По оценке независимой исследовательской и консалтинговой компании Frost & Sullivan, TLS-сертификаты от GlobalSign обеспечивают максимально надёжное шифрование. В том числе за это GlobalSign получила в сентябре 2022 года награду 2022 Global Competitive Strategy Leadership Award.
Но возникает вопрос, чем же отличается шифрование в разных сертификатах? В частности, какие алгоритмы используются для криптографической подписи?
Читать полностью »
Умный завод четвёртого поколения (Industry 4.0) работает автономно. Роботы на конвейере общаются друг с другом, уменьшая процент брака и отходов
Один из крупнейших в мире производителей микросхем Infineon заключил соглашение с глобальным центром сертификации GlobalSign на перекрёстную подпись сертификатов, которые производитель самостоятельно выдаёт для своих промышленных криптографических чипов Optiga TPM SLM 9670. Теперь эти подписи проверяемы по цепочке вплоть до корневого центра сертификации GlobalSign, что значительно упрощает управление ими.
Читать полностью »
Американская некоммерческая организация The Internet Society (ISOC) продаёт свои активы, включая оператора Public Interest Registry (PIR), который управляет доменной зоной .org. Созданная в «общественных интересах» для общественных организаций, доменная зона переходит в руки коммерческой фирмы Ethos Capital за неизвестную сумму. Сделку планируют закрыть в I кв. 2020 года (см. пресс-релиз).
Таким образом, реестр из 10 миллионов доменных имен. org и управление финансовым потоками отдают коммерческой компании. Интересно, что пять месяцев назад ICANN бессрочно сняла любые ограничения на максимальные цены доменов .org. В поддержку своего решения ICANN привела два комментария от общественности. При этом во время общественного обсуждения организация получила 3315 комментариев, из которых 3252 были против (98,2%).
По мнению критиков, со стороны ISOC это была предпродажная подготовка, а организацию ICANN ввели в заблуждение (или она участвовала в сговоре). Судя по всему, сейчас подозрения подтвердились.
Читать полностью »
Ключевые интеграции Venafi
У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.
Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.
GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.
Читать полностью »
Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ
Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.
Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.
Читать полностью »
Недавно Google объявил о прекращении доверия всем SSL-сертификатам, выданным до 1 декабря 2017 г. удостоверяющими центрами Symantec, Thawte, GeoTrust и RapidSSL. Изменения вступят в силу 16 октября этого года с выходом нового юбилейного браузера Google Chrome 70.
Читать полностью »
10 апреля 2018 года компания GlobalSign объявила о присоединении к консорциуму Cloud Signature и партнёрской программе Adobe Cloud Signature. Оба соглашения предусматривают, что фирменный сервис облачных подписей Digital Signing Service теперь напрямую интегрирован с решением для подписи документов Adobe Sign в облаке Adobe Document Cloud.
Adobe Document Cloud — это полный комплект решений для работы с цифровыми документами, ускоряющих и упрощающих бизнес-процессы за счёт перевода всей бумажной работы в цифровое защищённое пространство. Сюда входят сервисы Adobe Sign, Acrobat DC, веб-приложения и мобильные приложения, которые работают в автономном режиме или встраиваются в существующие рабочие процессы. Система интегрирована и нормально работает с программами Microsoft, Salesforce, Workday, SAP Ariba, Dropbox и прочими, а служба Adobe Sign (теперь и GlobalSign) является предпочтительной службой подписи документов в приложениях Microsoft.
Читать полностью »
Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.
Казалось, что если документооборот электронный, то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота — тем больше документов она печатает. Ведь каждый документ нужно завизировать. Документ без подписи — это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.
Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.
Читать полностью »
Продолжает расти популярность решений на основе PKI — всё больше сайтов переходят на HTTPS, предприятия внедряют цифровые сертификаты для аутентификации пользователей и компьютеров, S/MIME доказывает свою состоятельность и для шифрования электронной почты, и как способ проверки источника сообщений для противодействия фишингу. Но шифрование и аутентификация в этих приложениях практически бессмысленны без правильного управления ключами.
Каждый раз при выдаче цифрового сертификата от центра сертификации (ЦС) или самоподписанного сертификата нужно сгенерировать пару из закрытого и открытого ключей. Согласно лучшим практикам, ваши секретные ключи должны быть защищены и быть, ну… секретными! Если кто-то их получит, то сможет, в зависимости от типа сертификата, создавать фишинговые сайты с сертификатом вашей организации в адресной строке, аутентифицироваться в корпоративных сетях, выдавая себя за вас, подписывать приложения или документы от вашего лица или читать ваши зашифрованные электронные письма.
Во многих случаях секретные ключи — личные удостоверения ваших сотрудников (и, следовательно, часть персональных данных организации), так что их защита приравнивается к защите отпечатков пальцев при использовании биометрических учётных данных. Вы же не позволите хакеру добыть отпечаток своего пальца? То же самое и с секретными ключами.
В этой статье мы обсудим варианты защиты и хранения закрытых ключей. Как вы увидите, эти варианты могут незначительно отличаться в зависимости от типа сертификата(ов) и от того, как вы его используете (например, рекомендации для сертификатов SSL/TLS отличаются от рекомендаций для сертификатов конечных пользователей).
Читать полностью »
В начале октября авторитетный центр выдачи TLS-сертификатов (CA) GlobalSign занялся реструктуризацией своей инфраструктуры. В числе прочих мер, GlobalSign удалил ряд кросс-подписей своих корневых TLS-сертификатов.
К сожалению, в процессе браузеры Safari, Chrome и IE11 начали воспринимать сертификаты GlobalSign как отозванные по причинам безопасности. Инженеры GlobalSign оперативно устранили критическую ошибку, однако некорректный OCSP-ответ оказался закэширован на CDN и широко распространился по свету. В данный момент — и следующие четыре дня, до истечения срока действия записи в OCSP-кэше браузеров — сайты, защищённые сертификатом от GlobalSign, могут быть недоступны для значительной части пользователей.
Среди затронутых сайтов такие компании, как Wikipedia, Dropbox, Financial Times и другие.
Читать полностью »
