Рубрика «центр сертификации»

Зачем нужен собственный удостоверяющий центр - 1
Примеры 1) промежуточного УЦ в открытой иерархии доверия и 2) частной иерархии, которая изолирована от открытой иерархии, со своим собственным корневым УЦ

Инфраструктура открытых ключей (PKI) традиционно имеет иерархическую структуру. В ней удостоверяющие центры (УЦ) связаны отношениями подчинённости. Все пользователи доверяют одному и тому же корневому (головному) УЦ, а каждый нижестоящий УЦ подчиняется более высокому в иерархии.

Но что, если мы хотим создать частную инфраструктуру PKI со своим собственным УЦ? Действительно, в некоторых ситуациях такие промежуточные или частные иерархии очень удобны на практике.
Читать полностью »

Mozilla окончательно забанила шпионскую компанию DarkMatter - 1Вчера Mozilla окончательно отказала DarkMatter во включении корневого сертификата в хранилище Root Store. Кроме того, в блоклист OneCRL занесены промежуточные сертификаты QuoVadis, выданные удостоверяющим центром DarkMatter. Эту компанию западные СМИ обвиняют в продаже услуг наблюдения и взлома репрессивным режимам на Ближнем Востоке и в прочих аморальных действиях.

Несмотря на отсутствие доказательств некорректной деятельности компании, после четырёхмесячной дискуссии Mozilla вчера приняла решение исключить промежуточные сертификаты QuoVadis из хранилища Firefox, а УЦ DarkMatter окончательно отказать.

Некоторые считают, что это опасный прецедент. Конечно, фирма DarkMatter никому не нравится, но отказывать в доверии на основании нескольких статей в СМИ — это уже как-то слишком. Руководство DarkMatter открыто общалось в Google Groups и уверяло, что не занимается ничем аморальным и они не делали ничего такого, что написали журналисты. Но под влиянием общественного мнения Mozilla решила иначе. И в этом тоже есть определённый резон: если бы она оставила DarkMatter среди доверенных удостоверяющих центров, то рисковала бы потерять доверие пользователей к своему доверенному хранилищу.
Читать полностью »

Mkcert: валидные HTTPS-сертификаты для localhost - 1

В наше время использование HTTPS становится обязательным для всех сайтов и веб-приложений. Но в процессе разработки возникает проблема корректного тестирования. Естественно, Let’s Encrypt и другие CA не выдают сертификаты для localhost.

Традиционно есть два решения.
Читать полностью »

Из-за проблем у GlobalSign ряд HTTPS-сайтов будет частично недоступен следующие 4 дня - 1

В начале октября авторитетный центр выдачи TLS-сертификатов (CA) GlobalSign занялся реструктуризацией своей инфраструктуры. В числе прочих мер, GlobalSign удалил ряд кросс-подписей своих корневых TLS-сертификатов.

К сожалению, в процессе браузеры Safari, Chrome и IE11 начали воспринимать сертификаты GlobalSign как отозванные по причинам безопасности. Инженеры GlobalSign оперативно устранили критическую ошибку, однако некорректный OCSP-ответ оказался закэширован на CDN и широко распространился по свету. В данный момент — и следующие четыре дня, до истечения срока действия записи в OCSP-кэше браузеров — сайты, защищённые сертификатом от GlobalSign, могут быть недоступны для значительной части пользователей.

Среди затронутых сайтов такие компании, как Wikipedia, Dropbox, Financial Times и другие.
Читать полностью »

Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов - 1

8 января 2016 года в 9:04 GMT центр сертификации Let's Encrypt выдал миллионный TLS-сертификат.

Let's Encrypt – некоммерческая инициатива организации Mozilla и Фонда электронных рубежей (EFF), созданная на благо сообщества. Владелец любого домена может получить здесь сертификат TLS совершенно бесплатно и очень просто его установить (пошаговая инструкция на Хабре). Закрытое бета-тестирование началось 12 сентября 2015 года, а с 3 декабря сертификаты выдают всем желающим без предварительной регистрации и инвайтов.

Это потрясающий успех проекта: для выдачи миллиона сертификатов понадобилось всего 3 месяца и 5 дней.
Читать полностью »

image
1990-е: В интернете никто не знает, что ты — собака.
Сегодня: Наш анализ данных показывает, что он — коричневый лабрадор. Он живёт с чёрно-белым биглем, и по-моему, у них есть отношения.

Совершенно бесплатные сертификаты для шифрования веб-трафика, которые обещали начать выдавать в середине 2015 года, слегка запоздали, но не исчезли совсем. 14 сентября Фонд Электронных Рубежей (Electronic Frontier Foundation, EFF) торжественно объявили о факте выдачи первого такого сертификата системой Let’s Encrypt.

Let’s Encrypt – свободный, бесплатный центр сертификации (certificate authority, CA). Он должен обеспечить всех желающих совершенно бесплатными сертификатами, и тем самым, постепенно перевести весь интернет на шифрование трафика.

По понятным причинам, правозащитники и борцы за свободу обоими руками приветствуют эту инициативу. HTTPS (правильно работающий) означает защиту от прослушки и кражи персональных, коммерческих и других данных пользователей.

Ещё пару лет назад все центры сертификации продавали сертификаты, да и сегодняшние бесплатные обладают рядом ограничений. После покупки требовались знания для того, чтобы настроить поддержку сертификатов в браузере. Теперь эти времена уходят в прошлое.

Пока ещё новый центр не обладает всеми правами, и его сертификаты не имеют перекрёстной подписи, в результате чего они не воспринимаются браузерами как надёжные (браузер выдаст сообщение «untrusted»). В EFF уверены, что примерно через месяц будет завершена соответствующая работа в консорциуме IdenTrust, после чего новые бесплатные сертификаты будут работать без шума и пыли.
Читать полностью »

Как вы уже должны знать, поддержка Windows Server 2003 и Windows Server 2003 R2 заканчивается 14 июля 2015 года. Зная это, ИТ профессионалы либо уже провели миграцию, либо этот процесс должен находиться в самом разгаре. В этой статье будут описаны шаги, необходимые для миграции Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2.
Шаг за шагом: Миграция Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2 - 1
Читать полностью »

Бесплатные SSL сертификаты для проектов Open SourceЦентр сертификации GlobalSign начал раздавать бесплатно SSL-сертификаты квалифицированным проектам Open Source. Это хорошая возможность для тех проектов, которые до сих пор не имеют сертификата, получить его. Сертификат действует бессрочно, то есть пока проект соответствует заявленным требованиям.

Требования:

  • Свободная лицензия из списка Open Source Initiative.
  • Действующая поддержка проекта.
  • Соответствие требованиям благонадёжности.
  • Правильная конфигурация SSL (после выдачи сертификата) с получением высшего балла “A” при проверке в SSL Checker.
  • Соглашение со стандартными условиями.
  • Сайт не должен использоваться в коммерческих целях.

Читать полностью »

Давеча появилась задача сделать оповещение пользователей об истечении срока действия сертификата на eToken, с помощью которого они авторизуются на рабочих местах.
Сертификаты на eToken генерируются через Центр сертификации Windows сроком на 1 год. Оповещать пользователей необходимо было за неделю, чтобы те могли своевременно прийти в ИТ отдел продлить.
Задача осложнялась тем, что в сертификатах не был указан адрес почты владельца. И следовательно нужно было брать этот адрес и АД.
Компания Aladdin предлагает для этой цели свой софт Token Management System, но для этого надо заплатить да и использовать её только для оповещения как-то неЧитать полностью »

Информационная безопасность / Взлом VeriSign в 2010 году
В квартальной форме отчётности 10-Q для комиссии SEC компания VeriSign упомянула факт неоднократного несанкционированного доступа в её корпоративную сеть в 2010 году. Как сообщает компания, неизвестные «получили доступ к данным на маленькой части наших компьютеров и серверов». Какая конкретно информация попала к злоумышленникам — неизвестно, но «мы провели расследование и не верим, что эти атаки проникли к серверам, на которых работает система DNS», указано в отчёте на странице 33.
Информация была доведена до менеджмента только в сентябре 2011 года. VeriSign вынуждена разгласить эти факты в связи с новыми требованиями SEC по публикации информацииЧитать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js