С момента внедрения SSL компанией Netscape в 1994 году цифровые сертификаты росли вместе со всем Вебом. Путем проб и ошибок, инноваций и корректировок SSL-сертификаты постоянно совершенствовались, чтобы отвечать самым строгим требованиям безопасности.
Сокращение срока действия SSL до одного года и удаление зеленой адресной строки с сертификатов Extended Validation – вот лишь некоторые из недавних изменений, которые были внесены Форумом CA/Browser Forum, чтобы опередить киберугрозы и сделать цифровое шифрование более предсказуемым. В мире центров сертификации изменения – единственная константа.
Поле Organizational Unit (OU) – это не то, что Вы напрямую ассоциируете с безопасностью SSL, тем более что оно с самого начала было частью процесса заказа SSL. Но теперь время поля OU подходит к концу, и CAs удалят его к концу августа 2022 года. Итак, что же стоит за удалением, казалось бы, доброкачественного поля? Чтобы получить полную картину, давайте выясним, каково было первоначальное предназначение поля OU.
Поля организационных единиц – краткий обзор
Каждый раз, когда Вы заказываете SSL-сертификат, Вы должны сгенерировать запрос на подписание сертификата (CSR) и заполнить поля с Вашими контактными данными в качестве части процесса проверки. В CSR указывается информация о Вашей компании, стране проживания и доменном имени, которое Вы хотите защитить. Среди полей, которые Вам необходимо заполнить, также есть поле Organizational Unit (Организационная единица). Вы можете ввести в него практически любые данные, и именно это делает его расплывчатым и вводящим в заблуждение.
Изначально поле OU должно было выступать в качестве поля-заполнителя, в котором компании могли бы размещать соответствующие данные о сертификате и о том, как он должен использоваться. Общепринятой практикой является включение справочных данных для выставления счетов, чтобы финансовый отдел знал, кто купил сертификат.
Если бы Вы следовали этому примеру, то в поле OU Вы бы написали что-то вроде “IT” или “Security”. Но ничто не мешает Вам ввести все, что угодно, от названий стран до мультяшных персонажей. Если штаб-квартира Вашей компании находится в США, но сертификатами управляет международный филиал, Вы можете написать что-то вроде “Франция” или “за границей”. И вот тут-то двусмысленность OU-файла может запутать пользователей.
Предположим, что одним из клиентов Вашей компании является Delta Air Lines. Если бы Вы включили его в поле OU, некоторые пользователи подумали бы, что сертификат принадлежит не Вашей организации, а Delta Air Lines. И хотя этот пример может показаться экстремальным, необязательный характер поля OU делает его склонным к путанице и неправильному толкованию – вещи, недопустимые в современной кибербезопасности.
Потенциальные лазейки в системе безопасности
SSL-сертификаты теперь являются обязательным требованием для всех типов сайтов. Компании используют сотни сертификатов, чтобы удовлетворить свои потребности в безопасности, но не все следуют лучшим практикам управления SSL. По данным Detectify Labs отчет в нем говорится, что использование этих сертификатов сопряжено с опасностью, которая “может привести к тому, что данные компании будут раскрыты или скомпрометированы злоумышленниками”.
Компания Detectify проанализировала более 900 миллионов SSL-сертификатов и выделила основные риски, связанные с SSL. В контексте области OU уместен следующий вывод:
“Аналитики обнаружили, что подавляющему большинству новых сертифицированных доменов были присвоены описательные имена. Это может показаться безобидным, но на самом деле может представлять опасность для деловой информации”.
Если сертификат выдается на стадии разработки, у конкурентов может быть достаточно времени, чтобы подорвать новые компании или продукты до того, как они выйдут на рынок. Но даже если Вы выбрали случайные строки, а не описательные продукты, случайный бит информации в поле OU, вводимый в процессе оформления заказа, может выдать некоторые Ваши секреты.
Время прощаться
Поскольку киберугрозы растут с каждым днем, центры сертификации работают сверхурочно, чтобы отладить и укрепить протоколы безопасности, регулирующие сертификаты SSL. Поскольку старые концепции и элементы устаревают, подход “меньше – значит больше” – это эффективный способ устранить путаницу и потенциальные лазейки для хакеров.
В конце девяностых и начале нулевых годов на рынке было всего несколько CA, а количество компаний, запрашивающих SSL, было значительно меньше. Изначально предполагалось, что немногие существующие центры сертификации будут проверяться браузерами вручную, что приведет к повышению уверенности в том, что центры сертификации делают все максимально безопасно. Но с появлением SSL-сертификатов эта задача становится все более сложной.
Проблема с полем OU заключается в том, что центры сертификации должны проверять и подтверждать личность субъекта сертификата в имени субъекта сертификата. С другой стороны, поле OU – это не совсем точное описание, хотя это и меньшая часть организации. У ЦС нет методов последовательной проверки меньшей части организации и подтверждения ее идентичности.
Жизнь после удаления поля OU
Итак, как же повлияет на компании удаление поля OU? Вот все, что Вам нужно знать о предстоящих изменениях:
- Чтобы соответствовать отраслевым стандартам, центры сертификации удалят поле Organizational Unit (OU) для всех публичных SSL-сертификатов к концу августа 2022 года.
- Это изменение не повлияет на ранее выданные сертификаты с действующим полем OU.
- Это не влияет на частные SSL-сертификаты или другие типы не-SSL сертификатов.
Заключение
Веб-технологии развиваются стремительными темпами, и вместе с ними киберугрозы становятся все более изощренными. Когда речь идет о шифровании в Интернете, регулирующие органы должны действовать на опережение и предугадывать уязвимости в системах, которые они регулируют.
Поле Organizational Unit не является критически важной частью общего процесса заказа SSL, и поэтому становится потенциальной угрозой. Его удаление – это простой способ избежать путаницы и увеличить время проверки.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10