GlobalSign начинает программу отзыва TLS сертификатов у российских доменов

Более десятка тысяч доменов находится под ударом после решения GlobalSign отозвать TLS/SSL сертификаты у российских доменов. Японский удостоверяющий центр в рамках исполнения новых требований CA/Browser Forum, который отвечает за соблюдение санкций, приступил к отзыву ранее выданных сертификатов. Отзыв стартовал вчера, 13 июня (ночью) и идет поэтапно. В данном случае речь идет о сертификатах, которые по результатам аудита больше не проходят по обновленным правилам.

Масштаб проблемы

По оценкам специалистов и открытым источникам на рынке сейчас под отзыв могут попасть от 15 до 20 тысяч доменов второго уровня в зоне ответственности российских компаний.

С учетом поддоменов речь может идти уже о сотнях тысяч или даже миллионах сертификатов, что грозит массовыми предупреждениями о небезопасном соединении в зарубежных браузерах и, очевидно, потенциальными проблемами с доступностью сервисов.

Какие последствия будут от решения GlobalSign отозвать сертификаты?

1. Для затронутых доменов браузеры начнут показывать предупреждения об ошибке сертификата или о небезопасном соединении, что может нарушить работу публичных сервисов - банкинга, API, внутренних порталов, а так же сервисов которые работают из-за рубежа.
2. Организациям придется оперативно переходить на другие УЦ, которые еще не попадают под такие ограничения, либо на отечественные центры сертификации.
3. Нарушение в работе систем эквайринга для интернет-магазинов, сервисов, сайтов услуг, госуслуг и т.д.
4. Некорректная работа зарубежных браузеров с российскими сайтами попавшими под санкции сертификации.

Как можно решить данную проблему?

1. Пройтись по всем своим ресурсам и убедится, что они имеют сертификата от GlobalSign. Открываем сайт и убеждаемся что ничего не упало с ошибкой о безопасности.

2. Если есть доступ к *nix терминалу, то можно явно запросить у GlobalSign
echo | openssl s_client -connect example.com:443 -servername example.com -showcerts 2>/dev/null | openssl x509 -noout -text
Посмотреть OCSP URL в выводе (строка OCSP-URI:), заем проверить статус:
# Получаем цепочку
echo | openssl s_client -connect example.com:443 -servername example.com -showcerts > chain.pem

# Первый сертификат (серверный) выдернуть при необходимости в отдельный файл
awk 'BEGIN{c=0}/BEGIN CERTIFICATE/{c++}{print > "cert" c ".pem"}' chain.pem

# cert1.pem – серверный, cert2.pem – промежуточный (обычно OCSP-сигнер)
openssl ocsp \
 -issuer cert2.pem \
 -cert cert1.pem \
 -url "OCSP_URL_ИЗ_СЕРТИФИКАТА" \
 -CAfile chain.pem \
 -resp_text -resp_out resp.der
В ответе будет good, revoked или unknown при отзыве GlobalSign статус сменится на revoked

3. Заменить сертификат на любой доступный. А так же уже стоит смотреть в сторону ГОСТ-сертфиикатов.

Какие есть альтернативы на данный момент для замены GlobalSign?

В первую очередь смотрим на DV-сертификаты, которые заказываются через ACME. Такие сертификаты есть как бесплатные, так и платные. Среди наиболее популярных бесплатных Let's Encrypt, он еще продолжает выдавать сертификаты, но уже внесли в свою политику определенные правки, которые создают риски подобного характера, мы уже об этом писали совершенно недавно.

Помимо Let's Encrypt есть ряд других сертификатов, которые можно рассмотреть для установки. Мы не будем здесь говорить о ГОСТ сертификате, так как это пока еще отдельная сфера и мы о ней уже писали. Поговорим о международных альтернативах.