Блог

SSL уязвимости в мобильных приложениях на Android и IOS
(4.1)
SSL уязвимости в мобильных приложениях на Android и IOS В последнее время появилось достаточно много сообщений об уязвимостях в мобильных приложениях для Android и IOS, связанных с протоколом SSL/TLS. Предупреждения о возможной небезопасности мобильных приложений еще в прошлом году (2014) опубликовали компании CERT и FireEye. Открытый проект обеспечения безопасности веб-приложений (OWASP, сокращенно от Open Web Application Security Project) в 2014 году составил список топ-10 проблем в безопасности мобильных приложений, среди которых "недостаточная защита транспортного уровня" заняла третью позицию.

Приложения, не использующие SSL сертификат, - особенно уязвимы, учитывая тот факт, насколько просто можно прочитать или изменить информацию, передаваемую, например, через незащищенные хот-споты Wi-Fi. Но даже приложения, которые используют протокол SSL/TLS, должны осуществить надлежащую проверку, чтобы убедиться, что злоумышленники не смогут воспользоваться слабыми сторонами приложений.
Читать далее → Дата статьи 27.05.2020
EV SSL сертификаты для предприятий: преимущества расширенной проверки
(4.4)
EV SSL сертификаты для предприятий: преимущества расширенной проверки Согласно последнему опросу по информационной безопасности, 87% пользователей готовы сразу же доверить свою личную информацию сайту, если на нем установлен EV SSL – сертификат с расширенной проверкой. Так как все больше людей предпочитает делать покупки, делиться информацией, проводить банковские операции и проверять счета онлайн, необходимость в обеспечении Интернет безопасности также выросла. SSL сертификаты являются основой безопасности в сети.

SSL сертификаты с расширенной проверкой
(в английском варианте - Extended Validation Certificate или сокращенно просто EV) предоставляют дополнительный уровень защиты, так как для их получения необходимо пройти строго определенную процедуру проверки со стороны независимого третьего лица – центра сертификации. Учитывая то, сколько конфиденциальной информации находится в Интернете, EV SSL сертификаты не только позволяют завоевать доверие клиентов, но и являются незаменимым методом защиты информации, которой пользователи обмениваются в сети.
Читать далее → Дата статьи 27.05.2020
Печать доверия SSL повышает конверсию сайта
(3.7)
Печать доверия SSL повышает конверсию сайта По мере того, как Интернет все больше переплетается с нашей повседневной жизнью, растет и уровень цифрового мошенничества — и пользователю это прекрасно известно. Поставщики товаров и услуг должны завоевывать доверие своих потенциальных покупателей, и особенно это касается мира электронной коммерции: если нет доверия, нет и желания сделать покупку. Самый первый способ укрепления доверия покупателей – это заверить пользователя, что его данные надежно защищены. Если клиент видит, что владелец сайта делает все возможное для обеспечения безопасности его транзакций, то вероятность совершения покупки вырастает в разы.
Читать далее → Дата статьи 27.05.2020
Authenticode и цифровой ID подписи кода с сертификатом Comodo Code Signing
(3.71)
Authenticode и цифровой ID подписи кода с сертификатом Comodo Code Signing Процесс подписи кода сертификатом Comodo Code Signing выглядит следующим образом (более детальное описание процесса приведено ниже):
  • Издатель получает цифровой ID (идентификатор) для подписи кода от Comodo, в английском варианте его называют Code Signing Digital ID
  • Издатель создает код программы
  • Воспользовавшись утилитой SIGNCODE.EXE, издатель:
    • генерирует хэш код (это можно сделать, например, с помощью алгоритма MD5 или SHA)
    • шифрует хэш-код, используя свой приватный ключ
    • создает комплект, содержащий код, зашифрованный хэш кода и сертификат издателя
Читать далее → Дата статьи 27.05.2020
Переход с HTTP на HTTPS: как перевести сайт на HTTPS без потери позиций?
(4.52)
Переход с HTTP на HTTPS: как перевести сайт на HTTPS без потери позиций? С тех пор, как Google объявил о своем решении использовать HTTPS-шифрование как важный фактор SEO ранжирования, спрос на SSL сертификаты для безопасного соединения значительно вырос. Многие веб-разработчики и владельцы веб-сайтов, тем не менее, все еще в замешательстве относительно вопроса, как же правильно перевести сайт на HTTPS, чтобы это не навредило уже имеющимся позициям сайта. В этой статье мы поможем вам разобраться, что нужно для перехода на HTTPS, как правильно подготовить сайт и настроить перенос с HTTP на HTTPS.
Читать далее → Дата статьи 27.05.2020
Бесплатный SSL сертификат и проблема кражи данных
(4.5)
Бесплатный SSL сертификат и проблема кражи данных Установление подлинности и проверка личности – вот ответы на проблему доверия в Интернете.

Бесплатный SSL сертификат
предоставляет защищенное соединение, но не проверяет личность владельца веб-ресурса.
SSL сертификаты фактически стали стандартом доверия в Интернете. Они представляют собой настолько важную часть Интернет безопасности, что поисковая система Google решила использовать наличие защищенного HTTPS-соединения в качестве сигнала ранжирования. Теперь веб-сайты, которые защищают свое содержимое с помощью SSL сертификата, получают преимущество в поисковой выдаче по сравнению с сайтами, что открываются через простое HTTP-соединение. Пользователи также начали больше разбираться в вопросах безопасности, знают, как отличить защищенный веб-ресурс, и ожидают, что любой веб-сайт, запрашивающий конфиденциальную или личную информацию, будет показывать универсальный символ безопасности – закрытый замок. При отсутствии этого знака, они просто не будут вводить свои данные на сайте.
Читать далее → Дата статьи 27.05.2020
Смешанное содержимое HTTPS: как исправить блокирование смешанного контента?
(4.4)
Смешанное содержимое HTTPS: как исправить блокирование смешанного контента? Иногда возникает следующая ситуация: вы заказали доверенный SSL сертификат, прошли проверку центром сертификации, установили сертификат на сервер. Все сделали верно, но при попытке перейти на ваш ресурс, браузер выдает ошибку: «Не удалось загрузить сайт, заблокирована загрузка смешанного активного содержимого». Или же, как вариант, веб-сайт загружается, но вместо закрытого замка в адресной строке браузер показывает желтый треугольник и сообщает о том, что соединение зашифровано только частично. Причина этих проблем – смешанное содержимое или смешанный контент (в английском варианте - mixed content) на вашем сайте. Что же представляет собой смешанный контент? И, самое главное, как от него избавиться?
Читать далее → Дата статьи 27.05.2020
Как узнать безопасный Интернет магазин?
(4.23)
Как узнать безопасный Интернет магазин? Онлайн торговля все больше набирает обороты, постепенно приближаясь к пику своей популярности. По данным Акит суммарный оборот Интернет магазинов в прошлом 2014 году составил 713 млрд рублей, что на 31% больше, чем в предшествующем году.

Когда мы делаем покупки онлайн, наша личная информация - телефонные номера, домашние адреса, информация кредитных карт - передается по Интернету. Вся эта личная информация означает потенциальную прибыль для кибер-преступников, которые активируются, например, в сезоны праздников, заранее готовясь к увеличению трафика и онлайн-активности. Поэтому прежде, чем вы начнете делать покупки онлайн, важно понять, безопасно ли покупать на выбранном вами сайте. Как же определить безопасный Интернет магазин?
Читать далее → Дата статьи 27.05.2020
Приватный ключ SSL: как его создать и найти?
(4.4)
Приватный ключ SSL: как его создать и найти? Крайне важно, чтобы доступ к закрытому ключу SSL сертификата был полностью под вашим контролем. Если приватный ключ находится в безопасном месте и недоступен для посторонних лиц, это гарантирует безопасность личной информации всех пользователей вашего сайта. Если вы не знаете, где хранится ваш приватный ключ, в этой статье вы найдете информацию о том, где в случае необходимости его найти, как обеспечить его безопасность и как создать новый ключ, в случае утери или компрометации предыдущего.
Читать далее → Дата статьи 27.05.2020
SEO и SSL: влияние HTTPS на продвижение сайтов
(4.43)
SEO и SSL: влияние HTTPS на продвижение сайтов В августе 2014 года в Google объявили, что защищенное SSL соединение станет официальным сигналом для ранжирования веб-сайтов. Многие посчитали его пустословным и недостаточно взвешенным, полагая, что не все веб-сайты нуждаются в защите SSL сертификатом. Но большинство веб-мастеров все же интересовало, насколько глубоко это нововведение затронет SEO индустрию и каким будет влияние HTTPS на продвижение сайтов.

В марте 2015 года специалисты из компании Searchmetrics, которая занимается разработкой программного обеспечения для автоматизации SEO, исследовали ранжирование HTTPS сайтов и простых незащищенных сайтов, а также определили, насколько использование SSL сертификата может улучшить позиции в Google.
Читать далее → Дата статьи 27.05.2020
SSL Pinning: Защита мобильного банкинга на Android с помощью SSL сертификата
(4.01)
SSL Pinning: Защита мобильного банкинга на Android с помощью SSL сертификата Предположим, Вы хотите безопасно передать некоторую конфиденциальную информацию из Вашего мобильного приложения на сервер. SSL сертификат должен в этом помочь, не так ли? Все верно, но это только начало истории.

Нам очень часто приходится пересылать важные личные данные между мобильными приложениями в наших смартфонах и серверами, на которых находятся всевозможные сервисы, которыми мы пользуемся через смартфон. Возьмем для примера приложения мобильного банкинга. Естественно, никому бы не хотелось, чтобы какой-то хакер получил доступ к информации о банковском счете и, тем более, к деньгам его владельца. Безопасность имеет решающее значение для онлайн банкинга, поэтому действительно необходимо использовать SSL сертификат для приложений мобильного банкинга. Но здесь есть один момент, который следует иметь в виду.
Читать далее → Дата статьи 27.05.2020
SSL сертификаты для банков и финансовых учреждений
(4.06)
SSL сертификаты для банков и финансовых учреждений Банки, кредитные союзы, страховые компании и другие финансовые учреждения являются первыми целями для фишинговых атак и других видов мошенничества, направленных на хищение личных данных. В последнее время отмечается значительный рост мошеннических инцидентов в банковской сфере, и большинство из них связано именно с Интернет банкингом. С каждым днем спамеры становятся все более находчивыми, рассылая письма с мошенническими ссылками как бы от банков и кредитных учреждений. В связи с тем, что из года в год количество краж данных с использованием фишинга и социальной инженерии возрастает в разы, вопрос безопасности в Интернет банкинге становится актуальным, как никогда ранее.
Читать далее → Дата статьи 27.05.2020
Как защита персональных данных стимулирует потребительский интерес посетителей сайта?
(3.77)
Как защита персональных данных стимулирует потребительский интерес посетителей сайта? 50% пользователей утверждают, что безопасность информации – один из наиболее важных факторов, влияющих на их выбор продавца при совершении покупок онлайн. Учитывая значительно возросшее за последние несколько лет количество скандалов вокруг утечки личных данных, неудивительно, что снизилось доверие посетителей к веб-сайтам, на которых необходимо вводить информацию о себе. В то же время, этот недостаток доверия к способности компании обеспечить безопасность персональных данных клиентов представляет собой удобную возможность показать свой бизнес с другой стороны. В то время как большинство компаний считают необходимым обеспечивать защиту персональных данных при проведении финансовых транзакций онлайн, многие компании упускают возможность использовать защиту персональных данных в качестве маркетингового хода, в результате чего теряют потенциальных покупателей.
Читать далее → Дата статьи 27.05.2020
OCSP - протокол проверки статуса SSL сертификата
(3.92)
OCSP - протокол проверки статуса SSL сертификата OCSP (сокращенно от полного названия Online Certificate Status Protocol) представляет из себя Интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами. Вкратце протокол OCSP работает следующим образом: конечный пользователь посылает запрос серверу для получения информации о SSL-сертификате. В ответ он получает OCSP ответ, один из следующих вариантов:
Читать далее → Дата статьи 27.05.2020
Внимание: максимальный срок действия SSL сертификатов сокращен
(4)
Внимание: максимальный срок действия SSL сертификатов сокращен

С 1 марта 2015 года срок действия SSL сертификатов сокращен: теперь  заказать SSL сертификаты можно будет максимум на 3 года.

Согласно новым предписаниям Форума центров сертификации и браузеров (Certificate Authority/Browser (CA/B) Forum - организация, устанавливающая нормы в области сертификации SSL), с 1 марта 2015 года прекращается выпуск SSL сертификатов, срок действия которых достигает 4 и 5 лет. Это нововведение коснется всех SSL сертификатов, включая полный список продуктов Comodo, Thawte, RapidSSL, GeoTrust и Symantec, которые Вы можете приобрести в нашем магазине SSL сертификатов emaro-ssl.ru.

Читать далее → Дата статьи 27.05.2020
Отказ от SSL сертификатов для локальных доменов и IP адресов
(4.01)
Отказ от SSL сертификатов для локальных доменов и IP адресов Достаточно часто к нам  поступают запросы о том, как получить SSL сертификат для локального домена (.local) или для IP адреса. Если раньше отдельные типы SSL сертификатов можно было получить для IP адреса или внутреннего домена, то теперь это, к сожалению, уже невозможно. Заказ внутренних сертификатов, как Comodo IntranetSSL более невозможен, а мультидоменные сертификаты с поддержкой локальных доменов .local будут действительны только до 31-го октября 2015 года. Что касается ранее выпущенных SSL сертификатов для внутренних доменов и IP адресов, то 1 октября 2016 года они будут отозваны или заблокированы браузерами.
Читать далее → Дата статьи 27.05.2020
Верификация домена для получения SSL сертификата: альтернативные способы валидации
(4.06)
Верификация домена для получения SSL сертификата: альтернативные способы валидации Для получения любого SSL сертификата - от самого простого до SSL с зеленой строкой - самым главным и неизбежным является условие подтверждения заказчиком своего права доступа к домену, для которого он заказывает SSL сертификат. В оригинале эта процедура называется DCV, сокращенно от Domain Control Validation (что означает проверка права владения доменом или его управления).
Читать далее → Дата статьи 27.05.2020
Настройка прямой секретности на Apache, Nginx и OpenSSL
(3.59)
Настройка прямой секретности на Apache, Nginx и OpenSSL В нашей предыдущей статье мы вкратце описали особенности режима прогрессивной (прямой) секретности (forward secrecy) и упомянули некоторые моменты его настройки. Если Вы только знакомитесь с понятием прямой секретности, мы рекомендуем сначала прочитать тот пост. В этой же статье мы детально расскажем об особенностях конфигурации Apache, Nginx и OpenSSL под режим прямой секретности.

Читать далее → Дата статьи 27.05.2020
Прямая секретность или как достичь максимальной безопасности сайта
(4.01)
Прямая секретность или как достичь максимальной безопасности сайта В свете недавно раскрытых фактов массового слежения, ранее обделенная вниманием особенность SSL/TLS, известная как «прогрессивная или прямая секретность» (Forward Secrecy, FS), вдруг стала очень актуальной. Чем же так интересна и важна сегодня прямая секретность?

Читать далее → Дата статьи 27.05.2020
Отказ от SHA1. Переход на SHA256
(4.79)
Отказ от SHA1. Переход на SHA256 В последнее время все чаще встречается новость о том, что SHA1 - одна из наиболее популярных функций хеширования - на грани исчезновения. Алгоритм SHA1 был разработан в далеком 1995 году, а его первые слабые стороны обнаружили в 2005-м - почти 10 лет назад. Расчеты, проведенные два года назад, показали, что возможности взлома SHA1 значительно возросли. В связи с этим еще в ноябре прошлого года (2013) Microsoft заявил о том, что начиная с 2016 года компания полностью откажется от поддержки сертификатов, основанных на SHA1.

Читать далее → Дата статьи 27.05.2020
5 шагов к безопасному сайту с SSL
Заказать SSL сертификат
Создать CSR запрос
Пройти валидацию
Получить SSL сертификат
Установить SSL сертификат