2017/09/01 15:51:27

SSL

Далеко не всем представителям рынка электронной коммерции известно, что такое криптографические протоколы. Это объясняется тем фактом, что в работе большинства интернет-магазинов и онлайн-сервисов не используется информация, которую необходимо передавать в зашифрованном виде. Определить, шифруется ли на каком-либо сайте информация, просто: необходимо обратить внимание на адресную строку. Если в начале адреса сайта вы видите https://, значит, сайт использует HTTPS (HyperText Transfer Protocol Secure) - расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, шифруются с помощью криптографических протоколов SSL или TLS.

Содержание

  • Протокол SSL был разработан в первой половине 90-х. Первая версия (1.0) так и не была опубликована.
  • Вторая версия (2.0) «увидела свет» в 1995 году и характеризовалась множеством недостатков в отношении безопасности. Их доработка привела к разработке третьей версии SSL (3.0), выпущенной в 1996 году.
  • Протокол SSL v.2 был официально переведен в разряд устаревших в 2011 году в соответствии с технической спецификацией RFC 6176.
  • На протяжении почти 20 лет протокол SSL использовался для защиты от атак, основанных на прослушивании сетевого соединения. За это время было обнаружено множество уязвимостей с разным уровнем критичности, которые ликвидировались. Опыт разработки и развития SSL послужил основой для создания протокола TLS. Разработчики TLS учли опыт и ошибки предшественников, и создали наиболее безопасный на сегодняшний день способ шифрования данных.

2017

Comodo продала свой бизнес по выпуску SSL-сертификатов

Серая шкала — процент сайтов, использующих SSL-сертификаты; зеленая шкала — доля рынка

Как стало известно в конце октября 2017 года, компания Comodo внезапно продала свой бизнес, связанный с выпуском сертификатов безопасности для веб-сайтов, крупной венчурной фирме — Francisco Partners, сосредоточенной на инвестициях в высокотехнологичные предприятия.[1] Сумма сделки не разглашается. Подробнее здесь.

Comodo до последнего времени являлся ведущим центром сертификации в мире. По утверждению самой компании, она выпустила 91 млн сертификатов и, по данным на ноябрь 2017 года, обслуживает 200 тысяч клиентов в 150 странах мира. По данным W3Techs, на долю Comodo приходится 38,7% рынка; компания обеспечивает SSL-сертификатами 16,6% всех сайтов в Сети.

Российский госстандарт шифрования

Власти РФ начали реализацию плана по введению цифоровых сертификатов шифрования (SSL). Поисковая система «Спутник» и портал госуслуг первыми перейдут на использование отечественных сертификатов шифрования.

Павел Храмцов, руководитель проекта «Нетоскоп», подтвердил информацию о создании госстандарта шифрования, которым активно пользуются в электронно-цифровых подписях.

Россия является «сертификатозависимой» страной. На сегодняшний день практически все российские сайты пользуются иностранными сертификатами SSL, которые легко могут отозвать иностранные организации.

Директор центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Массух отметил, что российские сертификаты необходимо внедрять постепенно. Во-первых, нужно обратить внимание на сервисы, которые хранят личные данные, юридическую информацию и финансовые транзакции[2].

Россия: число сайтов с SSL-сертификатами за год выросло в четыре раза

По данным аналитического сервиса StatOnline, в российских национальных доменных зонах количество сайтов, использующих SSL-сертификаты, за год выросло в четыре раза. В июле 2015 года в зоне .RU количество таких ресурсов составляло 109 тыс., в том же месяце 2016 года — 189 тыс., а в июле 2017 года — 531 тыс. Показатели зоны .РФ составляли 18 тыс., 21 тыс. и 65 тыс. соответственно. [3] При этом наиболее распространенным периодом действия SSL-сертификата является срок менее 1 года. Так, в зоне .RU число таких сертификатов составляет 82% от общего числа, а в зоне .РФ — 95%. Подробнее об этом можно прочитать здесь.

Google прекратит поддерживать SSL-сертификаты от Symantec

Начиная с октября 2018 Google полностью прекратит поддержку SSL-сертификатов, выданных компанией Symantec. Данное решение основано на результатах расследования деятельности центра сертификации (CA) компании Symantec.[4]

В 2016 году инженеры Google и Mozilla обнаружили, что Symantec нарушила правила, согласованные форумом CA/B Forum, регулирующим процедуры выдачи SSL-сертификатов. В марте 2017 года исследователи выявили нарушение компанией Symantec правил выдачи 127 SSL-сертификатов. По данному факту Google инициировала расследование, по ходу которого первоначальная оценка выросла до колоссальной цифры, превышающей 30 тыс. сертификатов.

Как результат, Google объявила о намерении постепенно удалить поддержку сертификатов Symantec в Chrome. Mozilla, Microsoft или Apple, будучи недовольными многочисленными нарушениями Symantec в части выдачи SSL-сертификатов, позволили Google возглавить расследование, которое длилось несколько месяцев.

Процесс выдачи SSL-сертификатов Symantec будет изменен

В Symantec отрицали результаты вышеназванного расследования, называя их «преувеличенными и вводящими в заблуждение», однако в итоге согласились на переговоры. В ходе переговоров стороны согласились на некоторые уступки и разделили весь процесс изменения выдачи сертификатов на 3 фазы.

Первая фаза — 1 декабря 2017 года. Symantec должна будет сотрудничать с другим СА, который, в свою очередь, будет выдавать SSL-сертификаты от имени компании. Таким образом, с технической точки зрения Symantec станет подчиненным центром сертификации (Subordinate Certificate Authority/SubCA), однако сможет выдавать новые SSL-сертификаты и сохранить своих клиентов.

Вторая фаза начнется с выходом браузера Chrome 66 (предположительно, в апреле 2018 года). Начиная с этой версии Chrome будет отображать ошибки для SSL-сертификатов Symantec, выпущенных до 1 июня 2016 года.

Третья фаза начнется с выпуском Chrome 70 (ориентировочно, октябрь 2018 года). Chrome перестанет доверять всем сайтам с SSL-сертификатами от Symantec, выпущенными до 1 декабря 2017 года. Владельцам веб-сайтов и другим разработчикам, использующим SSL-сертификаты от Symantec внутри своего приложения, придется обратиться к Symantec за новым SSL-сертификатом или связаться с другим поставщиком услуг.

GlobalSign лидирует на рынке SSL-сертификатов России по объему продаж

Компания GlobalSign стала лидером рынка SSL-сертификатов по объему продаж в России по данным компании Netcraft, опубликованным в статистическом отчете за июнь 2017 года. Доля рынка GlobalSign в отчетном месяце составила 48,74% против 26,26% и 16,52% у компаний WoSign и Symantec соответственно.[5]

По информации Netcraft, количество веб-сайтов, использующих SSL-сертификаты GlobalSign на российском рынке в июне 2017 года превысило 15 млн, что в 3 раза выше по сравнению с показателями июня 2016 года.


Управляющий директор российского офиса GlobalSign Реджи Оиши отметил: «Достичь положительной динамики роста продаж удалось благодаря открытию российской дочерней компании в 2013 году и активной её работе на протяжении последних лет. GlobalSign уделяет особое внимание поддержке клиентов, что позволяет оказывать полнофункциональную русскоязычную административную и техническую поддержку клиентам и партнерам. Мы также предлагаем клиентам гибкие условия и конкурентоспособные цены».

Аналитический отчет составлен с учетом веб-сайтов, использующих SSL-сертификаты признанных удостоверяющих центров, у которых общее имя компании (common name) в сертификате совпадало с hostname. В качестве subject country field фигурировала Российская Федерация. Самоподписанные сертификаты не учитывались в исследовании.

В целом, по оценкам Netcraft, за последние несколько лет наблюдается уверенная и положительная динамика роста SSL-рынка в России. Общий объем рынка сертификатов продолжает увеличиваться и составил 32,2 млн сертификатов в июне 2017 года.

«Доктор Веб»: приложения «банк-клиент», использующие протокол SSL v.2, небезопасны

В начале года в службу технической поддержки «Доктор Веб» поступили запросы пользователей продуктов компании, являющихся одновременно пользователями приложений «банк-клиент», использующих небезопасный протокол SSL v.2. В связи с этим «Доктор Веб» выпустила следующее разъяснение.

В связи с многочисленными уязвимостями в SSL v.2 использование данного протокола, а равно и приложений, его использующих, является небезопасным.

В частности, при использовании данного протокола возможны атаки типа «человек посередине» (MITM-атаки) и атаки, позволяющие изменить ход передачи данных. Используемый в SSL v.2 алгоритм хэширования MD5 на данный момент также скомпрометирован и не рекомендуется к использованию.

Как стало понятно из обращений пользователей Dr.Web в службу технической поддержки, приложения «банк-клиент» некоторых российских банков продолжают использовать небезопасный протокол SSL v.2. Сотрудники служб поддержки клиентов этих банков даже советовали нашим пользователям, испытывавшим проблемы при работе с банковскими приложениями из-за работы Dr.Web, деинсталлировать Dr.Web, подвергая денежные средства своих же клиентов серьёзному риску.

Компания «Доктор Веб» рекомендует пользователям небезопасных приложений обновить их. В случае невозможности обновления пользователи могут разрешить их использование, включая использование небезопасного протокола, в настройках продуктов Dr.Web.

Если вы принимаете решение об использовании системы «банк-клиент», поинтересуйтесь у банка безопасностью используемого в приложении протокола, и в случае использования SSL v.2 или SSL v.3 откажитесь от использования приложения.

2016

При выдаче SSL-сертификатов в РФ будут использоваться отечественные алгоритмы шифрования

Правительство РФ планирует отказаться от зарубежных средств шифрования и заменить их отечественными. В частности, разработанные в России алгоритмы шифрования будут использоваться при выдаче SSL-сертификатов. Данную позицию поддерживают Минкомсвязи и ФСБ, сообщает «КоммерсантЪ» со ссылкой на главу рабочей подгруппы «Интернет + суверенитет» при администрации президента Илью Массуха[6].

По словам эксперта, в РФ есть свои средства шифрования и готовые версии протокола TLS с использованием соответствующих ГОСТу криптографических алгоритмов. Как сообщил Массух, уже существуют бета-версии браузеров «Спутник» и «Яндекс» с использованием отечественных алгоритмов шифрования. Правда, представители «Яндекса» данную информацию опровергают.

Ранее уже сообщалось о рассмотрении администрацией президента РФ возможности создания государственного удостоверяющего центра (УЦ). По словам Массуха, выдачей SSL-сертификатов с разработанными в РФ алгоритмами шифрования будет заниматься удостоверяющий центр НИИ «Восход» или другой аккредитованный Минкомсвязи УЦ. В отечественных браузерах данные УЦ будут по умолчанию добавлены в список доверенных.

Как пояснил Массух, в первую очередь SSL-сертификаты с российскими алгоритмами шифрования от местного удостоверяющего центра будут использовать правительственные ресурсы и портал госуслуг. В связи с этим будут внесены изменения в Федеральный закон «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».

По словам гендиректора Qrator Labs Александра Лямина, использование на одном домене набора SSL-сертификатов, в том числе от российского УЦ, вполне возможно. Эксперт отметил, что с точки зрения национальной безопасности это весьма разумно, хотя и «отдает паранойей». Кроме того, местный УЦ может стать причиной атак «человек посередине», ведь каждый, у кого будет доступ к корневому сертификату, сможет перехватывать и расшифровывать передаваемые данные. В качестве примера Лямин привел случай с Китаем и Google. Из-за частых инцидентов с перехватом трафика компания даже планировала изъять сертификат местного УЦ из списка доверенных в браузере Chrome.

90% публичных SSL VPN-серверов используют ненадежное или устаревшее шифрование

Компания High-Tech Bridge провела исследование с целью выяснить текущее состояние дел на рынке SSL VPN-сервисов. Исследование проводилось с использованием бесплатного SSL-сканера, разработанного компанией.

Эксперты проверили 10 436 выбранных в случайном порядке общедоступных SSL VPN-серверов вендоров Cisco, Fortinet и Dell.

77% проверенных SSL VPN-серверов используют ненадежный протокол SSLv3, тогда как несколько десятков серверов применяют версию SSLv2. Ряд стандартов безопасности, в том числе PCI DSS или NIST SP 800-52 запрещает использование протокола SSLv3 в связи с наличием многочисленных уязвимостей.

Как оказалось, 76% SSL VPN-серверов используют недоверенные SSL-сертификаты. Данные сертификаты позволяют удаленному атакующему при помощи атаки «человек посередине» осуществить перехват трафика. 74% сертификатов подписаны с применением SHA-1, а 5% используют устаревший хеш-алгоритм MD5, показало исследование.

Согласно полученным данным, 41% SSL VPN-серверов используют цифровые сертификаты, содержащие ключи RSA длиной 1024 бита, а 10% серверов, поддерживающих OpenSSL, подвержены уязвимости Heartbleed. Как выяснилось, только 3% серверов соответствуют стандартам PCI DSS, однако ни один из проверенных серверов не соответствует требованиям Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST).

По итогам исследования только 3% проанализированных SSL VPN-серверов получили высшую оценку надежности SSL/TLS-шифрования, тогда как 86% заработали наименьший балл.

Смотрите также

Примечания