Предстоящие изменения основных требований

Максимальный срок действия сертификата 39 месяцев: апрель 2015

Требование: Начиная с 1 апреля 2015 года, срок действия сертификатов ограничен 39 месяцами.

Важные события:

  • 30 Марта 2015: GlobalSign прекратил выпуск 4 и 5-летних сертификатов. Перевыпуск сертификатов ограничивается 39 месяцами. Это требование распространяется в том числе и на сертификаты в случае добавления или удаления SAN.

Максимальный срок повторного использования верификационной информации 39 месяцев: апрель 2015

Требование: Начиная с 1 апреля 2015 года, данные, использовавшиеся для проверки информация, содержащейся в сертификате, действительна в течение максимум 39 месяцев (касается как первоначального выпуска, так и продления сертификатов). При выпуске сертификатов, данные, использовавшиеся для проверки (данные об организации и принадлежности домена), должны быть более, чем 39-месячной давности. Если информация имеет большую давность, она должна быть повторно проверена до выпуска нового сертификата.

Важные события:

30 Марта 2015: GlobalSign ограничил срок действия сертификатов при перевыпуске до 39 месяцев.

Прекращение поддержки внутренних имен серверов: ноябрь 2015 г.

Требования: С 22 ноября 2011, CA/Browsers Forum ввел следующее основополагающее требование: "Удостоверяющие центры не должны выпускать сертификаты с окончанием срока действия позже 1 ноября 2015 года, если поле «SAN» или «Subject Common Name» содержит зарезервированный IP или внутреннее имя сервера. Начиная с 1 октября 2016, УЦ обязаны отозвать все действительные сертификаты, в которых поле «SAN» или «Subject Common Name» содержит зарезервированный IP или внутреннее имя сервера.

Важные события:

26 октября 2014 года: GlobalSign не допускает выпуск сертификатов, использующих внутреннее имя сервера.
31 октября, 2015 года: GlobalSign прекращает перевыпуск сертификатов, использующих внутреннее имя сервера.

Рекомендации:

Для получения подробной информации посетите:https://support.globalsign.com/customer/portal/articles/1467819

Прекращение поддержки SHA-1: Январь 2017 года.

Требование: Начиная с 1-го января 2017 г. Microsoft прекращает доверие SSL сертификатов c использованием шифрования SHA-1. В скором времени требование распространиться на сертификаты подписи кода и клиентские сертификаты удостоверяющих центров.

The CA/Browser Forum is actively discussing new Baseline Requirements which align with the Microsoft and Google policies which will prohibit SHA-1 SSL certificates from being valid past 31 December 2016. The planned effective date for this requirement is 16 January 2015. GlobalSign is continuing to participate in industry forms and will report on changes as they are announced so we can keep our customers up to date on any milestone changes.

Важные события:

  • 17 Ноября 2014: Максимальный срок действия SSL сертификатов GlobalSign с использованием SHA-1 будет изменен с 3-х лет до 1-го года.

  • 19 Декабря 2015*: GlobalSign прекращает выпуск сертификатов с использованием алгоритма хеширования SHA-1

  • Январь 2017*: GlobalSign больше не будет продлевать сертификаты SHA-1.

  • January 2017*: Microsoft преостановит доверие к SSL сертификатам, использующим SHA-1

  • *Если Microsoft изменит дату прекращения доверия с января 2017, GlobalSign может также пересмотреть связанные с ней даты предстоящих событий.

Google и Mozilla изменения

Браузер Chrome/Chromium компании Google будет вести себя по-разному в зависимости от версии и даты окончания SSL сертификата. Сертификаты SSL c использованием SHA-1 SSL, действительные до 1/1/2016 будут отображаться как недоверенные в Chromium 41. Более подробно читайте в блоге GlobalSign: Google отображает предупреждение сайтам, использующим сертификаты SHA-1

Mozilla будет выводить в браузере Firefox предупреждение о недоверии к сертификатам SHA-1 после 1-го января 2017 г.

  • Сертификаты истекающие 1-го января 2017: Предупреждение в браузере Firefox

  • Сертификаты истекающие 1-го января 2016: "Недоверенное соединение" сообщение будет отображаться в браузере Firefox

Более подробную информациюч читайте в блоге GlobalSign's: Mozilla выводит предупреждения безопасности для SHA-1

Обратите внимание:

Всем пользователям цифровых сертификатов настоятельно рекомендуется заказывать сертификаты, выпущенные с использованием алгоритма шифрования SHA-256 и убеждаться в отсутствии проблем с совместимостью данных сертификатов на уровне веб-клиентов и устаревших систем. В случае возникновения проблем с поддержкой алгоритма SHA-256, имеется возможность перевыпуска сертификата с использованием SHA-1.

Рекомендации:

Для получения подробной информации по переходу к использованию SHA-256 и проверки совместимости с серверами и приложениями, обращайтесь к ресурсу: {+}https://support.globalsign.com/customer/portal/articles/1447169+

Прозрачность сертификатов / Certificate Transparency (CT) (RFC 6962)

Требования:

Начиная с 1 февраля 2015 года, Google Chrome не будет отображать адресную строку зеленого цвета, подтверждающую использование SSL сертификатов класса EV в случае, если сертификат не отвечает требованиям Certificate Transparency (CT).

Понятие прозрачности сертификатов / Certificate Transparency (CT) является ключевым в проекте, продвигаемом Google для помощи корпоративным клиентам в обнаружении возможных ошибок выпуска сертификатов. Данная технология предполагает публикацию списка SSL сертификатов класса EV в официальных общедоступных списках. Данные списки могут быть использованы организациями для проверки на предмет корректности выпуска EV сертификатов для принадлежащих им доменов, и принятия необходимых корректирующих мер в случае обнаружения ошибок. Если EV SSL сертификат не поддерживает CT, браузер Chrome не будет отображать зеленую адресную строку, начиная с февраля 2015 года.

GlobalSign будет включать все выпускаемые публично видимые в Интернет EV SSL сертификаты в официальный реестр с 2014 года, с целью включения их в доверенный список Google CT. Те EV SSL сертификаты, которые не являются публично видимыми в сети Интернет, не будут включаться в данный список, за исключением заявки от конечного пользователя / владельца сертификата на такое включение. В случае, если потребуется добавить сертификат в доверенный список, он должен быть перевыпущен и будет добавлен в то же время. Начиная с января 2015 года, EV сертификаты будут опубликовываться для добавления в доверенный список СТ по умолчанию во время выпуска; однако, могут не включаться в случае, если владелец сертификата не желает этого (например, если сертификат используется строго внутри компании и содержит данные о критически важных используемых внутренних серверах). Страница заказа сертификатов GlobalSign и API будут обновлены соответствующим образом для предоставления пользователям возможности отказаться от включения EV сертификата в доверенный список Google CT в момент заказа сертификата.

Важные события:

  • Декабрь 2014: GlobalSign опубликует все видимые в сети Интернет EV SSL сертификаты в один или несколько официальных списков доверенных списков СТ.

  • Декабрь 2014: GlobalSign предоставит пользователям возможности отказаться от включения EV сертификата в доверенный список СТ черен страницу заказа сертификатов GlobalSign и API. По умолчанию, все выпускаемые EV SSL сертификаты буду совместимы с технологией Certificate Transparency.

Рекомендации: Продолжаете следить за новостями развития проекта Certificate Transparency (СТ).