SSL
Далеко не всем представителям рынка электронной коммерции известно, что такое криптографические протоколы. Это объясняется тем фактом, что в работе большинства интернет-магазинов и онлайн-сервисов не используется информация, которую необходимо передавать в зашифрованном виде. Определить, шифруется ли на каком-либо сайте информация, просто: необходимо обратить внимание на адресную строку. Если в начале адреса сайта вы видите https://, значит, сайт использует HTTPS (HyperText Transfer Protocol Secure) - расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, шифруются с помощью криптографических протоколов SSL или TLS.
Протокол SSL был разработан в первой половине 90-х. Первая версия (1.0) так и не была опубликована. Вторая версия (2.0) «увидела свет» в 1995 году и характеризовалась множеством недостатков в отношении безопасности. Их доработка привела к разработке третьей версии SSL (3.0), выпущенной в 1996 году. Протокол SSL v.2 был официально переведен в разряд устаревших в 2011 году в соответствии с технической спецификацией RFC 6176.
На протяжении почти 20 лет протокол SSL использовался для защиты от атак, основанных на прослушивании сетевого соединения. За это время было обнаружено множество уязвимостей с разным уровнем критичности, которые ликвидировались. Опыт разработки и развития SSL послужил основой для создания протокола TLS. Разработчики TLS учли опыт и ошибки предшественников, и создали наиболее безопасный на сегодняшний день способ шифрования данных.
2022: Российские организации начали сталкиваться с отзывом SSL сертификатов. Проблема замечена у ВТБ, ЦБ и Промсвязьбанка. Что делать?
28 февраля и 1 марта у ряда российских организаций пользователи заметили отзыв SSL сертификатов. В частности, появилась информация, что сайты ЦБ РФ и ПСБ не открывались по протоколу https из-за отозванных удостоверяющими центрами сертификатов[1]. Схожая проблема наблюдалась и у сайта ВТБ[2]. Вышеуказанные организации попали под западные санкции на фоне военной операции России на Украине, начавшейся 24 февраля.
Кроме того, регистратор доменных имен и хостинг Namecheap 28 февраля сообщил, что прекратит обслуживать пользователей из России и дал им срок до 6 марта, чтобы перенести домены верхнего уровня к другим провайдерам.
Эксперт по ИБ, бизнес-консультант по информационной безопасности Cisco Алексей Лукацкий, 1 марта предупредил, что о резервных вариантах стоит подумать даже тем, кто не под санкциями, так как компании могут прекратить поддержку российских предприятий и физлиц просто по собственному решению.
Отзыв SSL сертификатов у компаний, попавших под санкции, в текущей ситуации вполне возможное развитие событий (примеры уже есть). Стоит подумать о резервных вариантах. Причем даже тем, кто не в санкционных списках, так как компании в рамках поддержки Украины могут по своему желанию прекращать поддержку российских предприятий и физлиц, - написал эксперт в своём Telegram-канале[3]. |
Алексей Лукацкий пояснил Telegram-каналу «Нецифровая экономика», какие есть резервные варианты для SSL-сертификатов:
Резервных вариантов сегодня, увы, не так много и все они до конца не отработаны, так как вряд ли кто-то оценивал насколько ограничения повлияют на сферу цифровой экономики. Финансовым организациям может помочь заработавший с 1-го января этого года удостоверяющий центр Банка России (немного ироничная ситуация - сертификаты будет выдавать организация, у которой самой отозвали сертификат). Государственные организации могут обращаться в удостоверяющий центр Федерального казначейства. Остальным организациям мог бы помочь УЦ ФНС, но сейчас не совсем понятно, готов ли он к такому повороту событий. В стране есть еще Главный и Национальные удостоверяющие центры (ГУЦ и НУЦ), но для их функционирования еще не принята вся необходимая нормативная база. |
Также, говорит эксперт, существует возможность перейти на самоподписанные сертификаты, но в этом случае теряется весь смысл инфраструктуры открытых ключей, на котором построена электронная коммерция, так как будет отсутствовать единый корень доверия, если о доверии вообще можно говорить в текущих реалиях[4].
2020: Россия вошла в десятку стран по использованию SSL-сертификатов
В конце июня 2020 года крупнейший в России хостинг-провайдер и регистратор доменов Reg.RU и старейший удостоверяющий центр GlobalSign обнародовали исследование, в котором рассказали о лидирующих странах-пользователях SSL-сертификатов, а также о том, как менялся мировой рынок в момент пандемии коронавируса COVID-19.
Россия попала в десятку стран по количеству используемых SSL-сертифиатов — их число в марте 2020 года составило 1 476 822, в марте оно упало до 1 297 920. В апреле показатель достиг 1 325 999 сертификатов. Несмотря на сложность прогнозирования в текущей ситуации, последние 4 года продолжает прослеживаться значительная динамика роста SSL-сертификатов по всем странам, говорится в докладе.
Первенство по количеству сайтов продолжает удерживать США. К списку традиционных лидеров крупнейших стран Западной Европы в этом году присоединилась Япония, занявшая 3-е место. Также в этом году в топ-10 стран вошёл Китай, замыкая список лидеров. Россия продолжает занимать 9-ю строчку рейтинга, оставив позади Италию, Австрию, Швейцарию и Испанию.
В топ-5 удостоверяющих центров по количеству выпущенных SSL в .RU входят:
- Let's Encrypt (960000);
- Cloudflare (110000);
- DigiCert (85000);
- GlobalSign (75000);
- Sectigo (55000).
Значительный перевес Let's Encrypt связан с возможностью получать там бесплатные SSL-сертификаты сроком до 90 дней.
В .RU больше всего сертификатов со сроком действия менее года (81%) и 1 год (18%). Наиболее популярен формат использования одного SSL-сертификата для одного домена, их число превышает 1 млн. Но мультидоменные сертификаты (SAN) тоже востребованы. Так, в сумме количество тех, которые приходятся на 3-10 доменов, составляет около 80 тысяч.
По словам экспертов, пандемия COVID-19 оказала влияние на экономику практически всех стран и отраслей. Из-за ситуации с пандемией с начала 2020 года в сравнении с тем же периодом прошлого года наблюдается небольшое отставание в росте SSL-сертификатов, которое коснулось большинства стран.[5]
2019
Самое распространенное шифрование интернет-трафика делает пользователей беззащитными перед хакерами
Повсеместный рост использования SSL-шифрования трафика приводит к тому, что корпоративные системы безопасности не видят примерно половины кибератак, направленных на конечных пользователей внутри периметра. Это следует из результатов исследования угроз в сфере облачной безопасности компании Zscaler[6].
Злоумышленники с большой охотой используют SSL-шифрование, поскольку, как указывается в исследовании, теперь соответствующие сертификаты стало очень просто получить.
«По мере роста озабоченности конфиденциальностью данных возникла мощная тенденция к шифрованию интернет-трафика по умолчанию, — заявил старший технический директор и вице-президент Zscaler Амит Синха (Amit Sinha). — Для конфиденциальности это действительно великолепное решение, но для ИТ-безопасности это новая проблема. Расшифровка, исследование и перешифровка трафика — задача нетривиальная, у традиционных устройств защиты сетей она вызывает резкий спад производительности, и большинство организацией не имеют технической оснастки для инспектирования зашифрованного трафика в должных объемах».
По его словам, сегодня значительная часть киберугроз «доставляется» посредством шифрованного трафика, и системы безопасности организаций не видят более половины вредоносного ПО, которое направляется работникам этих организаций.
Россия — в топ-10 стран по числу валидных SSL
19 февраля 2019 года стало известно о том, что хостинг-провайдер и регистратор доменов REG.RU и удостоверяющий центр GlobalSign представили данные о лидирующих странах-пользователях SSL-сертификатов. Россия занимает 9 место в рейтинге, опережая Китай, Данию, Швейцарию и другие страны.
Как сообщалось, рынок информационной безопасности (ИБ) за последние несколько лет увеличивался стремительными шагами. Компании стали больше инвестировать в кибербезопасность, заключать больше контрактов. Глобальный рынок товаров и услуг в сфере цифровой безопасности растёт, в частности, SSL-отрасль. На мировом рынке количество сайтов, перешедших на безопасное соединение HTTPS, за последний год возросло в среднем в 2 раза. Подобная динамика касается как развитых, так и многих развивающихся стран.
Последние пять лет первенство по количеству сайтов, защищённых SSL, держат Северная Америка, Западная Европа и Япония. Это связано с исторически ведущей ролью, которую ИБ занимает в этих странах, а также с принятием криптографических алгоритмов RSA / SHA в качестве национальных, что позволяет, придерживаясь стандартов, внедрять ИБ-продукты быстрее, чем в тех странах, в которых имеются свои собственные криптографические стандарты и неопределенные правовые нормы в использовании SSL, как, например, в России, где существуют свои криптоалгоритмы ГОСТ.
Однако Россия сделала сильный рывок навстречу безопасному трафику: начиная с 2017 года количество защищённых сайтов с сертификатами увеличилось в 3 раза. На февраль 2019 года Россия занимает 9-е место в мировом рейтинге.
Прорывному скачку российского рынка SSL поспособствовало не только появление на нём разнообразных удостоверяющих центров, но и специальные программы. Например, начиная с 2015 года REG.RU и GlobalSign запустили выдачу SSL-сертификатов на 1 год в комплекте с доменом или хостингом в рамках программы популяризации SSL. У клиентов REG.RU появилась возможность бесплатно воспользоваться валидным SSL-сертификатом и на практике протестировать его работу. На февраль 2019 года с момента работы программы выдано более 300 тысяч сертификатов.
По данным аналитического ресурса StatOnline.ru, в январе 2019 года в зоне .RU были активны 896 тысяч SSL-сертификатов, а в .РФ — 98 тысяч, включая самоподписанные. Причём количество валидных SSL значительно превосходит количество невалидых — 880 тысяч сертификатов, выпущенных на домены в зоне .RU и .РФ.
В России на февраль 2019 года 3 лидера среди удостоверяющих центров по количеству выпущенных SSL в .RU: Let's Encrypt, COMODO CA Limited и GlobalSign. Значительный перевес Let's Encrypt обусловлен возможностью получать в этом УЦ бесплатные SSL-сертификаты сроком до 90 дней.
В .RU больше всего сертификатов со сроком действия менее года (80%) и 1 год (18%). Наиболее популярен формат использования одного SSL-сертификата для одного домена. Но мультидоменные сертификаты (SAN) тоже пользуются спросом.
В регионах Азии, Восточной Европы, Латинской Америки рост доли рынка SSL невысок, но стабилен. Это с уверенностью позволяет сказать, что положительный тренд перехода сайтов на HTTPS по всему миру сохранится и в ближайшие годы.
Можно упомянуть сразу несколько изменений, которые произошли в SSL-индустрии за последние годы и говорят в пользу продолжения роста доли безопасных сайтов: это повышение позиций HTTPS-сайтов в поисковой выдаче Google, пометка HTTP-сайтов как небезопасных в браузере Chrome, повышение спроса на сертификаты OV- и EV-уровня, сокращение максимального срока действия SSL-сертификатов с 3-х до 2-х лет, а также переход с устаревшего криптографического алгоритма хеширования SHA-1 на SHA-2. Дмитрий Рыжиков, исполнительный директор GMO GlobalSign Russia |
На февраль 2019 года, в эпоху цифровизации экономики и перехода в онлайн превалирующей части товаров и услуг, особенно важно заботиться о безопасности интернет-проекта и своих клиентах. SSL-сертификат — неотъемлемый элемент коммерческих проектов в Сети. Мы с нашим партнёром GlobalSign, будем и дальше предоставлять всем желающим на российском рынке доступный инструмент, в том числе SSL-сертификат на один год в комплекте с хостингом или доменом. Алексей Королюк, генеральный директор REG.RU |
2017
Comodo продала свой бизнес по выпуску SSL-сертификатов
Как стало известно в конце октября 2017 года, компания Comodo внезапно продала свой бизнес, связанный с выпуском сертификатов безопасности для веб-сайтов, крупной венчурной фирме — Francisco Partners, сосредоточенной на инвестициях в высокотехнологичные предприятия.[7] Сумма сделки не разглашается. Подробнее здесь.
Comodo до последнего времени являлся ведущим центром сертификации в мире. По утверждению самой компании, она выпустила 91 млн сертификатов и, по данным на ноябрь 2017 года, обслуживает 200 тысяч клиентов в 150 странах мира. По данным W3Techs, на долю Comodo приходится 38,7% рынка; компания обеспечивает SSL-сертификатами 16,6% всех сайтов в Сети.
Российский госстандарт шифрования
Власти РФ начали реализацию плана по введению цифоровых сертификатов шифрования (SSL). Поисковая система «Спутник» и портал госуслуг первыми перейдут на использование отечественных сертификатов шифрования.
Павел Храмцов, руководитель проекта «Нетоскоп», подтвердил информацию о создании госстандарта шифрования, которым активно пользуются в электронно-цифровых подписях.
Россия является «сертификатозависимой» страной. На сегодняшний день практически все российские сайты пользуются иностранными сертификатами SSL, которые легко могут отозвать иностранные организации.
Директор центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Массух отметил, что российские сертификаты необходимо внедрять постепенно. Во-первых, нужно обратить внимание на сервисы, которые хранят личные данные, юридическую информацию и финансовые транзакции[8].
Россия: число сайтов с SSL-сертификатами за год выросло в четыре раза
По данным аналитического сервиса StatOnline, в российских национальных доменных зонах количество сайтов, использующих SSL-сертификаты, за год выросло в четыре раза. В июле 2015 года в зоне .RU количество таких ресурсов составляло 109 тыс., в том же месяце 2016 года — 189 тыс., а в июле 2017 года — 531 тыс. Показатели зоны .РФ составляли 18 тыс., 21 тыс. и 65 тыс. соответственно. [9] При этом наиболее распространенным периодом действия SSL-сертификата является срок менее 1 года. Так, в зоне .RU число таких сертификатов составляет 82% от общего числа, а в зоне .РФ — 95%. Подробнее об этом можно прочитать здесь.
Google прекратит поддерживать SSL-сертификаты от Symantec
Начиная с октября 2018 Google полностью прекратит поддержку SSL-сертификатов, выданных компанией Symantec. Данное решение основано на результатах расследования деятельности центра сертификации (CA) компании Symantec.[10]
В 2016 году инженеры Google и Mozilla обнаружили, что Symantec нарушила правила, согласованные форумом CA/B Forum, регулирующим процедуры выдачи SSL-сертификатов. В марте 2017 года исследователи выявили нарушение компанией Symantec правил выдачи 127 SSL-сертификатов. По данному факту Google инициировала расследование, по ходу которого первоначальная оценка выросла до колоссальной цифры, превышающей 30 тыс. сертификатов.
Как результат, Google объявила о намерении постепенно удалить поддержку сертификатов Symantec в Chrome. Mozilla, Microsoft или Apple, будучи недовольными многочисленными нарушениями Symantec в части выдачи SSL-сертификатов, позволили Google возглавить расследование, которое длилось несколько месяцев.
Процесс выдачи SSL-сертификатов Symantec будет изменен
В Symantec отрицали результаты вышеназванного расследования, называя их «преувеличенными и вводящими в заблуждение», однако в итоге согласились на переговоры. В ходе переговоров стороны согласились на некоторые уступки и разделили весь процесс изменения выдачи сертификатов на 3 фазы.
Первая фаза — 1 декабря 2017 года. Symantec должна будет сотрудничать с другим СА, который, в свою очередь, будет выдавать SSL-сертификаты от имени компании. Таким образом, с технической точки зрения Symantec станет подчиненным центром сертификации (Subordinate Certificate Authority/SubCA), однако сможет выдавать новые SSL-сертификаты и сохранить своих клиентов.
Вторая фаза начнется с выходом браузера Chrome 66 (предположительно, в апреле 2018 года). Начиная с этой версии Chrome будет отображать ошибки для SSL-сертификатов Symantec, выпущенных до 1 июня 2016 года.
Третья фаза начнется с выпуском Chrome 70 (ориентировочно, октябрь 2018 года). Chrome перестанет доверять всем сайтам с SSL-сертификатами от Symantec, выпущенными до 1 декабря 2017 года. Владельцам веб-сайтов и другим разработчикам, использующим SSL-сертификаты от Symantec внутри своего приложения, придется обратиться к Symantec за новым SSL-сертификатом или связаться с другим поставщиком услуг.
GlobalSign лидирует на рынке SSL-сертификатов России по объему продаж
Компания GlobalSign стала лидером рынка SSL-сертификатов по объему продаж в России по данным компании Netcraft, опубликованным в статистическом отчете за июнь 2017 года. Доля рынка GlobalSign в отчетном месяце составила 48,74% против 26,26% и 16,52% у компаний WoSign и Symantec соответственно.[11]
По информации Netcraft, количество веб-сайтов, использующих SSL-сертификаты GlobalSign на российском рынке в июне 2017 года превысило 15 млн, что в 3 раза выше по сравнению с показателями июня 2016 года.
Управляющий директор российского офиса GlobalSign Реджи Оиши отметил: «Достичь положительной динамики роста продаж удалось благодаря открытию российской дочерней компании в 2013 году и активной её работе на протяжении последних лет. GlobalSign уделяет особое внимание поддержке клиентов, что позволяет оказывать полнофункциональную русскоязычную административную и техническую поддержку клиентам и партнерам. Мы также предлагаем клиентам гибкие условия и конкурентоспособные цены».
Аналитический отчет составлен с учетом веб-сайтов, использующих SSL-сертификаты признанных удостоверяющих центров, у которых общее имя компании (common name) в сертификате совпадало с hostname. В качестве subject country field фигурировала Российская Федерация. Самоподписанные сертификаты не учитывались в исследовании.
В целом, по оценкам Netcraft, за последние несколько лет наблюдается уверенная и положительная динамика роста SSL-рынка в России. Общий объем рынка сертификатов продолжает увеличиваться и составил 32,2 млн сертификатов в июне 2017 года.
«Доктор Веб»: приложения «банк-клиент», использующие протокол SSL v.2, небезопасны
В начале года в службу технической поддержки «Доктор Веб» поступили запросы пользователей продуктов компании, являющихся одновременно пользователями приложений «банк-клиент», использующих небезопасный протокол SSL v.2. В связи с этим «Доктор Веб» выпустила следующее разъяснение.
В связи с многочисленными уязвимостями в SSL v.2 использование данного протокола, а равно и приложений, его использующих, является небезопасным.
В частности, при использовании данного протокола возможны атаки типа «человек посередине» (MITM-атаки) и атаки, позволяющие изменить ход передачи данных. Используемый в SSL v.2 алгоритм хэширования MD5 на данный момент также скомпрометирован и не рекомендуется к использованию.
Как стало понятно из обращений пользователей Dr.Web в службу технической поддержки, приложения «банк-клиент» некоторых российских банков продолжают использовать небезопасный протокол SSL v.2. Сотрудники служб поддержки клиентов этих банков даже советовали нашим пользователям, испытывавшим проблемы при работе с банковскими приложениями из-за работы Dr.Web, деинсталлировать Dr.Web антивирус, подвергая денежные средства своих же клиентов серьёзному риску.
Компания «Доктор Веб» рекомендует пользователям небезопасных приложений обновить их. В случае невозможности обновления пользователи могут разрешить их использование, включая использование небезопасного протокола, в настройках продуктов Dr.Web.
Если вы принимаете решение об использовании системы «банк-клиент», поинтересуйтесь у банка безопасностью используемого в приложении протокола, и в случае использования SSL v.2 или SSL v.3 откажитесь от использования приложения.
2016
При выдаче SSL-сертификатов в РФ будут использоваться отечественные алгоритмы шифрования
Правительство РФ планирует отказаться от зарубежных средств шифрования и заменить их отечественными. В частности, разработанные в России алгоритмы шифрования будут использоваться при выдаче SSL-сертификатов. Данную позицию поддерживают Минкомсвязи и ФСБ, сообщает «КоммерсантЪ» со ссылкой на главу рабочей подгруппы «Интернет + суверенитет» при администрации президента Илью Массуха[12].
По словам эксперта, в РФ есть свои средства шифрования и готовые версии протокола TLS с использованием соответствующих ГОСТу криптографических алгоритмов. Как сообщил Массух, уже существуют бета-версии браузеров «Спутник» и «Яндекс» с использованием отечественных алгоритмов шифрования. Правда, представители «Яндекса» данную информацию опровергают.
Ранее уже сообщалось о рассмотрении администрацией президента РФ возможности создания государственного удостоверяющего центра (УЦ). По словам Массуха, выдачей SSL-сертификатов с разработанными в РФ алгоритмами шифрования будет заниматься удостоверяющий центр НИИ «Восход» или другой аккредитованный Минкомсвязи УЦ. В отечественных браузерах данные УЦ будут по умолчанию добавлены в список доверенных.
Как пояснил Массух, в первую очередь SSL-сертификаты с российскими алгоритмами шифрования от местного удостоверяющего центра будут использовать правительственные ресурсы и портал госуслуг. В связи с этим будут внесены изменения в Федеральный закон «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».
По словам гендиректора Qrator Labs Александра Лямина, использование на одном домене набора SSL-сертификатов, в том числе от российского УЦ, вполне возможно. Эксперт отметил, что с точки зрения национальной безопасности это весьма разумно, хотя и «отдает паранойей». Кроме того, местный УЦ может стать причиной атак «человек посередине», ведь каждый, у кого будет доступ к корневому сертификату, сможет перехватывать и расшифровывать передаваемые данные. В качестве примера Лямин привел случай с Китаем и Google. Из-за частых инцидентов с перехватом трафика компания даже планировала изъять сертификат местного УЦ из списка доверенных в браузере Chrome.
90% публичных SSL VPN-серверов используют ненадежное или устаревшее шифрование
Компания High-Tech Bridge провела исследование с целью выяснить текущее состояние дел на рынке SSL VPN-сервисов. Исследование проводилось с использованием бесплатного SSL-сканера, разработанного компанией.
Эксперты проверили 10 436 выбранных в случайном порядке общедоступных SSL VPN-серверов вендоров Cisco, Fortinet и Dell.
77% проверенных SSL VPN-серверов используют ненадежный протокол SSLv3, тогда как несколько десятков серверов применяют версию SSLv2. Ряд стандартов безопасности, в том числе PCI DSS или NIST SP 800-52 запрещает использование протокола SSLv3 в связи с наличием многочисленных уязвимостей.
Как оказалось, 76% SSL VPN-серверов используют недоверенные SSL-сертификаты. Данные сертификаты позволяют удаленному атакующему при помощи атаки «человек посередине» осуществить перехват трафика. 74% сертификатов подписаны с применением SHA-1, а 5% используют устаревший хеш-алгоритм MD5, показало исследование.
Согласно полученным данным, 41% SSL VPN-серверов используют цифровые сертификаты, содержащие ключи RSA длиной 1024 бита, а 10% серверов, поддерживающих OpenSSL, подвержены уязвимости Heartbleed. Как выяснилось, только 3% серверов соответствуют стандартам PCI DSS, однако ни один из проверенных серверов не соответствует требованиям Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST).
По итогам исследования только 3% проанализированных SSL VPN-серверов получили высшую оценку надежности SSL/TLS-шифрования, тогда как 86% заработали наименьший балл.
Смотрите также
Примечания
- ↑ Сайты ЦБ РФ, ПСБ не открываются по протоколу https из-за отозванных удостоверяющими центрами сертификатов
- ↑ У vtb.ru отозвали ssl-сертификат
- ↑ Пост Лукацкого
- ↑ Нецифровая экономика
- ↑ Россия в десятке стран по количеству валидных SSL
- ↑ Самое распространенное шифрование интернет-трафика делает пользователей беззащитными перед хакерами
- ↑ Comodo Sells SSL Business to Silicon Valley VC Firm for Undisclosed Amount
- ↑ Власти РФ начали внедрять отечественные SSL-сертификаты
- ↑ Число сайтов в рунете, работающих по протоколу HTTPS, увеличилось в четыре раза
- ↑ Google прекратит поддержку SSL-сертификатов от Symantec
- ↑ GlobalSign стал лидером на рынке SSL-сертификатов центров
- ↑ При выдаче SSL-сертификатов в РФ будут использоваться отечественные алгоритмы шифровани