В новый год с новыми SSL-ключами
С 31 декабря 2013 г. интернет-отрасль переходит к 2048-битному шифрованию веб-сайтов и онлайн-транзакций. С этого дня сертификационные центры прекратят выдачу 1024-битных сертификатов безопасности SSL.
Национальный институт стандартов и технологий (подразделение Министерства торговли США) пришел к заключению, что ключи длиной менее 2048 бит больше не обеспечивают надлежащего уровня защиты. Об этом говорится в опубликованном на сайте ведомства докладе.
Институт постановил, что все сертификационные центры должны прекратить выдачу 1024-битных сертификатов и отозвать любые сертификаты с ключами длиной менее 2048 бит начиная с 31 декабря 2013 г.
"Хотя до этой даты остается еще несколько месяцев, компания Symantec отзовет некоторые сертификаты уже в октябре 2013 г., для того чтобы помочь клиентам избежать возможных нарушений работы их веб-сайтов в период праздников", - пояснила пресс-служба cертификационного центра Symantec.
Крупнейшие игроки интернет-рынка уже начали готовиться к переменам. Так, еще летом этого года компания Google объявила, что начинает апгрейд своей инфраструктуры с переходом на 2048-битные ключи для SSL-сертификатов безопасности, в том числе корневого сертификата, который компания использует для подписи всех своих SSL-сертификатов.
По заверениям Google, задача стоит в усилении криптографической защиты HTTPS-соединений между серверами Google и компьютерами пользователей.
"Переход с 1024-битных на 2048-битные ключи будет завершен в течение ближайших нескольких месяцев, самое позднее — до конца 2013 г.", - подчеркивает пресс-служба интернет-компании.
Google считает, что после апгрейда сертификатов могут возникнуть проблемы на некоторых устройствах со старыми сертификатами SSL, в том числе на встроенных программах в телефонах, принтерах, телевизионных и игровых приставках и камерах.
Таким образом, интернет-компаниям необходимо провести обновления своих сертификатов.
"Непринятие необходимых мер в указанные сроки может привести к ряду негативных последствий: блокировке браузером доступа к вашему веб-сайту и незащищенности транзакций, осуществляемых через веб-сайт, - предупреждает Symantec. - Все это помешает посетителям осуществлять платежи и снизит доверие к сайту в целом. В список нефинансовых последствий входит причинение вреда имиджу компании, а также снижение числа клиентов".
Платежные системы, однако, постоянно проходят SSL-сертификацию, и новые ключи не составят проблем. Как на своем сайте отмечает Chronopay, платежная система проходит ежедневную проверку на все возможные уязвимости.