Новые методы проверки сертификатов SSL

17.08.2020 Новости disabled comments

Новые методы проверки сертификатов SSL

Вы подаете заявку на получение сертификата SSL для проверки домена? Теперь, когда есть возможность подтвердить домен по электронной почте, разместить файл на сервере и использовать DNS TXT, пришло время для еще одного способа — проверки по телефону.

Что это такое и как этот метод должен работать?

Проверка прав домена

Сертификат SSL типа DV выдается для определенного домена или отдельных имен в нем. Необходимым условием выдачи SSL-сертификата является право собственности на защищаемый домен.

При подаче заявки на сертификат DV типа DV центр сертификации должен убедиться, что лицо/учреждение, подающее заявку на него, на самом деле является администратором домена и имеет на это право.

Проверка проводится одним из следующих методов:

Сообщение электронной почты

Центр сертификации отправляет авторизованное сообщение по электронной почте. Электронное письмо отправляется на адрес в домене, для которого должен быть выдан сертификат, например, admin@вашдомен.com.ua

Загрузка файла на сервер

Другой способ подтвердить права домена — разместить на сервере файл с необходимой информацией. Контент и точное место, где он должен быть размещен, предоставляется центром сертификации.

Запись TXT в зоне DNS

Метод заключается в создании записи TXT в файле DNS. Содержание записи предоставляется центром сертификации.

Также разработаны 2 новых метода проверки SSL-сертификатов:

Телефонный контакт

Проверка по телефону. Центр сертификации в отношении процесса регистрации домена сможет проверить данные пользователя в базе данных WHOIS и, таким образом, связываться с ним, чтобы проверить сертификат SSL.

Контактное лицо, включенное в базу данных и назначенное для данного домена, может таким образом подтвердить право на домен. В случае неудачной попытки связаться с CA (пропущенный вызов/отсутствие переадресации/голосовая почта) было предложено еще одно решение. Центр сертификации может оставить сообщение со случайным значением.

Это сообщение действительно в течение 30 дней. Если в течение этого времени Контактное лицо подтвердит подлинность домена, указав такое же случайное значение в ответном сообщении, он подтвердит его подлинность.

Однако этот метод вызывает много опасений в контексте GDPR. Контактные данные, отображаемые в WHOIS, то есть имя и номер телефона, присвоенные домену, считаются частной информацией. WHOIS может отказать в предоставлении таких данных. Тогда проверка домена с помощью этого метода может завершиться ошибкой.

Телефонный контакт с DNS TXT

По сравнению с предыдущим методом с использованием личных данных, этот, похоже, решает проблемы, связанные с GDPR. Контактный номер вводится как запись DNS TXT. Таким образом, номер телефона не привязан к имени человека. При создании новой записи она будет иметь вид «_ номер_проверки-телефона». Запись будет содержать действующий номер телефона, который соответствует требованиям RFC (набор технических и организационных документов, относящихся к компьютерной сети и Интернету). В случае неудачной попытки контакта процедура может следовать ранее описанному методу.

Дальнейшие изменения

Предлагаемые методы проверки сертификатов SSL — это только начало, до конца года планируется еще один способ — по телефону. Это позволит владельцу домена добавить номер телефона в запись CAA, связанную с доменом.

Подтверждение права на домен с помощью голосовой связи — следующий шаг в его реализации.

Web Push? Firefox говорит нет!

16.08.2020 Новости disabled comments

В январе Firefox (72) решил отключить всплывающие окна Web Push. Раздражающие чувства по отношению к ним выражали до 97% пользователей. Firefox, ради удобства пользователей, решил четко изменить способ работы Web Push-уведомлений.

Web Push. Что это такое?

Web Push — это уведомление, то есть короткие сообщения, отображаемые в веб-браузере с согласия пользователя. Это новый способ общения с подписчиками. Он вызывает столько же восхищения как и противодействия. Маркетинг закатывает рукава, чтобы изучить этот инструмент, в то время как пользователи осваивает методы их блокировки. Хотя в контексте нового средства связи с клиентом, без сбора контактной информации, Web Push является инструментом, заслуживающим внимания, однако в значительной степени, как подтверждают исследования Firefox, он используется для спама.

Напомним, что уведомления появляются в верхней части браузера. Запрос на разрешение отображения сообщения появляется при первом контакте пользователя с сайтом. После его утверждения, то есть нажатия кнопки «Разрешить», сайт может отправлять уведомления.

Firefox 72 говорит нет

Как пользователи реагируют на этот инструмент. Это вопрос, который задает себе Firefox. Эксперимент проводился на группе пользователей браузера. В апреле прошлого года Firefox наблюдал, как пользователи реагируют на уведомления.

В то время исследование однозначно сказало «нет» появлению Web Push! 99% отображаемых уведомлений не были приняты пользователями, и менее половины (48%) были отклонены. Оставшиеся 52% были закрыты выбором «не сейчас». Результаты очевидны. Если пользователь не желает дать согласие на использование Web Push в первый раз, он не сделает этого позже.

Web Push в новой версии

На основе эксперимента Firefox внес изменения в способ отображения Web Push с версии 72. Эффект? Всплывающие уведомления были ограничены. Появившиеся значки уведомлений заменили их. Они нашли место на панели браузера — прямо рядом со значком «висячий замок», символизирующим, что просматриваемый вами веб-сайт безопасен — у него есть сертификат SSL. Только в этот момент, после наведения курсора на значок, пользователь контактирует с уведомлением. Пользователь, который хочет присоединиться к базе подписчиков, должен будет щелкнуть видимый значок на панели браузера, а затем согласиться на получение сообщений.

Подписка на спам

Изменение, которое мы наблюдаем в браузерах по сравнению с версией 72, также является реакцией на пользовательский UX, и, с другой стороны, это сильный стимул для борьбы со спамом.

Ведь часто случалось, что в исходной версии появления Web Push-уведомлений пользователи по ошибке нажимали не ту кнопку. Это было настоящим праздником для киберпреступников. Можно смело сказать о методе «on Web Push». Один неверный щелчок — и на нашем компьютере может быть вредоносное ПО.

Chrome не отстает

Chrome также следует за Firefox. Браузер версии 80 также внес изменения, связанные с сообщениями. Уведомления стали «тише». Автоматическая блокировка push-уведомлений будет происходить в 2-х ситуациях. Первая связана с пользовательским опытом. Тем, кого постоянно трогают всплывающие сообщения, не придется делать это вручную, блокируя уведомления. По умолчанию блокировка включена. Вторая ситуация касается таких уведомлений, частота появления которых не кажется Chrome «привлекательной».

Революция Web Push стала реальностью. Комфорт и безопасность пользователя стали приоритетом для самых популярных браузеров. Как новый подход к Web Push повлияет на пользовательский опыт? Мы скоро это увидим.

Регистрация доменов .eu, связанных с COVID-19

14.08.2020 Новости disabled comments

Регистрация доменов .eu, связанных с COVID-19

Поскольку Европа борется с пандемией, EURid ужесточает правила регистрации доменов, имена которых относятся к COVID-19. По согласованию с Европейской комиссией он реализовал ряд дополнительных мер для защиты пользователей Интернета от неправомерного использования доменных имен, связанных с коронавирусом.

Увеличение числа регистраций доменов, связанных со словами «covid» и «вирус», стало фактом. Мы уж рассказали в нашем блоге, как их количество стремительно растет. Однако вызывает беспокойство тот факт, что количество мошенничества с коронавирусом и вредоносных веб-сайтов также растет. Поэтому EURid вносит изменения.

APEWS в новой редакции

APEWS — это система раннего предупреждения и предотвращения злоупотреблений, связанная с регистрацией домена. Основываясь на многих факторах, он может выявить сомнительные регистрации. Его задача одна — исключить и противодействовать использованию домена .eu в преступных целях. О его работе мы уже писали в нашем блоге.

Узнать больше об APEWS

Теперь EURid идет еще дальше. Он сообщает о дальнейших изменениях в системе APEWS. Пользователи, желающие зарегистрировать домен, содержащий ключевые слова, связанные с пандемией, должны будут пройти дополнительные проверки при регистрации существующих и новых доменных имен.

Интернет-мошенничество может размножаться с не меньшей скоростью, чем сам коронавирус. Вот почему мы решили внедрить модуль AI, который будет использоваться для фильтрации доменных имен .eu, которые из-за своего названия могут иметь оскорбительный потенциал.

Мы превентивно проверим регистрационные данные для этих доменов, и их подписчиков попросят заявить, что они зарегистрировали данное доменное имя в так называемом добросовестность.

В случае регистрации доменного имени, содержащего любое из ключевых слов, подлежащих особому надзору, регистранты должны будут подать дополнительную декларацию. В течение 7 календарных дней необходимо подтвердить, что зарегистрированный домен не будет использоваться не по назначению.

Контроль существующих доменов

Аналогичная ситуация касается и текущих подписчиков доменов .EU, связанных с COVID-19. Если у вас есть веб-сайт, и выясняется, что он меняет свои исходные цели и используется в сомнительных целях — EURid попросит вас предоставить соответствующее заявление. На это у вас будет 3 календарных дня.

Мы проведем дополнительные проверки как существующих регистраций, так и вновь зарегистрированных доменных имен, содержащих ключевые слова, связанные с текущей пандемией. По соображениям безопасности список ключевых слов не может быть открыт.

Если вас попросят предоставить декларацию, и вы не сделаете этого в течение отведенного времени, ваш домен будет приостановлен (он останется в базе данных реестра, но его услуги не будут работать). Абонент должен добросовестно подтвердить регистрацию домена. Как указывает EURid, в конечном итоге этот процесс будет автоматизирован.

Если EURid обнаружит, что зарегистрированный домен начинает превращаться в подозрительный сайт, в любое время эта информация будет отправлена ​​непосредственно в соответствующие органы.

Эти меры будут действовать до конца второго квартала 2020 года с возможностью продолжения.

Доменное расширение .app

13.08.2020 Новости disabled comments

Рынок новых доменов nTLD

Рынок новых доменов растет с каждым годом. Необычные наконечники становятся отличительной чертой и дополняют бренд. По состоянию на конец 2018 года их было более 26 миллионов. По состоянию на конец июня 2020 года их число превышало 33 миллиона. Самым популярным расширением среди nTLD является домен .icu, о котором мы писали в одной из наших статей (здесь).

Новые домены были официально зарегистрированы в 2014 году. Менее чем за 3 года до этого ICAN решила начать работу над их реализацией. Решение было продиктовано прежде всего головокружительной скоростью регистрации доступных расширений.

Не хватало бесплатных доменов, которые соответствовали бы ожиданиям пользователей.

Стоит ли регистрировать новые домены?

Самые привлекательные имена уже имеют подписчиков? Вы ищете имя, которое полностью отражало бы идентичность вашего бренда? Новые домены позволят вам создать не только запоминающееся имя, но и проинформировать ваших клиентов о характере услуг, предоставляемых на данном этапе развития вашей компании. Регистранты все чаще обращаются к оригинальным расширениям, которые позволят им выделить свое предложение. При регистрации новых доменов:

  • вы подчеркиваете свою индивидуальность и уже на этапе определения предметной области классифицируете сферу своего бизнеса,
  • вы выделяетесь оригинальным именем, которое эффективно позиционирует вас среди целевой группы,
  • вы открываете новые возможности для маркетингового общения с клиентами.

Персонализация у вас под рукой

Вы ищете хорошее имя? Адрес, который не только будет ассоциироваться с вашим брендом, но и надолго останется в сознании получателей? Важность роли домена в коммуникации иллюстрируется новым проектом, связанным с планированием путешествий, премьера которого состоится в ближайшее время. Использование броского расширения .app в сочетании с названием конкретного мероприятия выделит ваше предложение и привлечет внимание потенциальных пользователей.

Домен .app находится в фазе всеобщей доступности с 2018 года. Это специальное доменное расширение приложений.

Важно отметить, что .app — это первый домен, который будет включен в предопределенный список зашифрованных доменов HSTS. Это означает, что домены отображаются правильно только тогда, когда мы устанавливаем на них сертификат SSL.

Новые домены произвели революцию на рынке доменов и бросили новую тень на способ представления и продвижения вашего предложения. Благодаря широкому спектру доменов nTLD вы обязательно найдете расширение, предназначенное для вашей отрасли.

WAF 2.0: Повышаем безопасность веб-приложений и электронной почты

08.08.2020 Новости disabled comments

WAF 2.0: Повышаем безопасность веб-приложений и электронной почты

В RichHost мы всегда придаем особое значение безопасности. Недавно мы внедрили WAF 2.0 на наших серверах, который еще более эффективно фильтрует попытки взлома и спам на сайтах наших клиентов.

Все это (потому что собственных решений намного больше) делает наш хостинг еще безопаснее.

В наших решениях мы, конечно же, сосредоточились на самом популярном в мире скрипте для запуска веб-сайтов, то есть на WordPress. Наше программное обеспечение защищает, например, от жестких силовых атак или самых популярных типов SQL-инъекций. Интересно, что наша статистика показывает, что с момента внедрения новых функций мы ежедневно фиксировали тысячи попыток взлома и спама.

Программное обеспечение постоянно совершенствуется, поэтому обращайтесь в нашу компанию, чтобы исключить «ложные срабатывания», а также повысить его эффективность. Поэтому, если каким-то чудом сайт был взломан, свяжитесь с нами, и мы постараемся проанализировать логи и дополнительно усилить безопасность.

Домену .pl 30 лет

30.07.2020 Новости disabled comments

Домену .pl 30 лет

30 июля 1990 г. IANA (Internet Assigned Numbers Authority) представила домен .pl (ccTLD) для регистрации первых интернет-адресов годом позже. В настоящее время функцию реестра доменов выполняет NASK. Взгляните кратко, как развивалась наша национальная экспансия за эти годы.

Истоки домена .pl

Начало регистрации доменов .pl было связано с академическим сообществом. В том же году был создан первый веб-сайт в формате html, а через год из Варшавского университета в Копенгаген было отправлено первое электронное письмо. Первый зарегистрированный поддомен — .pwr.pl — принадлежит Вроцлавскому технологическому университету. Менее чем через несколько месяцев, в апреле 1991 года, были созданы следующие адреса: uj.edu.pl, ut.edu.pl или astrouw.edu.pl. Следуя страницам истории домена .pl, следует учитывать 2013 год — с этого момента домен pl стал IDN.

Интернационализированное доменное имя (IDN) — это термин для домена, в адресе которого используются диакритические знаки. Таким образом, зарегистрировав домен с поддержкой IDN, мы можем сохранить исходную формулировку имен, используя такие символы, как: ę, ą, ó, ś, ł, ż, ź, ć, ń. Стоит добавить, что NASK (реестр польских доменов) — первый реестр в Европе, а также один из первых в мире, кто запустил подобный сервис.

С начала 2020 года отключена возможность бронирования домена .pl сроком на 14 дней.

Сильная позиция домена

Домен .pl был основан в 1990 году, менее чем через 18 лет в нем зарегистрировано более 1 000 000 зарегистрированных интернет-адресов. В 2011 году это число удвоится. В настоящее время количество регистраций доменов .pl составляет 2 298 085, что ставит польский домен на 6 место в Европе и 10 место в мире среди домашних доменов. Сразу за Италией. Только в последнем квартале этого года в домене .pl было зарегистрировано 196 124 новых интернет-адреса. Это также было самым популярным и наиболее часто регистрируемым расширением в домене .pl в 2019 году.

Сделки, которые вошли в историю

Объем сделок на рынке доменов составляет от нескольких тысяч до нескольких десятков миллионов! Стремясь получить адрес, предприниматели готовы заключать контракты на восьмизначные суммы! Все, что угодно, чтобы стать подписчиком на Интернет-адрес своей мечты.

Одна из самых дорогих сделок в истории в мировом масштабе — это адрес lasvegas [.] Com, стоимость продажи которого достигла 90 000 000 долларов.

На польском рынке одной из самых крупных сделок была покупка сетью Play домена play.pl. Сделка была оценена в 2 000 000 злотых. Еще одна сделка, которая достигла семизначной суммы, — это покупка домена co.pl. Его оценили в один миллион злотых.

Спам 2020: варикоз, волшебный карандаш, очки и громкая связь…

08.06.2020 Новости disabled comments

Спам 2020: варикоз, волшебный карандаш, очки и громкая связь …

В последние недели прошла массовая рассылка спама по следующим темам: садовые шланги, комплекты громкой связи, очки для ночного вождения, мазь от варикозного расширения вен и мелки для удаления царапин с краски.

Эти сообщения хорошо подготовлены с технической стороны: в них правильно настроен DNS, и SpamAssassin, даже с ограничительными настройками, не может классифицировать их как нежелательные.

В richhost.org после многих часов работы мы нашли оптимальное решение, которое в значительной степени (то есть эффективность на уровне> 99%) фильтрует этот тип сообщений, отправляя только желаемые электронные письма в почтовые ящики наших клиентов.

Let’s Encrypt отзовет миллионы SSL-сертификатов

02.03.2020 Новости disabled comments

Центр сертификации Let’s Encrypt объявил, что в среду (4 марта 2020 г.) он отзовет 3 миллиона сертификатов SSL из-за ошибки CAA. Это может означать, что миллионы веб-сайтов, защищенных этими сертификатами, будут считаться незащищенными браузерами или станут недоступными.

[Обновлено 08.03.2020] Let’s Encrypt внес изменения. Запланированный отзыв сертификатов, который должен был состояться 4-5 марта, приостановлен. LE отменила действие так называемых сертификатов высокого риска. Для других срок годности будет сохранен.

Обновление 05.08.2020

Объявленные изменения частично отменены. Возможные нарушения и сбои, которые, как утверждают представители LE, могли негативно повлиять на пользователей и участников сети, стали причиной частичной отмены ограничений.

Let’s Encrypt якобы отозвал 3 миллиона сертификатов из-за ошибки CAA, которая повлияла на то, как его программное обеспечение проверяло право собственности на домен перед выдачей сертификатов. В некоторых ситуациях проверка записи CAA, которую необходимо выполнить перед выдачей сертификата, просто не проводилась.

Ошибка является шлюзом для хакеров, чтобы взять под контроль сертификат SSL на веб-сайте и позволить им подслушивать сетевой трафик и собирать конфиденциальные данные.

Описание ошибки

Ошибка: когда запрос сертификата содержал N доменных имен, которые требовалось перепроверить CAA, Боулдер выбрал одно доменное имя и проверил его N раз. На практике это означает, что если подписчик проверяет доменное имя в момент X, а записи CAA для этого домена в момент X разрешили выпуск Let’s Encrypt, этот подписчик сможет выдать сертификат, содержащий это доменное имя, на X + 30 дней, даже если кто-то позже установит записи CAA в это доменное имя, которые запрещают Let’s Encrypt выдавать сертификат.

Согласно Let’s Encrypt, ошибка была представлена ​​в Boulder — автоматизированной среде управления сертификатами LE — 25 июля 2019 года. Когда она была обнаружена, то есть в прошлое воскресенье, было создано исправление (патч).

По словам представителей Let’s Encrypt, решение проблемы пользователями не должно быть проблемой.

Мой сертификат работает?

Пострадавшие владельцы сертификатов, по данным Let’s Encrypt, должны были быть уведомлены по электронной почте о необходимости продления и замены сертификата до 4 марта.

Если проблема касается вас, вы не знаете, получили ли вы электронное письмо, вы не исправили ошибку на своей стороне, используйте инструмент, который — после ввода домена (без http, https) — проверит, использует ли ваш веб-сайт дефектный сертификат. Вы можете найти инструмент на https://checkhost.unboundtest.com/

Хром меняется. Конец загрузки HTTP-вложений со страниц HTTPS

15.02.2020 Новости disabled comments

Хром меняется. Конец загрузки HTTP-вложений со страниц HTTPS

Chrome вносит изменения. Элементы, использующие HTTP, будут постепенно блокироваться. Это следующий шаг в политике Google, который говорит «нет» смешанному контенту.

Политика безопасности Google

Google последовательно вносит ряд изменений, чтобы обеспечить безопасность и конфиденциальность пользователей. В первую очередь он сосредоточился на повышении осведомленности и обучении пользователей. Страницы, на которых не было «зеленого замка», и поэтому те, которые не были защищены сертификатом SSL, он помечает как Небезопасные.

На следующем этапе он начал проверять скорость страниц. Теперь он запрещает загрузку вложений HTTP со страниц HTTPS. Google объясняет, что, несмотря на то, что SSL-страницы были защищены в 90% случаев, некоторые элементы его содержимого являются проблемой. Отдельные объекты, такие как фотографии или видео, по-прежнему основаны на HTTP.

Политика безопасности Chrome

Начиная с версии 82 Chrome, он будет постепенно предупреждать вас о смешанном контенте на сайте и, следовательно, начнет блокировать его загрузку. Изменения вводятся постепенно, чтобы, как объясняет Chrome, убедиться, что можно предпринять соответствующие шаги, и минимизировать количество предупреждений, которые должны видеть пользователи.

Хром 82

В настоящее время Chrome не предоставляет информацию о ненадежных загрузках с сайтов, использующих HTTPS. Chrome 82 выпустит предупреждения о попытках загрузки исполняемых файлов, таких как .APK и .EXE, в апреле 2020 года. На панели мы увидим информацию о том, что файл «не может быть безопасно загружен».

Хром 83

С выпуском Chrome 83 в июне 2020 года исполняемые файлы будут заблокированы. Кроме того, Chrome предупредит вас об архивных файлах, таких как ZIP и .ISO.

Хром 84

В августе Chrome 84 начнет блокировать архивные файлы в дополнение к исполняемым файлам. Кроме того, он начнет предупреждать вас о загрузке файлов, кроме фотографий, аудио, видео и текста.

Хром 85

В сентябре 2020 года он начнет предупреждать о загрузке фотографий, аудио, видео и текста и начнет блокировать все другие типы файлов.

Хром 86

С октября 2020 года Chrome будет блокировать все файлы, загружаемые по http с сайтов, использующих HTTPS.

Изменения, которые Chrome постоянно разрабатывает и внедряет, нацелены на одно — на усиление безопасности и защиту конфиденциальности пользователей.

Бесплатный SSL сертификат

09.08.2018 Новости disabled comments

Бесплатные сертификаты Let’s Encrypt теперь доступны на Rich Host

С сегодняшнего дня нашим клиентам хостинга доступен бесплатный установщик сертификатов Let’s Encrypt. Благодаря этому любой пользователь может бесплатно защитить все свои интернет-домены с помощью SSL-шифрования всего одним щелчком мыши.

Бесплатные сертификаты Let’s Encrypt экономят не только деньги, но и время. В отличие от традиционных сертификатов, Let’s Encrypt устанавливается автоматически — практически никаких знаний об этом не требуется. Сертификаты выдаются на три месяца, но наша система следит за тем, чтобы они обновлялись до истечения срока их действия, поэтому не требуется никакого вмешательства со стороны пользователя не только во время активации, но и позже — в случае продления сертификата.

Несомненным преимуществом сертификатов Let’s Encrypt является то, что они распознаются практически всеми веб-браузерами, и для этого не требуется выделенный IP-адрес. Минус — отсутствие финансовых гарантий в случае взлома кода.

Однако обратите внимание, что весь проект Let’s Encrypt является некоммерческим и управляется внешними организациями (независимыми от нас), поэтому мы не можем гарантировать его непрерывность и правильную работу.