Сертификацией по мошенничеству. Исполнительный директор GlobalSign Russia о том, что дают SSL-сертификаты разных типов. Что такое SSL-сертификат? В чем различие сертификатов AlphaSSL vs GlobalSign
Установка на ваш сайт печати доверия повысит
доверие пользователей к вашему ресурсу и уменьшить
количество брошенных корзин заказа!
Domain SSL
Сертификат с проверкой домена предлагает экономичный, легкий и быстрый способ SSL защиты для вебсайта. Благодаря гибкому процессу проверки, вы можете выбрать наиболее удобный метод для подтверждения владения вашим доменом, и сертификат будет выпущен уже через несколько минут.
от
- /год
Organization SSL
Сертификат с проверкой организации придаст вашему сайту больше веса со стороны пользователей по сравнению с простым сертификатом проверки домена. Он активирует в браузере значок замка и протокол https, отображает идентификационные данные о компании - клиенты видят, что использование вашего сайта безопасно.
от
- /год
ExtendedSSL
Сертификат с расширенной проверкой организации повышает доверие посетителей к вашему сайту, отображая заметные подтверждения безопасности, такие как зеленая адресная строка в браузере и название организации в адресной строке.
от
- /год
Wildcard SSL
Сертификат WildCard SSL выдается на имя *.vashdomen.ru, позволяя использовать сертификат для любого количества поддоменов на неограниченном количестве серверов. Единовременная оплата за сертификат покроет включение дополнительных поддоменов или серверов, которые вы можете добавить в будущем.
от
- /год
Мультидоменный SSL
Мультидоменные SSL-сертификаты защищают до 100 различных доменов, поддоменов и открытых IP-адресов, используя поля альтернативных имен. При этом требуется наличие только одного такого сертификата и одного IP-адреса. Поддержка служб унифицированных коммуникаций (owa, mail и autodiscover) предоставляется бесплатно..
от
- /год
Что такое SSL-сертификат?
SSL-сертификаты - это небольшие файлы данных, которые выполняют цифровую привязку криптографического ключа к сведениям об организации или о человеке. При установке на сервер подобный сертификат включает значок замка и протокол HTTPS (по порту 443) и разрешает использование безопасных подключений между веб-сервером и браузером.
Зачем нужен SSL-сертификат?
SSL-сертификаты являются неотъемлемой частью Интернета. Они шифруют связь между вашим компьютером и сервером, на котором расположен веб-сайт, а также с их помощью сайты подтверждают пользователям свою подлинность. Это помогает посетителям избегать фишинговых сайтов, которые могут выглядеть очень похожими на реальный сайт, но созданы для кражи персональной информации.
Какие типы существуют типы SSL?
Обычно SSL-сертификаты делятся по уровню проверки на 3 типа: - Domain Validation (подтверждение домена домена), – Organisation Validation (подтверждение организации) и - Extended Validation (расширенная проверка организации). Основное отличие этих сертификатов заключается в том, какую информацию подтверждает GlobalSign при выдаче сертификата. В сертификате и в браузере будет отображаться различная информация. Например, сертификат EV-уровня превращает строку браузера в зеленую и отображает информацию об организации прямо в зеленой строке браузера.
Как вы можете увидеть, соединение с сервером компании происходит по безопасному соединению. Это можно заметить, как по названию протокола https (в адресной строке вместо стандартного httр ://адрес_сайта.домен имеется httрs ://адрес_сайта.домен), так и по статусной строке, где имеется значок, напоминающий по форме замок (рис. 10.6).
Рис. 10.6. Шаг 6
Итак, чтобы посмотреть сертификат (цифровую подпись сайта), дважды щелкните по значку-замку. Появится следующее окно - информация о сертификате (рис. 10.7).
В окне имеется несколько вкладок - Общие (General), Состав (Details), Путь сертификации (Certification Path).
- Общие (General) - в данной вкладке дается общая информация о сертификате, в частности для чего он нужен, кому выдан, срок его годности.
Рис. 10.7. Окно Сертификат, вкладка Общие
Итак, сертификат:
- Обеспечивает получение идентификации от удаленного компьютера (Guarantee the identity of a remote computer) - гарантирует, что удаленный компьютер является тем, кем представляется. В итоге, вы можете быть уверены в том, что не посылаете информацию постороннему лицу, представляющемуся компанией GlobalSign;
- Подтверждает, что письмо пришло от конкретного отправителя (Ensure e-mail came from the sender) - гарантирует, что сообщений e-mail, полученное от веб-сайта, пришло от отправителя, а не от какой-то другой структуры или сетевого объединения. Эти данные должны уверить вас - пользователя в том, что все точно, честно и без подвохов, "подводных камней";
- Защищает электронную почту от подделки (Protect e-mail from tampering) - защита электронного письма от вмешательства. Имеется в виду, что по пути следования в сообщение e-mail не будут добавлены или, наоборот, удалены какие-то данные, важная или не очень информация. Дается 100%-ная гарантия того, что письмо дойдет до получателя таким, каким оно было отправлено - без изменений, осуществленными посторонними лицами;
- Позволяет запретить другим лицам просматривать (Ensure the content of e-mail cannot be viewed by others) - гарантируется невозможность просмотра, прочтение сообщения e-mail посторонними лицами. То есть, увидеть, изучить, прочитать сможете вы и только вы.
- Кому выдан (Issued to) и Кем выдан (Issued by). Изучаемый сертификат как выдавался, так и получался одной и той же компанией - GlobalSign. Это вполне логично.
- Далее идет Действителен с **.**.** по **.**.** (Valid from **.**.** to **.**.**). Здесь дается информация о сроке годности сертификата, т. е. с к&кое по какое время он действителен.
После изучения вкладки Общие (General) уже можно прийти к предварительным выводам - компания та, за кого себя выдает. Но пока e-mail еще не пришел, продолжаем изучение сертификата.
- Состав (Details) - здесь можно узнать более подробную информацию о сертификате. Например, его версию или серийный номер. Одним из немаловажных данных является срок годности сертификата - здесь его можно узнать с точностью до секунд. Также вас может заинтересовать длина публичного ключа - она составляет 1024 бита. Стоит напомнить, что чем длиннее ключ, тем выше безопасность (рис. 10.8).
Данные, находящиеся во вкладке Состав (Details), вы можете скопировать в файл. Для этого достаточно нажать кнопку Копировать в файл (Copy to File).
- Путь сертификации (Certification path) - на рис. 40.9 представлен путь сертификации данного ресурса. Итак, главным сервером является GlobalSign Root CA. Далее идет GlobalSign Primary Secure Server CA. Haпрашивается вывод: если есть Primary, значит есть и Secondary и т. д. После Primary идет просто GlobalSign Secure Server CA, а уже потом сертифицированный ресурс - secure.globalsign.net.
За время изучения вами сертификатов GlobalSign уже прошло достаточно времени для генерации и получения ссылки на вашу персональную электронную подпись. Проверьте почтовый ящик.
Пришло письмо следующего содержания:
Рис. 10.8. Окно Сертификат, вкладка Состав
Рис. 10.9. Окно Сертификат, вкладка Путь сертификации
Dear Sir, Madam, You have requested a GlobalSign digital certificate. We are certain that you will enjoy the advantages! In order to download your certificate, please use the hyperlink below: http://secure.globalsign.net/en/receive/index.cfm?id=******* For an optimal use we would like to inform you that: - You have to notify GlobalSign immediately if there i s an error in your certificate. Without reaction from your side within, 15 days after receipt you have accepted the certificate. - When data are changed in your certificate, you have to revoke your certificate. - By accepting a certificate, the subscriber assumes a duty to retain control of the subscriber"s private key, to use a trustworthy system, and to take reasonable precautions to prevent its loss, disclosure or unauthorized use. If you experience any technical problems, please visit our support center for further help at http://support.globalsign.net Good luck with your certificate! Do not hesitate to contact us for any information: [email protected] Kind regards, GlobalSign.
Для тех, кто не понимает по-английски, привожу перевод:
Дорогой сэр, мадам! Вы сделали запрос на получение цифрового сертификата GlobalSign. Мы уверены, что вам понравятся наши преимущества. Для того чтобы загрузить ваш сертификат, пожалуйста, следуйте по ссылке: http://secure.globalsign.net/en/receive/index.cfm?id=******* Для оптимального использования, мы бы хотели вас проинформировать: - Вы должны немедленно сообщить об ошибке в вашем сертификате. Не получив никакой реакции от вас в течение 15 дней, мы решаем, что вы приняли сертификат. - При изменении информации в вашем сертификате, вы должны его отозвать. - Принимая сертификат, подписчик понимает обязанность следить за "личным ключом", использовать надежную систему, и не создавать ситуаций, ведущих к потере ключа. При возникновении каких-либо технических проблем, пожалуйста, посетите страницу технической поддержки, расположенную по адресу http://support.globalsign.net. Удачи с вашим сертификатом!
Нажатие на кнопку Install вызовет диалоговое окно, в котором будет сообщено об успешной или неуспешной инсталляции сертификата.
Рис. 10.10. Шаг 7
В начале октября авторитетный центр выдачи TLS-сертификатов (CA) GlobalSign занялся реструктуризацией своей инфраструктуры. В числе прочих мер, GlobalSign удалил ряд кросс-подписей своих корневых TLS-сертификатов.
К сожалению, в процессе браузеры Safari, Chrome и IE11 начали воспринимать сертификаты GlobalSign как отозванные по причинам безопасности. Инженеры GlobalSign оперативно устранили критическую ошибку, однако некорректный OCSP-ответ оказался закэширован на CDN и широко распространился по свету. В данный момент - и следующие четыре дня, до истечения срока действия записи в OCSP-кэше браузеров - сайты, защищённые сертификатом от GlobalSign, могут быть недоступны для значительной части пользователей.
Среди затронутых сайтов такие компании, как Wikipedia , Dropbox , Financial Times и другие.
Кровавые технические подробности
Что такое OCSP
Для шифрования HTTP-трафика в Интернете используются протоколы SSL и TLS. В этих протоколах вводится понятие «certificate authority» (CA), или центра сертификации. Каждая операционная система и каждый браузер имеют встроенный кэш центров сертификации, которым они доверяют. Любой HTTPS-сайт должен иметь сертификат, выданный доверенным центром сертификации, иначе соединение не установится и браузер отобразит ошибку.
В этой концепции есть один скользкий момент. Дело в том, что в случае обнаружения, например, уязвимости на сервере злоумышленник может получить доступ к существующему сертификату и закрытому ключу шифрования. Украв ключ, злоумышленник сможет использовать его для имитации оригинального сайта и организовать на этот сайт атаку типа Man-in-the-Middle. В результате вор потенциально может получить доступ к паролям, данным пластиковых карт и иной конфиденциальной информации посетителей сайта.
Проблема усугубляется тем, что TLS-сертификаты выдаются хоть и не навсегда, но на достаточно длительный промежуток времени (обычно - от года и более), причём многие центры сертификации (включая, кстати, GlobalSign) дают скидку тем, кто покупает у них сертификат с длительным сроком действия. Это одна из тех проблем, решить которые стремится бесплатный центр сертификации Let"s Encrypt . Сертификаты, выданные Let"s Encrypt, действительны не более 3 месяцев, и центр сертификации планирует сократить этот период до 30 дней.
Исправить существующее положение дел призваны механизмы под названием CRL и OCSP . Они позволяют браузеру проверить, действителен ли тот TLS-сертификат, который предъявляется сайтом. Если в какой-то момент обладатель сертификата заподозрит, что закрытый ключ от сертификата попал не в те руки, он может связаться с центром, выдавшим сертификат, и отозвать его. Отозванный сертификат не будет приниматься большинством современных браузеров, в частности, Safari и Chrome, а в перспективе - всеми браузерами вообще. Таким образом, закрытая информация не попадёт не в те руки.
Что произошло в начале октября
Компания GlobalSign управляет множеством корневых доверенных сертификатов. Ряд этих сертификатов кросс-подписывает друг друга, аналогично тому, как это делает Let"s Encrypt:
Кросс-подпись нужна, например, при выпуске нового корневого сертификата. Так как многие люди редко обновляют свои операционные системы, вновь созданный сертификат может не сразу оказаться в кэше старых браузеров. Чтобы корневой сертификат можно было использовать по назначению, его подписывают одним из старых корневых сертификатов.
Само собой, кросс-подписывание усложняет обслуживание корневых сертификатов. Кроме того, со времени выпуска некоторых из сертификатов GlobalSign прошло уже достаточно времени, чтобы оставшимися необновлёнными системами можно было пренебречь. В конце концов, эти системы всё равно обречены - например, печально известный Internet Explorer 6 «из коробки» поддерживает криптографические протоколы версии не выше уязвимого SSL 3.0 .
Ввиду этого в октябре 2016 года GlobalSign решил удалить часть кросс-подписей между своими сертификатами и управлять ими далее раздельно и независимо.
Что пошло не так
Утром 14 октября в процесс отзыва кросс-подписей вкралась ошибка. В результате ряд промежуточных сертификатов GlobalSign (в частности, недорогой и распространённый AlphaSSL) стал восприниматься браузерами Safari и Chrome как отозванный, а все сайты, купившие сертификат у AlphaSSL и других, перестали открываться.
Инженеры GlobalSign оперативно исправили проблему, но беды на этом не закончились . Дело в том, что OCSP-сервер - это чрезвычайно высоконагруженный элемент инфраструктуры CA, на него ходят все браузеры всех пользователей всех клиентов CA. Поэтому большинство центров сертификации используют для раздачи OCSP-ответов CDN. В частности, GlobalSign пользуется услугами Cloudflare. Подробностей пока нет, но, по всей видимости, Cloudflare по каким-то причинам оказался не в состоянии оперативно очистить свой кэш, и некорректный OCSP-статус продолжил распространяться в Интернете.
UPDATE: we"ve identified the problem but due to caching issues, many of our customers are still experiencing issues. pic.twitter.com/qk0dD3jZ5q
GlobalSign — один из крупнейших сертификационных центров, занимающихся выдачей SSL. За более чем 20 лет работы компания выпустила миллионы сертификатов для пользователей и компаний со всего мира. Сертификаты от GlobalSign обеспечивает не только наивысший уровень криптозащиты, но и максимальную скорость загрузки веб-сайтов.
Кроме того, они совместимы с большинством ОС, браузеров и приложений. Благодаря этому, все пользователи, вне зависимости от используемого браузера и устройства, автоматически примут этот сертификат. Решения GlobalSign используют криптографический алгоритм SHA-256 и RSA-ключам размером 2048 бит. С таким решением ваши данные будут в полной безопасности.
1 099 р.
Акция!3 578 р.
Акция!3 099 р.
Акция!10 705 р.
Акция!4 399 р.
Акция!11 961 р.
Акция!11 299 р.
Акция!Защита поддоменов
нет есть нет есть нет есть нет Доступен частным лицам
есть есть есть есть нет нет нет Доступен для компаний
есть есть есть есть есть есть есть Шифрование
256 бит 256 бит 256 бит 256 бит 256 бит 256 бит 256 бит Подтверждение бизнес-уровня компании владельца
нет нет нет нет есть есть есть Поддержка IDN
есть есть есть есть есть есть есть нет нет нет нет нет нет есть Поднятие уровня шифрования для устаревших браузеров и браузеров не поддерживающих высокий уровень шифрования
нет нет нет нет нет нет нет Печать доверия
Простой способ попасть в топ Google!
Популярный поисковик изменил правила ранжирования: теперь сайты, использующие HTTPS-соединение, поднимаются выше в результатах поиска. Став обладателем SSL-сертификата Symantec , вы сможете не только надежно защитить свой сайт, но и привлечь намного больше пользователей.
Будущее интернета — за SSL.Интернет во многом сделал ведение бизнеса более простым процессом. Тем не менее, из-за общей открытости и доступности он сделал проекты предпринимателей гораздо более уязвимыми для киберпреступников. Чтобы обеспечить сайт защитой был разработан специальный протокол HTTPS. Он шифрует информацию, которая передаётся между компьютером посетителям и вашим сервером. Благодаря HTTPS данные будет невозможно перехватить. Для того, чтобы активировать этот протокол HTTPS для своего ресурса вам достаточно заказать SSL-сертификат
Почему стоит позаботиться о защите вашего сайта
- это увеличит доверие пользователей к вашему ресурсу, так как подтверждает использование HTTPS-соединения и сохранность их данных;
- при наличии сертификата ваш сайт будет отображаться на более высоких позициях в выдаче поисковой системы Google.
Занялся реструктуризацией своей инфраструктуры. В числе прочих мер, GlobalSign удалил ряд кросс-подписей своих корневых TLS-сертификатов.
К сожалению, в процессе браузеры Safari, Chrome и IE11 начали воспринимать сертификаты GlobalSign как отозванные по причинам безопасности. Инженеры GlobalSign оперативно устранили критическую ошибку, однако некорректный OCSP-ответ оказался закэширован на CDN и широко распространился по свету. В данный момент - и следующие четыре дня, до истечения срока действия записи в OCSP-кэше браузеров - сайты, защищённые сертификатом от GlobalSign, могут быть недоступны для значительной части пользователей.
Среди затронутых сайтов такие компании, как Wikipedia , Dropbox , Financial Times и другие.
Кровавые технические подробности
Что такое OCSP
Для шифрования HTTP-трафика в Интернете используются протоколы SSL и TLS. В этих протоколах вводится понятие «certificate authority» (CA), или центра сертификации. Каждая операционная система и каждый браузер имеют встроенный кэш центров сертификации, которым они доверяют. Любой HTTPS-сайт должен иметь сертификат, выданный доверенным центром сертификации, иначе соединение не установится и браузер отобразит ошибку.
В этой концепции есть один скользкий момент. Дело в том, что в случае обнаружения, например, уязвимости на сервере злоумышленник может получить доступ к существующему сертификату и закрытому ключу шифрования. Украв ключ, злоумышленник сможет использовать его для имитации оригинального сайта и организовать на этот сайт атаку типа Man-in-the-Middle. В результате вор потенциально может получить доступ к паролям, данным пластиковых карт и иной конфиденциальной информации посетителей сайта.
Проблема усугубляется тем, что TLS-сертификаты выдаются хоть и не навсегда, но на достаточно длительный промежуток времени (обычно - от года и более), причём многие центры сертификации (включая, кстати, GlobalSign) дают скидку тем, кто покупает у них сертификат с длительным сроком действия. Это одна из тех проблем, решить которые стремится бесплатный центр сертификации Let"s Encrypt . Сертификаты, выданные Let"s Encrypt, действительны не более 3 месяцев, и центр сертификации планирует сократить этот период до 30 дней.
Исправить существующее положение дел призваны механизмы под названием CRL и OCSP . Они позволяют браузеру проверить, действителен ли тот TLS-сертификат, который предъявляется сайтом. Если в какой-то момент обладатель сертификата заподозрит, что закрытый ключ от сертификата попал не в те руки, он может связаться с центром, выдавшим сертификат, и отозвать его. Отозванный сертификат не будет приниматься большинством современных браузеров, в частности, Safari и Chrome, а в перспективе - всеми браузерами вообще. Таким образом, закрытая информация не попадёт не в те руки.
Что произошло в начале октября
Компания GlobalSign управляет множеством корневых доверенных сертификатов. Ряд этих сертификатов кросс-подписывает друг друга, аналогично тому, как это делает Let"s Encrypt:
Кросс-подпись нужна, например, при выпуске нового корневого сертификата. Так как многие люди редко обновляют свои операционные системы, вновь созданный сертификат может не сразу оказаться в кэше старых браузеров. Чтобы корневой сертификат можно было использовать по назначению, его подписывают одним из старых корневых сертификатов.
Само собой, кросс-подписывание усложняет обслуживание корневых сертификатов. Кроме того, со времени выпуска некоторых из сертификатов GlobalSign прошло уже достаточно времени, чтобы оставшимися необновлёнными системами можно было пренебречь. В конце концов, эти системы всё равно обречены - например, печально известный Internet Explorer 6 «из коробки» поддерживает криптографические протоколы версии не выше уязвимого SSL 3.0 .
Ввиду этого в октябре 2016 года GlobalSign решил удалить часть кросс-подписей между своими сертификатами и управлять ими далее раздельно и независимо.
Что пошло не так
Утром 14 октября в процесс отзыва кросс-подписей вкралась ошибка. В результате ряд промежуточных сертификатов GlobalSign (в частности, недорогой и распространённый AlphaSSL) стал восприниматься браузерами Safari и Chrome как отозванный, а все сайты, купившие сертификат у AlphaSSL и других, перестали открываться.Инженеры GlobalSign оперативно исправили проблему, но беды на этом не закончились . Дело в том, что OCSP-сервер - это чрезвычайно высоконагруженный элемент инфраструктуры CA, на него ходят все браузеры всех пользователей всех клиентов CA (кроме тех клиентов, которые настроили OCSP stapling). Поэтому большинство центров сертификации используют для раздачи OCSP-ответов CDN. В частности, GlobalSign пользуется услугами Cloudflare. Подробностей пока нет, но, по всей видимости, Cloudflare по каким-то причинам оказался не в состоянии оперативно очистить свой кэш, и некорректный OCSP-статус продолжил распространяться в Интернете.
В данный момент проблема с кэшом CDN также решена, однако у множества пользователей неверный OCSP-статус закэширован теперь уже в браузере. Запись в OCSP-кэше браузеров и операционных систем будет действительна в течение следующих 4 дней, потом ситуация исправится.
Есть также косвенные основания полагать, что проблема была вызвана багом в обработке OCSP-записей в браузерах Safari и Chrome. Однако фактических подтверждений этому пока нет. Обновление: в Твиттере
