По статистике NetTrack более 36% HTTPS-сайтов в сети используют сертификаты, выданные некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. На текущий момент службой Let's Encrypt выдано 46 млн сертификатов, охватывающих около 60 млн доменов. На втором месте удостоверяющий центр COMODO (19%), а на третьем GeoTrust (11%). Общая доля запросов страниц по HTTPS составила 65%, судя по статистике, полученной в рамках работы сервиса Firefox Telemetry. Для сравнения, два года назад при запуске проекта Let’s Encrypt этот показатель составлял 40%, а в начале 2017 года достиг значения в 50%.По статистике Google доля страниц, открытых по HTTPS, составляет от 68% до 86% (ChromeOS - 86%, macOS - 84%, Linux - 82%, Windows - 80%, Android - 68%). Дополнительно можно отметить объявление о сворачивании деятельности удостоверяющего центра StartCom, владельцы которого решили не возвращать к жизни сервис, который утратил
8 сентября вступило в силу предписание, в соответствии с которым удостоверяющие центры должны обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации. Пример настройки CAA можно посмотреть в данной заметке. Автоматически сформировать DNS-записи с CAA можно через специально подготовленный web-интерфейс.
Компания Google предупредила, что начиная с выпуска Chrome 61, который ожидается в середине сентября, будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведётся о сертификатах, выданных до 21 октября 2016 года, срок действия которых ещё не истёк (более новые сертификаты были заблокированы в прошлом году). В Chrome 57 частично уже было прекращено доверие к старым сертификатом, для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь белый список будет убран и блокировка будет повсеместной. Что касается Mozilla, то начиная с Firefox 51 введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена. Напомним, что в прошлом году представители Mozilla выявили ряд серьёзных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а
Компания Google намерена применить в Chrome блокировку для достаточно большой порции HTTPS-сертификатов, выданных удостоверяющим центром Symantec. Причиной блокировки стали выявленные злоупотребления при выдаче сертификатов уровня EV (Extended Validation). В итоге, под сомнение поставлена валидность более 30 тысяч EV-сертификатов Symantec, выданных за последние несколько лет. EV-сертификаты подтверждают заявленные параметры идентификации и по правилам для их получения требуется проведение проверки документов о принадлежности домена и физическое присутствие владельца ресурса. В случае Symantec подобная проверка не проводилась должным образом, т.е. нет гарантии, что полномочия владельца всегда проверялись. Google обращает внимание на то, что Symantec предоставил доступ к инфраструктуре удостоверяющего центра как минимум четырём сторонним организациям, которым предоставлены полномочия по выдаче сертификатов. При этом компания Symantec не обеспечила должный уровень надзора за ними и допустила несоблюдение ими
Доступен первый выпуск библиотеки BearSSL, предлагающей компактную реализацию протоколов SSL и TLS (RFC 5246). Автором разработки является канадский эксперт по криптографии (Thomas Pornin), автор RFC 6979, разработчик библиотеки sphlib, создатель функции хэширования паролей Makwa, соавтор хэша Shabal, блочного шифра DFC и потокового шифра SOSEMANUK. Код проекта написан на языке Си и распространяется под лицензией MIT. Выпуск выпуск 0.1 позиционируется как ознакомительный, а разработка пока находится в состоянии альфа-тестирования. Ключевые цели проекта: Надёжность и безопасность. Поддерживаются только проверенные версии протоколов и алгоритмы, в которых не зафиксировано уязвимостей. Реализации алгоритмов по умолчанию защищены от timing-атак; Небольшое потребление ресурсов и небольшой размер кода. Минимальная сборка занимает всего 20 Кб и требует для своей работы 25 Кб ОЗУ; Высокая переносимость, возможность сборки не только для стационарных систем, но и для контроллеров, загрузчиков и встраиваемых
Исследователи из французского института INRIA разработали новый метод атак на системы шифрования, применяющие 64-битные блочные шифры 3DES и Blowfish, получивший кодовое имя Sweet32. Метод позволяет в ходе MITM-атаки, подразумевающей наличие контроля за транзитным трафиком, восстановить значение небольших идентификаторов, передаваемых внутри шифрованного сеанса, например сессионных Cookie в HTTPS-соединениях. Метод также применим для восстановления аутентификационных токенов OpenVPN (используется Blowfish). Для защиты от выявленного метода атаки рекомендуется использовать шифры с размером блока, превышающим 64 бита, например, AES. Для успешного совершения атаки сайт должен поддерживать создание защищённых соединений с использованием симметричного блочного шифра 3DES, а также допускать передачу большого числа запросов через одно установленное соединение. По оценке исследователей данному условию соответствуют 0.6% от 100 тысяч самых популярных сайтов в рейтинге Alexa. Для применения атаки также требуется
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, сообщил о включении корневого сертификата проекта в список заслуживающих доверия сертификатов Mozilla. Обновлённый список корневых сертификатов станет доступен пользователям, начиная с Firefox 50. Кроме Mozilla, заявки на включение в хранилище корневых сертификатов также ранее были отправлены компаниям Google, Microsoft и Apple, контролирующим разработку web-браузеров Chrome, IE/Edge и Safari, а также Oracle и Blackberry, в продуктах которых используются собственные списки доверительных сертификатов. После включения информации о корневом сертификате Let's Encrypt во все списки доверия, Let's Encrypt займёт место полноценного независимого удостоверяющего центра. Прогнозируется, что на создание и продвижение обособленного корневого сертификата может уйти от 3 до 6 лет. До сих пор доверие к сертификатам Let's Encrypt обеспечивалось благодаря перекрёстному утверждению
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, сообщил о реализации полной поддержки IPv6. По статистике Google, в настоящее время к сайтам Google по протоколу IPv6 обращается 12.71% пользователей, в то время как в начале года этот показатель составлял 10%. По данным Cisco число активных пользователей IPv6 в США оценивается в 29%, Бельгии - 46%, Германии 24%, Греции - 24%, Эквадоре - 19%, РФ - 1.2%, Украине - 0.24%, Беларуси - 0.01%.
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, раскрыл сведения о попытке компании Comodo Group, бизнес которой связан с распространением сертификатов SSL, присвоить себе право на бренд Let’s Encrypt. Проект Let’s Encrypt был анонсирован в ноябре 2014 года, после чего Comodo Group как минимум три раза пыталась зарегистрировать торговую марку на выражение "Let’s Encrypt" для своих сервисов, связанных с работой удостоверяющего центра. В частности, в октябре 2015 года поданы заявки на торговые марки Let’s Encrypt, Let’s Encrypt with Comodo и Comodo Let’s Encrypt. Проект Let’s Encrypt потратил много времени и ресурсов на продвижение и обеспечение узнаваемости своего бренда, востребован миллионами пользователей и ассоциируется с деятельностью сообщества и высоким качеством. Деятельность Comodo по регистрации торговой марки Let’s Encrypt потенциально вводит в
Удостоверяющий центр StartCom (торговая марка StartSSL) запустил похожий на Lets'Encrypt сервис StartEncrypt, осуществляющий автоматическую выдачу и установку SSL-сертификатов. Сертификаты выдаются бесплатно и требуют пройти уровень проверки, соответствующий их типу (в простейшем случае достаточно подтвердить владение доменом). Как и Lets'Encrypt cервис StartEncrypt поддерживает популярные веб-серверы на базе Linux и Windows (tomcat, nginx, apache httpd). Из отличий от Lets'Encrypt можно отметить: Не только автоматическое получение сертификата, но и автоматическая установка. Обратной стороной предложенной автоматизации является отсутствие контроля за сервисом со стороны администратора. В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик",