en el

Εφαρμογή νέας πολιτικής στην προστασία του ιδιωτικού κλειδιού σε πιστοποιητικά Υπογραφής Κώδικα (Code Signing certificates)

Σύμφωνα με τα Baseline Requirements for the Issuance and Management of Publicly‐Trusted Code Signing Certificates του CA/B Forum και τη Δήλωση Διαδικασιών Πιστοποίησης της Υποδομής Δημοσίου Κλειδιού HARICA (CP/CPS), από 01-06-2023 η προστασία του ιδιωτικού κλειδιού των πιστοποιητικών Υπογραφής Κώδικα Non EV (Code Signing certificates Non EV) απαιτείται να γίνεται σε κρυπτοσυσκευές ή HSMs (hardware security modules) με, κατ’ ελάχιστα standard ασφάλειας FIPS 140‐2 level 2 or Common Criteria EAL 4+, ακολουθώντας τις απαιτήσεις που ήδη υπήρχαν για τα αντίστοιχα πιστοποιητικά σε επίπεδο επαλήθευσης EV.

Η εφαρμογή της νέας πολιτικής βελτιστοποιεί την προστασία των ιδιωτικών κλειδιών και αναβαθμίζει την ασφάλεια των πιστοποιητικών υπογραφής κώδικα.

Ποιες είναι οι αλλαγές στην πολιτική των πιστοποιητικών Υπογραφής Κώδικα;

Από 01-06-2023 η HARICA θα εκδίδει όλα τα πιστοποιητικά υπογραφής κώδικα αποκλειστικά σε κρυπτοσυσκευές (token).

Εάν ο ενδιαφερόμενος θέλει να χρησιμοποιήσει δική του κρυπτοσυσκευή, αυτή θα πρέπει να πληροί, κατ’ ελάχιστον, τα standard ασφάλειας FIPS 140‐2 level ή Common Criteria EAL 4+.

Τα αιτήματα υποβάλλονται στο portal cm.harica.gr και η κρυπτοσυσκευή θα αποστέλλεται ταχυδρομικά, εφόσον χρειαστεί, στην ταχυδρομική διεύθυνση που θα δηλωθεί από τον ενδιαφερόμενο.

Θα θέλαμε να τονίσουμε ότι η HARICA διατηρεί τις τιμές της σταθερές τόσο στο κόστος του πιστοποιητικού υπογραφής κώδικα όσο και στο κόστος της κρυπτοσυσκευής.

Τι ισχύει για όσα πιστοποιητικά υπογραφής κώδικα έχουν εκδοθεί πριν την 01-06-2023;

Όσα πιστοποιητικά υπογραφής κώδικα έχουν εκδοθεί πριν την 01-06-2023 εξακολουθούν να ισχύουν μέχρι τη λήξη τους, χωρίς να απαιτείται οποιαδήποτε ενέργεια από τους συνδρομητές. Οι αλλαγές αφορούν μόνο τα πιστοποιητικά που θα εκδοθούν από την 01-06-2023 και έπειτα.

Πώς θα γίνονται οι ανανεώσεις των πιστοποιητικών υπογραφής κώδικα μετά την 01-06-2023;

Όσα πιστοποιητικά υπογραφής κώδικα έχουν αγορασθεί τα έτη 2022 και 2023 για πλέον των τριών (3) ετών και η ανανέωσή τους προκύπτει μετά την 01-06-2023, η HARICA θα εκδώσει τα πιστοποιητικά σε κρυπτοσυσκευές χωρίς επιπλέον κόστος για τον συνδρομητή.

Έχετε επιπλέον ερωτήσεις ή απορίες;

Εάν έχετε ερωτήσεις ή χρειάζεστε περισσότερες πληροφορίες, παρακαλούμε επικοινωνήστε με το τμήμα υποστήριξης της HARICA στο support@harica.gr.

Ρυθμίσεις στον Adobe Acrobat για επικύρωση υπογραφών

2022-11-07 HARICA Support

Η απόφαση 2015/1506/ΕΕ σύμφωνα με τον κανονισμό (ΕΕ) 910/2014 (επίσης γνωστός ως eIDAS) έχει ορίσει έναν αριθμό από προφίλ (π.χ. PAdES, XAdES κ.λπ.) για να διασφαλίσει ότι οι ηλεκτρονικές υπογραφές μπορούν να δημιουργηθούν και να επικυρωθούν οπουδήποτε στην Ευρώπη.

Όταν ένας χρήστης εκτελεί μια διαδικασία υπογραφής με τον Acrobat και προσπαθεί να επικυρώσει την υπογραφή αργότερα χρησιμοποιώντας ένα λογισμικό επικύρωσης υπογραφής όπως το DSS (Digital Signature Service) WebApp, είτε μετά τη λήξη ή την ανάκληση του πιστοποιητικού, η επικύρωση αποτυγχάνει.

Αυτό συμβαίνει επειδή η προεπιλεγμένη συμπεριφορά του Acrobat δεν είναι σύμφωνη με το προφίλ PAdES (PDF Advanced Electronic Signature). Οι προεπιλεγμένες ρυθμίσεις του δεν περιλαμβάνουν το υποχρεωτικό χαρακτηριστικό “message-digest” (και άλλα υπογεγραμμένα χαρακτηριστικά) που επιβάλλεται από την προεπιλεγμένη πολιτική επικύρωσης DSS.

Ο Acrobat προσφέρει μια διαφορετική επιλογή υπογραφής που περιέχει το χαρακτηριστικό “message-digest” και περνά με επιτυχία την επικύρωση από την εφαρμογή DSS αλλά χρειάζεται ο χρήστης να αλλάξει τις προεπιλεγμένες ρυθμίσεις της εφαρμογής.

Για να γίνει αυτό, ο χρήστης πρέπει να ανοίξει τα «Creation & Appearance Preferences» του Acrobat και να επιλέξει το CAdES-Equivalent ως Default Signing Format.

Τέλος, συνιστάται ιδιαίτερα να είναι επιλεγμένο το checkbox “Include signature’s revocation status” ώστε η υπογραφή να είναι ενεργοποιημένη κατά LTV (Long Term Validation).

Signature Validation

Επιτεύγματα της HARICA

2022-06-15 HARICA HARICA

Sky is the limit

Όλοι εμείς που εργαζόμαστε και συνεργαζόμαστε εμπλεκόμενοι στις υπηρεσίες του «Εγκεκριμένου Παρόχου Υπηρεσιών Εμπιστοσύνης» HARICA, μοιραζόμαστε μια κοινή φιλοσοφία που συνοψίζεται στα λόγια του Henry Ford «Εάν όλοι κινούνται προς τα μπρος συγχρονισμένα, τότε η επιτυχία έρχεται από μόνη της».

Πριν από λίγα χρόνια, όταν αποφασίσαμε να διευρύνουμε τις δραστηριότητές μας και να παρέχουμε τις υπηρεσίες μας εκτός των ακαδημαϊκών ορίων, δεν φανταζόμασταν ότι μέσα σε τόσο σύντομο χρονικό διάστημα θα είχαμε την τιμή και την χαρά να συνεργαζόμαστε με κορυφαίους οργανισμούς, δημόσιους και ιδιωτικούς στην Ελλάδα, στην Ευρώπη αλλά και στον υπόλοιπο κόσμο.

Η ψηφιακή πλατφόρμα gov.gr του Υπουργείου Ψηφιακής Διακυβέρνησης εκδίδει εκατομμύρια ψηφιακά έγγραφα, όπως πιστοποιητικά εμβολιασμού Covid, υπεύθυνες δηλώσεις και εξουσιοδοτήσεις με την Ηλεκτρονική Σφραγίδα της HARICA ενώ το Κεντρικό Σύστημα Ηλεκτρονικής Διακίνησης Εγγράφων (Κ-ΣΗΔΕ) παρέχει τις Εξ αποστάσεως Εγκεκριμένες Ηλεκτρονικές Υπογραφές της HARICA σε Δημοσίους Υπαλλήλους σύμφωνα με τον κανονισμό eIDAS. Η ψηφιακή πλατφόρμα Διαύγεια χρησιμοποιεί πιστοποιητικά της HARICA για την ανάρτηση πράξεων των κυβερνητικών και διοικητικών οργάνων της. Oι ηλεκτρονικές υπηρεσίες του Ενιαίου Φορέα Κοινωνικής Ασφάλισης (e-Efka) χρησιμοποιούν την ηλεκτρονική σφραγίδα και τα πιστοποιητικά εξυπηρετητών της HARICA. Η ΕΥΑΘ μας εμπιστεύτηκε τις Εγκεκριμένες Ηλεκτρονικές Υπογραφές και τα ψηφιακά πιστοποιητικά (S/MIME) για το σύνολο των εργαζομένων της.

Το Συμβούλιο της Επικρατείας, Διοικητικές Περιφέρειες της Ελλάδας, το Υπουργείο Εργασίας Κύπρου, Δήμοι, επαγγελματικά Επιμελητήρια, η Ολομέλεια Δικηγορικών Συλλόγων, συμβολαιογραφικοί σύλλογοι, ευρωπαϊκοί οργανισμοί όπως η EU Agency for the Cooperation of Energy Regulators (ACER), η CEDEFOP, καθώς και ιδιωτικές εταιρείες όπως BETA CAE, η KLEEMANN και η SPACE HELLAS είναι μεταξύ των εταιρειών που μας εμπιστεύτηκαν για την ασφάλεια των ψηφιακών τους υπηρεσιών.

Κολοσσοί κοινωνικών και ειδησεογραφικών δικτύων όπως το Facebook χρησιμοποιούν τα wildcard πιστοποιητικά της HARICA για τους ιστοχώρους τους, παρέχοντας κρυπτογραφημένη σύνδεση και ασφάλεια στα δεδομένα τους στα δισεκατομμύρια των χρηστών που τους επισκέπτονται καθημερινά.

Στο απαιτητικό πεδίο των ηλεκτρονικών υπηρεσιών πληρωμών εκδίδουμε ψηφιακά πιστοποιητικά PSD2 σύμφωνα με την Ευρωπαϊκή οδηγία Payment Services Directive 2 (PSD2) και τον Κανονισμό 910/2014 (eIDAS), παρέχοντας το μέγιστο επίπεδο ένδειξης ασφάλειας. Γι’ αυτό και τραπεζικά ιδρύματα όπως η ALPHA BANK η OPTIMA BANK και εταιρείες τύπου Third-party Payment Provider (TPP) , όπως η CARDLINK, η MIA PAGO Ltd, η Perlas Finance, η Money Capp, εμπιστεύονται την HARICA για την ασφάλεια των ηλεκτρονικών συναλλαγών τους.

Τα επιτεύγματά μας δεν μας εφησυχάζουν, συνεχίζουμε με την ίδια όρεξη, τον ίδιο ενθουσιασμό αλλά με περισσότερη γνώση και εμπειρία, βελτιώνοντας και διευρύνοντας τις παροχές εμπιστοσύνης της HARICA, γιατί για εμάς “only sky is the limit”.

Σας ευχαριστούμε!

Νέα ιεραρχία έκδοσης Πιστοποιητικών SSL/TLS 2021 της HARICA

Είμαστε στην ευχάριστη θέση να ανακοινώσουμε ότι, την 1η Ιουνίου 2022, η HARICA θα μεταβεί στις Αρχές Πιστοποίησης TLS Root 2021 για την έκδοση πιστοποιητικών SSL/TLS.

Τόσο η HARICA TLS RSA Root CA 2021 όσο και η HARICA TLS ECC Root CA 2021 είναι ήδη προεγκατεστημένες σε λειτουργικά συστήματα Windows καθώς και στο macOS 12 παρέχοντας το απαραίτητο σημείο εμπιστοσύνης (trust anchor) για Google Chrome, Microsoft Edge και άλλα δημοφιλή προγράμματα περιήγησης στο Διαδίκτυο. Επιπλέον, ο Mozilla Firefox έχει ενημερώσει το Certificate Store του με τις νέες RootCA της HARICA.

Για παλαιότερα λειτουργικά συστήματα και προγράμματα περιήγησης, η HARICA εξέδωσε δύο επιπλέον πιστοποιητικά δια-πιστοποίησης (cross-certificates) ώστε να συνδέσει την ιεραρχία της 2021 με την παλαιότερη της 2015 για αυξημένη συμβατότητα.

Τα HARICA TLS Root 2021 ECC και RSA cross-certificates μπορούν να χρησιμοποιηθούν από τους συνδρομητές μας στα αρχεία της αλυσίδας πιστοποιητικών τους, για να καλύψουν την πλειονότητα των προγραμμάτων περιήγησης ανεξάρτητα από την έκδοσή τους.

Εξ αποστάσεως Εγκεκριμένη Ηλεκτρονική Υπογραφή με έκπτωση 50%

2021-11-29 eSignatures HARICA

ΕΝΗΜΕΡΩΣΗ

Έπειτα της υψηλής ζήτησης για ηλεκτρονικές υπογραφές, η HARICA αποφάσισε να παρατείνει την περίοδο της έκπτωσης έως τα τέλη Φεβρουαρίου 2022.

Γιατί να χρησιμοποιήσετε Εγκεκριμένη Ηλεκτρονική Υπογραφή;

Χρησιμοποιήστε την ηλεκτρονική υπογραφή για να υπογράψετε ηλεκτρονικά έγγραφα (PDF) και να εξασφαλίσετε την αυθεντικότητα και την ακεραιότητα του περιεχομένου τους. Από τη στιγμή που έχει την ισχύ νομικής δέσμευσης (δια-συνοριακά στην Ευρωπαϊκή Ένωση) μπορείτε να χρησιμοποιήσετε την ηλεκτρονική υπογραφή σε:

  • Συμβόλαια (πωλήσεις, εργασία, ενοίκια, ασφάλιση, κ.α.)
  • Συναλλαγές (ηλεκτρονικό εμπόριο, τραπεζικές, διαγωνισμοί, κ.α.)
  • Διοικητικές διαδικασίες (αιτήσεις προς δημόσιους φορείς, κ.α)

Πληροφορίες προσφοράς

Η προσφορά ισχύει από 1/12/2021 έως και 31/01/2022 και αναφέρεται σε επαγγελματικούς κλάδους, π.χ. μηχανικούς, δικηγόρους, συμβολαιογράφους, κ.α. Αφορά την απόκτηση Εξ αποστάσεως Εγκεκριμένης Ηλεκτρονικής Υπογραφής με διάρκεια ισχύος 1-4 έτη.

Λήψη προσφοράς

Ο ενδιαφερόμενος θα χρειαστεί πρώτα να έρθει σε επαφή με το support@harica.gr δηλώνοντας τα επαγγελματικά του στοιχεία. Στη συνέχεια του χορηγείται κουπόνι έκπτωσης 50%, το οποίο μπορεί να χρησιμοποιήσει κατά την ολοκλήρωση της παραγγελίας.

Το δικό μας Success Story

2021-04-25 HARICA HARICA

Αρκετά χρόνια πριν, γεννήθηκε μια ιδέα για ένα καινοτόμο για την εποχή εγχείρημα που βασίστηκε στην ανάγκη για αυξημένα μέτρα προστασίας/ασφάλειας ως προς την κρυπτογράφηση των επικοινωνιών πάνω από μη ασφαλή δίκτυα, όπως το Διαδίκτυο.

Μια ομάδα μηχανικών Πληροφορικής και Επικοινωνιών από διάφορα Ελληνικά Πανεπιστήμια και Ερευνητικά Κέντρα συνεργαστήκαμε και δημιουργήσαμε μια Υποδομή Δημοσίου Κλειδιού (Public Key Infrastructure – PKI) που εξυπηρετούσε και κάλυπτε τις ανάγκες ασφάλειας των Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων της Ελλάδας σε πιστοποιητικά διακομιστών SSL/TLS και S/MIME. Το εγχείρημα πέτυχε και στην πορεία οι υπηρεσίες μας εμπλουτίστηκαν, καλύπτοντας τις ολοένα αυξανόμενες ανάγκες των Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων. Δεν σταματήσαμε όμως εκεί. Θελήσαμε να προσφέρουμε τις υπηρεσίες μας και εκτός Ακαδημαϊκής/Ερευνητικής κοινότητας.

Έτσι δημιουργήσαμε την Αρχή Πιστοποίησης των Ελληνικών Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων (HARICA), η οποία αρχικά στηρίχθηκε από το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας (GRnet) και στη συνέχεια με χρηματοδότηση από την αστική, μη-κερδοσκοπική Εταιρεία, Ακαδημαϊκό Διαδίκτυο (GUnet). Ξεκινήσαμε ως Δημόσια Έμπιστη Αρχή Πιστοποίησης στο πρόγραμμα εμπιστοσύνης της Mozilla που ακόμα και σήμερα αποτελεί το αυστηρότερο και καλύτερα εποπτευόμενο Διεθνές πρόγραμμα εμπιστοσύνης Αρχών Πιστοποίησης, και σταδιακά ενταχθήκαμε και στα υπόλοιπα μεγάλα προγράμματα εμπιστοσύνης.

Σήμερα, μετά από σχεδόν 15 χρόνια, η HARICA είναι μια Διεθνώς “Έμπιστη Τρίτη Οντότητα” (Trusted Third Party) που συμμετέχει ταυτόχρονα στα μεγαλύτερα διεθνή “ROOT CA” προγράμματα εμπιστοσύνης (360, Adobe, Apple, Microsoft, Mozilla, Oracle) με αποτέλεσμα να λειτουργεί ως “σημείο εμπιστοσύνης” (Trust Anchor) σε Διεθνείς οίκους λογισμικού και Λειτουργικά Συστήματα (Adobe, Apple, Google, Microsoft, Mozilla, Linux, Oracle Java).

Σήμερα οι υπηρεσίες της HARICA καλύπτουν όλο το εύρος των αναγκών σε ψηφιακά πιστοποιητικά και χρονοσημάνσεις:

  • από το βασικό επίπεδο ασφάλειας σε εξυπηρετητές SSL/TLS ιδιωτών, επιχειρήσεων και οργανισμών
  • έως το μέγιστο επίπεδο ένδειξης ασφάλειας μεγάλων οργανισμών (SSL EV, SSL QWAC, SSL QWAC-PSD2) καλύπτοντας πλήρως τις απαιτήσεις του Κανονισμού (ΕΕ) 910/2014 (eIDAS) και της Οδηγίας (ΕΕ) 2015/2366 για την Υπηρεσία Πληρωμών (PSD2).

Παρέχουμε σε ιδιώτες, επιχειρήσεις και οργανισμούς:

  • S/MIME, πιστοποιητικά για την ψηφιακή υπογραφή και κρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου
  • Code Signing, πιστοποιητικά που χρησιμοποιούνται για ψηφιακή υπογραφή λογισμικού
  • E-Signature, «Εγκεκριμένες» (Qualified) Ηλεκτρονικές Υπογραφές, οι οποίες αντικαθιστούν την ιδιόχειρη υπογραφή αλλά και «Προηγμένες» (Advanced) Ηλεκτρονικές Υπογραφές και
  • E-Seal, ηλεκτρονικές σφραγίδες Νομικών προσώπων, οι οποίες, όπως η φυσική σφραγίδα στο συμβατικό κόσμο, έχουν την έννοια της νομικής δέσμευσης του περιεχόμενου του ψηφιακά σφραγισμένου εγγράφου.

Και συνεχίζουμε με τον ίδιο ενθουσιασμό, πιο δομημένοι και πιο έμπειροι βελτιώνοντας τις υπηρεσίες μας και εμπλουτίζοντας τις παροχές μας προσφέροντας περισσότερη ασφάλεια στον ψηφιακό μας κόσμο.

Καλές πρακτικές για τη χρήση δημοσίως έμπιστων πιστοποιητικών της HARICA

2020-11-30 HARICA Support

Αγαπητοί συνδρομητές της HARICA,

Πρόσφατα διαπιστώσαμε ότι ορισμένα σημεία της Πολιτικής Πιστοποίησης/Δήλωση Διαδικασιών Πιστοποίησης, που σχετίζονται με την Ανάκληση Πιστοποιητικών, δεν έχουν αποσαφηνιστεί επαρκώς στους Συνδρομητές μας. Αυτό το άρθρο επιχειρεί να περιγράψει ορισμένες «καλές πρακτικές» για Συνδρομητές και κάποιες, προς αποφυγή, προκειμένου να βελτιωθεί η συνολική ασφάλεια της χρήσης «Δημόσιων-Έμπιστων» Ψηφιακών Πιστοποιητικών προς όφελος των Βασιζόμενων Μερών (Relying Parties), διεθνώς.

Βάσει της παραγράφου 4.9.1 Συνθήκες για ανάκληση της Πολιτικής Πιστοποίησης/Δήλωσης Διαδικασιών Πιστοποίησης HARICA, από τη στιγμή που γίνει αντιληπτό ή υπάρξει ενημέρωση για πρόβλημα σε Πιστοποιητικό, ο Συνδρομητής πρέπει να ενημερωθεί άμεσα. Η HARICA πρέπει, υπό συγκεκριμένες συνθήκες, να ανακαλέσει οποιοδήποτε Πιστοποιητικό Συνδρομητή μέσα σε είκοσι τέσσερις (24) ώρες ή σε ένα διάστημα πέντε (5) ημερών, ανάλογα με το είδος του πιστοποιητικού (TLS, S/MIME, eSignature, κ.α.) και μέγεθος της απειλής. Για παράδειγμα, Πιστοποιητικά με λάθη σε πεδία στο subject του Πιστοποιητικού, πρέπει να ανακληθούν μέσα σε διάστημα πέντε (5) ημερών αλλά για περιπτώσεις που το Ιδιωτικό Κλειδί του Πιστοποιητικού υπέστη παραβίαση, η ανάκλησή τους θα γίνει μέσα σε είκοσι τέσσερις (24) ώρες. Επίσης, υπό συγκεκριμένες συνθήκες, η HARICA πρέπει να ανακαλέσει οποιαδήποτε Αρχή Έκδοσης (Πιστοποιητικό Ενδιάμεσης Αρχής Πιστοποίησης), μέσα σε διάστημα επτά (7) ημερών για λόγους που περιγράφονται στην Πολιτική Πιστοποίησης HARICA. Ένα μέρος των παραπάνω απαιτήσεων ορίζονται μέσω των CA/Browser Forum Baseline Requirements, και όλες οι Αρχές Πιστοποίησης που εκδίδουν «Δημόσια-Έμπιστα» TLS Πιστοποιητικά πρέπει να συμμορφώνονται με αυτούς τους κανόνες για τα Πιστοποιητικά που περιγράφονται σε αυτό το πρότυπο.

Έχοντας ως βάση τα παραπάνω, ΟΛΟΙ οι συνδρομητές που κατέχουν «Δημόσια-Έμπιστα» Ψηφιακά Πιστοποιητικά HARICA, θα πρέπει να είναι προετοιμασμένοι να ΔΡΑΣΟΥΝ με άμεσο και ευέλικτο τρόπο, προκειμένου να τα αντικαταστήσουν εντός των παραπάνω χρονικών πλαισίων, εφόσον κριθεί απαραίτητο.

Σύμφωνα με τους ισχύοντες κανονισμούς, δεν υπάρχει απαίτηση από τους Συνδρομητές να ενημερώνουν ή να εξηγούν στη HARICA λεπτομερώς πώς σκοπεύουν να χρησιμοποιήσουν τα Πιστοποιητικά τους για να τα αξιοποιήσουν Βασιζόμενα Μέρη. Ωστόσο, οι Συνδρομητές πρέπει να μην ξεχνούν τις απαιτήσεις ανάκλησης που έχουν συμφωνήσει μέσω της Σύμβασης Συνδρομητή και Όροι Χρήσης Υπηρεσιών HARICA, και να προσαρμόζουν τις υλοποιήσεις τους με τέτοιο τρόπο, ώστε τα Πιστοποιητικά τους να μπορούν να αντικατασταθούν εγκαίρως εντός των συγκεκριμένων χρονικών πλαισίων, εφόσον απαιτηθεί.

Υλοποιήσεις που θεωρούνται προβληματικές

Η HARICA επικοινώνησε με έναν αριθμό συνδρομητών και οργανισμών που ανέπτυξαν λύσεις με βάση τα πιστοποιητικά της και κατέληξε σε κάποια χρήσιμα συμπεράσματα. Αν και δεν είναι πρόθεσή μας να επικρίνουμε ή να σχολιάσουμε τις αποφάσεις σχεδιασμού αυτών των περιπτώσεων χρήσης, είναι προφανές ότι οι προθέσεις των Συνδρομητών ήταν να βελτιώσουν την ασφάλεια (και με μία έννοια αυτό επιτεύχθηκε περιορίζοντας τον αριθμό των «επιτρεπόμενων» πιστοποιητικών) αλλά ταυτόχρονα, υπήρξαν ακούσιες συνέπειες, για παράδειγμα η δυσκολία αντικατάστασης πιστοποιητικών και έγκαιρης προσαρμογής σε αλλαγές πολιτικής της Αρχής Πιστοποίησης.

Οι λύσεις που βασίζονται «ρητά» σε πληροφορίες που περιλαμβάνονται σε Αρχές Έκδοσης (Πιστοποιητικά Ενδιάμεσης Αρχής Πιστοποίησης), είναι ένας από τους συνηθισμένους λόγους που προκαλούν δυσκολία στους συνδρομητές να αντικαταστήσουν τα πιστοποιητικά τους. Αυτή η πρακτική είναι γνωστή ως «certificate pinning». Η διαδικασία με την οποία μια εφαρμογή “αναμένει” πιστοποιητικά ελέγχου ταυτότητας (Client ή Server) από συγκεκριμένη Αρχή Έκδοσης, θεωρείται προβληματική. Η HARICA και άλλοι Πάροχοι Υπηρεσιών Εμπιστοσύνης έχουν την ελευθερία να εκδίδουν νέες Αρχές Έκδοσης που θα τις χρησιμοποιούν για την έκδοση Πιστοποιητικών Συνδρομητών, χωρίς προηγούμενη ειδοποίηση ή επικοινωνία με τους συνδρομητές ή τα Βασιζόμενα Μέρη (Relying Parties). Οι εφαρμογές και οι λύσεις που χρησιμοποιούν τη μέθοδο «certificate pinning » σε συγκεκριμένες Αρχές Έκδοσης, ενδέχεται να παρουσιάσουν πρόβλημα και πιθανότατα θα πρέπει να ενημερωθούν χειροκίνητα σε ενδεχόμενη αλλαγή δημιουργώντας πρόβλημα στους διαχειριστές. Προτείνουμε οι υλοποιήσεις που βασίζονται στα περιεχόμενα των Πιστοποιητιών να χρησιμοποιούν πληροφορίες από τα πεδία του subject Distinguished Name του τελικού Πιστοποιητικού για τον έλεγχο ταυτότητας.

Ακολουθεί μια λίστα εφαρμογών/υλοποιήσεων, όπου αναφέρθηκε ότι χρησιμοποιήθηκε «certificate pinning»:

  • έλεγχος ταυτότητας χρηστών για υπηρεσίες VPN
  • έλεγχος ταυτότητας χρηστών σε υπηρεσίες Web
  • σε εφαρμογές Android
  • επικύρωση ψηφιακών υπογραφών συγκεκριμένων οργανισμών

Υπάρχουν επίσης υλοποιήσεις που βασίζονται σε Ψηφιακά Πιστοποιητικά για έλεγχο ταυτότητας και υπογραφές, κυρίως για επικοινωνία μεταξύ διακομιστών. Η πιστοποίηση μέσω SAML2 είναι πολύ δημοφιλής ειδικά στον Ακαδημαϊκό και Ερευνητικό χώρο (eduGAIN, InCommon Federation), όπου οι Identity Providers και οι Service Providers χρησιμοποιούν πιστοποιητικά για να υπογράψουν τα metadata και SAML2 assertions. Οι διαχειριστές τέτοιων υπηρεσιών πρέπει να γνωρίζουν ότι αυτά τα πιστοποιητικά δεν χρειάζεται να είναι «Δημόσια-Έμπιστα» και προτείνεται η χρήση self-signed πιστοποιητικών ή η χρήση ιδιωτικής Υποδομή Δημοσίου Κλειδιού.

Προετοιμαστείτε για ταχεία αντικατάσταση πιστοποιητικών

Υπάρχουν διάφοροι λόγοι για τους οποίους οι Συνδρομητές «Δημόσιων-Έμπιστων» Πιστοποιητικών πρέπει να είναι έτοιμοι για γρήγορη αντικατάστασή τους. Ανεξάρτητα από τις περιπτώσεις χρήσης, υπάρχουν πάντα κίνδυνοι στην ίδια την τεχνολογία που χρησιμοποιείται στα Ψηφιακά Πιστοποιητικά/Ηλεκτρονικές Υπογραφές. Επίσης, οι απαιτήσεις σε πολιτικές αλλάζουν από καιρό σε καιρό. Για παράδειγμα, ορισμένες υπάρχουσες μέθοδοι για Domain και Identity validation, ενδέχεται να απαγορευθούν ή να καταργηθούν επειδή, βάσει νέων στοιχείων, να χαρακτηριστούν μη-ασφαλείς. Εάν αυτές οι μέθοδοι χρησιμοποιήθηκαν για την έκδοση πιστοποιητικών, είναι πιθανό να πρέπει να βρεθούν τα πιστοποιητικά που χρησιμοποίησαν τις μη-ασφαλείς μεθόδους και να πρέπει να ανακληθούν. Η ευελιξία λόγω αλλαγών σε Πολιτικές ή σε τεχνολογικές εξελίξεις σε θέματα αλγορίθμων κρυπτογράφησης, είναι μερικοί από τους λόγους που απαιτούν Παρόχους Υπηρεσιών Εμπιστοσύνης -όπως η HARICA-, Συνδρομητές και Βασιζόμενα Μέρη (Relying Parties) να είναι σε θέση να προσαρμοστούν γρήγορα στις αλλαγές.

Η HARICA προτείνει τις ακόλουθες καλές πρακτικές στους συνδρομητές πιστοποιητικών TLS:

  • Οι συνδρομητές μπορούν να χρησιμοποιούν υλοποιήσεις που βασίζονται στο πρωτόκολλο ACME για αυτόματη έκδοση/ανανέωση πιστοποιητικών. Η HARICA υποστηρίζει ACME (πιλοτική υπηρεσία) σε επιλεγμένους Οργανισμούς για αυτόματη έκδοση πιστοποιητικών TLS. Αυτή η λύση σχεδιάζεται να προσφερθεί σύντομα σε όλους τους Συνδρομητές.
  • Οι συνδρομητές που χρησιμοποιούν πιστοποιητικά TLS σε υπηρεσίες/συσκευές που εφαρμόζουν παλιό λογισμικό/πρωτόκολλα που έχουν καταργηθεί (π.χ. TLS 1.0 ή 1.1 για λογισμικό IP κάμερας), συνιστάται να χρησιμοποιούν διακομιστές μεσολάβησης (proxies) που παρέχουν ασφαλή σύνδεση TLS, χρησιμοποιώντας τις τελευταίες εκδόσεις πρωτοκόλλων, που υποστηρίζουν επίσης ACME.

Η HARICA είναι έτοιμη να ανταποκριθεί σε καταστάσεις που απαιτείται γρήγορη αντικατάσταση μη-TLS πιστοποιητικών:

  • Για Πιστοποιητικά S/MIME, «Προηγμένης» Ηλεκτρονικής Υπογραφής/Σφραγίδας και Υπογραφής Κώδικα (όχι EV), η HARICA μπορεί να εκδώσει ένα νέο πιστοποιητικό, χρησιμοποιώντας μερικές ή όλες τις πληροφορίες που υποβλήθηκαν για ένα υπάρχον πιστοποιητικό και χρησιμοποιώντας ένα νέο Ζεύγος Κλειδιών.
  • Για Πιστοποιητικά Υπογραφής Κώδικα (EV), «Εγκεκριμένης» Ηλεκτρονικής Υπογραφής/Σφραγίδας και σε περίπτωση που η κρυπτοσυσκευή ή το ιδιωτικό κλειδί ΔΕΝ έχει παραβιαστεί, η HARICA μπορεί:
    • Να χρησιμοποιήσει το ίδιο Ζεύγος Κλειδιών και να εκδώσει ένα εντελώς νέο πιστοποιητικό, χρησιμοποιώντας μερικές ή όλες τις πληροφορίες που υποβλήθηκαν για ένα υπάρχον πιστοποιητικό ή
    • να δημιουργήσει ένα νέο Ζεύγος Κλειδιών και να εκδώσει ξανά το ίδιο πιστοποιητικό χρησιμοποιώντας το νέο κλειδί ή
    • να χρησιμοποιήσει ένα υπάρχον Ζεύγος Κλειδιών, που δημιουργήθηκε επιπλέον του αρχικού στην κρυπτοσυσκευή, και να εκδώσει ένα νέο πιστοποιητικό.
  • Για συνδρομητές πιστοποιητικού εξ αποστάσεως ηλεκτρονικής υπογραφής/σφραγίδας, η HARICA μπορεί να χρησιμοποιήσει ένα νέο Ζεύγος Κλειδιών και να εκδώσει ένα νέο πιστοποιητικό, χρησιμοποιώντας μερικές ή όλες τις πληροφορίες που υποβλήθηκαν για ένα υπάρχον πιστοποιητικό.

Σχετικά άρθρα

ΑΚΑΔΗΜΑΪΚΟ ΔΙΑΔΙΚΤΥΟ (GUnet)
ΕΚΠΑ – Κέντρο Λειτουργίας & Διαχείρισης Δικτύου
Πανεπιστημιούπολη Ιλίσια,
15784 Αθήνα, Ελλάδα
support@harica.gr
H HARICA είναι η Υποδομή Δημοσίου Κλειδιού "Hellenic Academic & Research Institutions Certification Authority". Συμμετέχει στα μεγαλύτερα διεθνή "ROOT CA" προγράμματα εμπιστοσύνης, σε Διεθνείς οίκους λογισμικού και Λειτουργικά Συστήματα.
Έχει λάβει Πιστοποιητικό Συμμόρφωσης σύμφωνα με τον Ευρωπαϊκό Κανονισμό 910/2014 (γνωστός ως eIDAS) στο πεδίο "Εγκεκριμένων" Πιστοποιητικών για ηλεκτρονικές υπογραφές/σφραγίδες, για γνησιότητα ιστοτόπων και για "Εγκεκριμένη" χρονοσήμανση.