAN на много поддоменов станут запрещены в случае HTTP-проверки одного лишь главного домена.
Если пользователи хотят продолжить проверки именно по HTTP, им придётся проверять каждый SAN:DNSName по отдельности.
Предложенное изменение методики проверки от Райана Сливи (Google) принято единогласно.
Сроки: 24 августа 2021 г., затем ежеквартально в 2022 г.
Для безопасности и обеспечения гибкости системы GlobalSign начинает ротацию промежуточных центров сертификации Atlas TLS на плановой основе. Исторически в течение многих лет использовались одни и те же CA, но есть много причин установить краткие интервалы для ротации:
При установке новых сертификатов TLS клиенты всегда должны быть готовы принять новые CA. Рекомендуется придерживаться гибких практик, всегда загружать и устанавливать новый промежуточный CA при получении новых сертификатов. Нельзя делать привязку открытого ключа к сертификатам CA, да и вообще лучше не делать никакой привязки открытого ключа.
Дополнительную информацию см. на сайте техподдержки.
Дата вступления в силу: 26 июля 2021 г.
GlobalSign меняет использование ключей в публичных сертификатах ECC TLS в соответствии с лучшими отраслевыми практиками и будущими изменениями в Базовых требованиях Форума CA/B для серверных сертификатов SSL/TLS.
Ранее сертификат содержал цифровую подпись и соглашение о ключах, а теперь — только цифровую подпись.
Было решено, что указание соглашение о ключах в сертификате создаёт потенциальные проблемы безопасности для конечных пользователей, поскольку в рамках сессии TLS ключ подписи и ключ шифрования должны отличаться.
Для особых пользовательских профилей, выходящих за рамки традиционных сеансов TLS между браузером и сервером, рекомендуется обратиться к решениям типа private trust.
Крайний срок: 31 августа 2022 года
Компания Google давно обеспокоена тем, как проверяется поле OU в сертификатах TLS. В базовых требованиях Форума CA/B чётко указано, для каких полей (C, S, L, Org и т. д.) требуется получить информацию от компании. Но в этом списке отсутствует поле OU (Organizational Unit), что позволяет клиентам включать туда непроверенную и, возможно, вводящую в заблуждение информацию. Поэтому специалисты по безопасности из Google настойчиво требовали удалить это ненужное поле.
Форум CA/B единогласно поддержал это решение.
Хотя крайний срок установлен на 31 августа 2022 года, удостоверяющие центры начали отказываться от поля OU уже в последние месяцы.
Работайте удаленно! PKI-решения для малого и среднего бизнеса
Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
Это не единственная новация в порядке обращения сертификатов. В 2021−2022 гг нас ожидает ещё несколько изменений.
Итак, что изменится в работе удостоверяющих центров в 2021−2022 годы.
Удостоверяющий центр обязан верифицировать доменные имена и IP-адреса не более чем за 398 дней до выдачи сертификата
Дата вступления в силу: 1 октября 2021 г.
Пояснение. Максимальный срок действия сертификата уменьшили до 398 дней, но период повторной проверки доменов и организаций оставался на уровне 825 дней, так что в некоторых случаях при смене владельца домена существующие сертификаты продолжали заменяться/выпускаться предыдущим удостоверяющим центром. Вполне логично, что этот срок тоже уменьшили. Решение принято единогласно.
Для сравнения, крупнейший в интернете удостоверяющий центр Let's Encrypt выпускает сертификаты с максимальным сроком действия 90 дней и повторной проверкой домена в течение максимум 30 дней, так что между проверкой и истечением срока действия сертификата проходит не более 4 месяцев.
Можем ожидать, что отрасль будет стремиться к базовому уровню Let's Encrypt, а в итоге установит сроки даже короче, чем у него.
Зачем сокращают срок действия сертификатов?
Ранее Google заявляла, что стремится сократить максимальный срок действия SSL-сертификатов до целевого показателя в 90 дней. Такое сокращение потребует от владельцев веб-сайтов полной автоматизации выдачи, переоформления и продления сертификатов. Нынешнее сокращение максимального срока — шаг в этом направлении.
Короткие времена жизни сертификатов имеют два главных преимущества с точки зрения информационной безопасности:
- Ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов, так как они используются на меньшем промежутке времени.
- Поощрение автоматизации.
Только полная автоматизация и прозрачность действий с сертификатами позволит избавиться от нынешних проблем с безопасностью (они часто объясняются человеческим фактором) и надёжно зашифровать 100% публичного трафика. А это главная цель, к которой стремится IT-сообщество.
Запретить выдачу SAN- и wildcart-сертификатов после одной HTTP-проверки главного домена
Дата вступления в силу: 1 декабря 2021 г.
Методы HTTP-проверки домена типа «Согласованные изменение веб-сайта» (3.2.2.4.16, 3.2.2.4.18 и 3.2.2.4.19) используются для проверки контроля над доменом. Если вы способны разместить файл в определённом каталоге веб-сайта, это «демонстрирует» контроль над доменом.
Но на самом деле это доказательство лишь контроля над сайтом/хостингом, но не над всем доменным пространством внутри этого домена.
В то же время владелец (или взломщик) условного example.com получает право выдачи сертификаты поддоменам, хотя там могут размещаться другие организации. С 1 декабря 2021 года это станет невозможно. Другими словами, wildcard-сертификаты и сертификаты SAN на много поддоменов станут запрещены в случае HTTP-проверки одного лишь главного домена.
Если пользователи хотят продолжить проверки именно по HTTP, им придётся проверять каждый SAN:DNSName по отдельности.
Предложенное изменение методики проверки от Райана Сливи (Google) принято единогласно.
Ротация промежуточных центров сертификации GlobalSign
Сроки: 24 августа 2021 г., затем ежеквартально в 2022 г.
Для безопасности и обеспечения гибкости системы GlobalSign начинает ротацию промежуточных центров сертификации Atlas TLS на плановой основе. Исторически в течение многих лет использовались одни и те же CA, но есть много причин установить краткие интервалы для ротации:
- Ограничение количества сертификатов от одного CA с соответствующим закрытым ключом, что повышает криптостойкость системы.
- Ограничение вреда в случае проблемы с целостностью или безопасностью CA.
- Меньше размер CRL (списки отозванных сертификатов), что повышает производительность.
- Обучение клиентов ожидать и планировать немедленную замену CA, что повышает их криптостойкость.
- Окончательный план предусматривает ежеквартальную ротацию всех центров сертификации GlobalSign Atlas TLS и ежегодную ротацию выделенных для клиента центров CA.
- Первая ротация состоится 24 августа 2021 года.
- Начиная с 2022 года вводится ежеквартальная ротация GlobalSign Atlas TLS CA во второй понедельник каждого квартала и ежегодная ротация выделенных клиентских CA в январе.
При установке новых сертификатов TLS клиенты всегда должны быть готовы принять новые CA. Рекомендуется придерживаться гибких практик, всегда загружать и устанавливать новый промежуточный CA при получении новых сертификатов. Нельзя делать привязку открытого ключа к сертификатам CA, да и вообще лучше не делать никакой привязки открытого ключа.
Дополнительную информацию см. на сайте техподдержки.
Изменения в использовании ключей ECC
Дата вступления в силу: 26 июля 2021 г.
GlobalSign меняет использование ключей в публичных сертификатах ECC TLS в соответствии с лучшими отраслевыми практиками и будущими изменениями в Базовых требованиях Форума CA/B для серверных сертификатов SSL/TLS.
Ранее сертификат содержал цифровую подпись и соглашение о ключах, а теперь — только цифровую подпись.
Было решено, что указание соглашение о ключах в сертификате создаёт потенциальные проблемы безопасности для конечных пользователей, поскольку в рамках сессии TLS ключ подписи и ключ шифрования должны отличаться.
Для особых пользовательских профилей, выходящих за рамки традиционных сеансов TLS между браузером и сервером, рекомендуется обратиться к решениям типа private trust.
Удаление поля OU
Крайний срок: 31 августа 2022 года
Компания Google давно обеспокоена тем, как проверяется поле OU в сертификатах TLS. В базовых требованиях Форума CA/B чётко указано, для каких полей (C, S, L, Org и т. д.) требуется получить информацию от компании. Но в этом списке отсутствует поле OU (Organizational Unit), что позволяет клиентам включать туда непроверенную и, возможно, вводящую в заблуждение информацию. Поэтому специалисты по безопасности из Google настойчиво требовали удалить это ненужное поле.
Форум CA/B единогласно поддержал это решение.
Хотя крайний срок установлен на 31 августа 2022 года, удостоверяющие центры начали отказываться от поля OU уже в последние месяцы.
Работайте удаленно! PKI-решения для малого и среднего бизнеса
Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.