en el

Το δικό μας Success Story

2021-04-25 HARICA HARICA

Αρκετά χρόνια πριν, γεννήθηκε μια ιδέα για ένα καινοτόμο για την εποχή εγχείρημα που βασίστηκε στην ανάγκη για αυξημένα μέτρα προστασίας/ασφάλειας ως προς την κρυπτογράφηση των επικοινωνιών πάνω από μη ασφαλή δίκτυα, όπως το Διαδίκτυο.

Μια ομάδα μηχανικών Πληροφορικής και Επικοινωνιών από διάφορα Ελληνικά Πανεπιστήμια και Ερευνητικά Κέντρα συνεργαστήκαμε και δημιουργήσαμε μια Υποδομή Δημοσίου Κλειδιού (Public Key Infrastructure – PKI) που εξυπηρετούσε και κάλυπτε τις ανάγκες ασφάλειας των Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων της Ελλάδας σε πιστοποιητικά διακομιστών SSL/TLS και S/MIME. Το εγχείρημα πέτυχε και στην πορεία οι υπηρεσίες μας εμπλουτίστηκαν, καλύπτοντας τις ολοένα αυξανόμενες ανάγκες των Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων. Δεν σταματήσαμε όμως εκεί. Θελήσαμε να προσφέρουμε τις υπηρεσίες μας και εκτός Ακαδημαϊκής/Ερευνητικής κοινότητας.

Έτσι δημιουργήσαμε την Αρχή Πιστοποίησης των Ελληνικών Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων (HARICA), η οποία αρχικά στηρίχθηκε από το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας (GRnet) και στη συνέχεια με χρηματοδότηση από την αστική, μη-κερδοσκοπική Εταιρεία, Ακαδημαϊκό Διαδίκτυο (GUnet). Ξεκινήσαμε ως Δημόσια Έμπιστη Αρχή Πιστοποίησης στο πρόγραμμα εμπιστοσύνης της Mozilla που ακόμα και σήμερα αποτελεί το αυστηρότερο και καλύτερα εποπτευόμενο Διεθνές πρόγραμμα εμπιστοσύνης Αρχών Πιστοποίησης, και σταδιακά ενταχθήκαμε και στα υπόλοιπα μεγάλα προγράμματα εμπιστοσύνης.

Σήμερα, μετά από σχεδόν 15 χρόνια, η HARICA είναι μια Διεθνώς “Έμπιστη Τρίτη Οντότητα” (Trusted Third Party) που συμμετέχει ταυτόχρονα στα μεγαλύτερα διεθνή “ROOT CA” προγράμματα εμπιστοσύνης (360, Adobe, Apple, Microsoft, Mozilla, Oracle) με αποτέλεσμα να λειτουργεί ως “σημείο εμπιστοσύνης” (Trust Anchor) σε Διεθνείς οίκους λογισμικού και Λειτουργικά Συστήματα (Adobe, Apple, Google, Microsoft, Mozilla, Linux, Oracle Java).

Σήμερα οι υπηρεσίες της HARICA καλύπτουν όλο το εύρος των αναγκών σε ψηφιακά πιστοποιητικά και χρονοσημάνσεις:

  • από το βασικό επίπεδο ασφάλειας σε εξυπηρετητές SSL/TLS ιδιωτών, επιχειρήσεων και οργανισμών
  • έως το μέγιστο επίπεδο ένδειξης ασφάλειας μεγάλων οργανισμών (SSL EV, SSL QWAC, SSL QWAC-PSD2) καλύπτοντας πλήρως τις απαιτήσεις του Κανονισμού (ΕΕ) 910/2014 (eIDAS) και της Οδηγίας (ΕΕ) 2015/2366 για την Υπηρεσία Πληρωμών (PSD2).

Παρέχουμε σε ιδιώτες, επιχειρήσεις και οργανισμούς:

  • S/MIME, πιστοποιητικά για την ψηφιακή υπογραφή και κρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου
  • Code Signing, πιστοποιητικά που χρησιμοποιούνται για ψηφιακή υπογραφή λογισμικού
  • E-Signature, «Εγκεκριμένες» (Qualified) Ηλεκτρονικές Υπογραφές οι οποίες αντικαθιστούν την ιδιόχειρη υπογραφή, αλλά και «Προηγμένες» (Advanced) Ηλεκτρονικές Υπογραφές και
  • E-Seal, ηλεκτρονικές σφραγίδές Νομικών προσώπων, οι οποίες όπως η φυσική σφραγίδα στο συμβατικό κόσμο, έχουν την έννοια της νομικής δέσμευσης του περιεχόμενου του ψηφιακά σφραγισμένου εγγράφου.

Και συνεχίζουμε με τον ίδιο ενθουσιασμό, πιο δομημένοι και πιο έμπειροι βελτιώνοντας τις υπηρεσίες μας και εμπλουτίζοντας τις παροχές μας προσφέροντας περισσότερη ασφάλεια στον ψηφιακό μας κόσμο.

Καλές πρακτικές για τη χρήση δημοσίως έμπιστων πιστοποιητικών της HARICA

2020-11-30 HARICA Support

Αγαπητοί συνδρομητές της HARICA,

Πρόσφατα διαπιστώσαμε ότι ορισμένα σημεία της Πολιτικής Πιστοποίησης/Δήλωση Διαδικασιών Πιστοποίησης, που σχετίζονται με την Ανάκληση Πιστοποιητικών, δεν έχουν αποσαφηνιστεί επαρκώς στους Συνδρομητές μας. Αυτό το άρθρο επιχειρεί να περιγράψει ορισμένες «καλές πρακτικές» για Συνδρομητές και κάποιες, προς αποφυγή, προκειμένου να βελτιωθεί η συνολική ασφάλεια της χρήσης «Δημόσιων-Έμπιστων» Ψηφιακών Πιστοποιητικών προς όφελος των Βασιζόμενων Μερών (Relying Parties), διεθνώς.

Βάσει της παραγράφου 4.9.1 Συνθήκες για ανάκληση της Πολιτικής Πιστοποίησης/Δήλωσης Διαδικασιών Πιστοποίησης HARICA, από τη στιγμή που γίνει αντιληπτό ή υπάρξει ενημέρωση για πρόβλημα σε Πιστοποιητικό, ο Συνδρομητής πρέπει να ενημερωθεί άμεσα. Η HARICA πρέπει, υπό συγκεκριμένες συνθήκες, να ανακαλέσει οποιοδήποτε Πιστοποιητικό Συνδρομητή μέσα σε είκοσι τέσσερις (24) ώρες ή σε ένα διάστημα πέντε (5) ημερών, ανάλογα με το είδος του πιστοποιητικού (TLS, S/MIME, eSignature, κ.α.) και μέγεθος της απειλής. Για παράδειγμα, Πιστοποιητικά με λάθη σε πεδία στο subject του Πιστοποιητικού, πρέπει να ανακληθούν μέσα σε διάστημα πέντε (5) ημερών αλλά για περιπτώσεις που το Ιδιωτικό Κλειδί του Πιστοποιητικού υπέστη παραβίαση, η ανάκλησή τους θα γίνει μέσα σε είκοσι τέσσερις (24) ώρες. Επίσης, υπό συγκεκριμένες συνθήκες, η HARICA πρέπει να ανακαλέσει οποιαδήποτε Αρχή Έκδοσης (Πιστοποιητικό Ενδιάμεσης Αρχής Πιστοποίησης), μέσα σε διάστημα επτά (7) ημερών για λόγους που περιγράφονται στην Πολιτική Πιστοποίησης HARICA. Ένα μέρος των παραπάνω απαιτήσεων ορίζονται μέσω των CA/Browser Forum Baseline Requirements, και όλες οι Αρχές Πιστοποίησης που εκδίδουν «Δημόσια-Έμπιστα» TLS Πιστοποιητικά πρέπει να συμμορφώνονται με αυτούς τους κανόνες για τα Πιστοποιητικά που περιγράφονται σε αυτό το πρότυπο.

Έχοντας ως βάση τα παραπάνω, ΟΛΟΙ οι συνδρομητές που κατέχουν «Δημόσια-Έμπιστα» Ψηφιακά Πιστοποιητικά HARICA, θα πρέπει να είναι προετοιμασμένοι να ΔΡΑΣΟΥΝ με άμεσο και ευέλικτο τρόπο, προκειμένου να τα αντικαταστήσουν εντός των παραπάνω χρονικών πλαισίων, εφόσον κριθεί απαραίτητο.

Σύμφωνα με τους ισχύοντες κανονισμούς, δεν υπάρχει απαίτηση από τους Συνδρομητές να ενημερώνουν ή να εξηγούν στη HARICA λεπτομερώς πώς σκοπεύουν να χρησιμοποιήσουν τα Πιστοποιητικά τους για να τα αξιοποιήσουν Βασιζόμενα Μέρη. Ωστόσο, οι Συνδρομητές πρέπει να μην ξεχνούν τις απαιτήσεις ανάκλησης που έχουν συμφωνήσει μέσω της Σύμβασης Συνδρομητή και Όροι Χρήσης Υπηρεσιών HARICA, και να προσαρμόζουν τις υλοποιήσεις τους με τέτοιο τρόπο, ώστε τα Πιστοποιητικά τους να μπορούν να αντικατασταθούν εγκαίρως εντός των συγκεκριμένων χρονικών πλαισίων, εφόσον απαιτηθεί.

Υλοποιήσεις που θεωρούνται προβληματικές

Η HARICA επικοινώνησε με έναν αριθμό συνδρομητών και οργανισμών που ανέπτυξαν λύσεις με βάση τα πιστοποιητικά της και κατέληξε σε κάποια χρήσιμα συμπεράσματα. Αν και δεν είναι πρόθεσή μας να επικρίνουμε ή να σχολιάσουμε τις αποφάσεις σχεδιασμού αυτών των περιπτώσεων χρήσης, είναι προφανές ότι οι προθέσεις των Συνδρομητών ήταν να βελτιώσουν την ασφάλεια (και με μία έννοια αυτό επιτεύχθηκε περιορίζοντας τον αριθμό των «επιτρεπόμενων» πιστοποιητικών) αλλά ταυτόχρονα, υπήρξαν ακούσιες συνέπειες, για παράδειγμα η δυσκολία αντικατάστασης πιστοποιητικών και έγκαιρης προσαρμογής σε αλλαγές πολιτικής της Αρχής Πιστοποίησης.

Οι λύσεις που βασίζονται «ρητά» σε πληροφορίες που περιλαμβάνονται σε Αρχές Έκδοσης (Πιστοποιητικά Ενδιάμεσης Αρχής Πιστοποίησης), είναι ένας από τους συνηθισμένους λόγους που προκαλούν δυσκολία στους συνδρομητές να αντικαταστήσουν τα πιστοποιητικά τους. Αυτή η πρακτική είναι γνωστή ως «certificate pinning». Η διαδικασία με την οποία μια εφαρμογή “αναμένει” πιστοποιητικά ελέγχου ταυτότητας (Client ή Server) από συγκεκριμένη Αρχή Έκδοσης, θεωρείται προβληματική. Η HARICA και άλλοι Πάροχοι Υπηρεσιών Εμπιστοσύνης έχουν την ελευθερία να εκδίδουν νέες Αρχές Έκδοσης που θα τις χρησιμοποιούν για την έκδοση Πιστοποιητικών Συνδρομητών, χωρίς προηγούμενη ειδοποίηση ή επικοινωνία με τους συνδρομητές ή τα Βασιζόμενα Μέρη (Relying Parties). Οι εφαρμογές και οι λύσεις που χρησιμοποιούν τη μέθοδο «certificate pinning » σε συγκεκριμένες Αρχές Έκδοσης, ενδέχεται να παρουσιάσουν πρόβλημα και πιθανότατα θα πρέπει να ενημερωθούν χειροκίνητα σε ενδεχόμενη αλλαγή δημιουργώντας πρόβλημα στους διαχειριστές. Προτείνουμε οι υλοποιήσεις που βασίζονται στα περιεχόμενα των Πιστοποιητιών να χρησιμοποιούν πληροφορίες από τα πεδία του subject Distinguished Name του τελικού Πιστοποιητικού για τον έλεγχο ταυτότητας.

Ακολουθεί μια λίστα εφαρμογών/υλοποιήσεων, όπου αναφέρθηκε ότι χρησιμοποιήθηκε «certificate pinning»:

  • έλεγχος ταυτότητας χρηστών για υπηρεσίες VPN
  • έλεγχος ταυτότητας χρηστών σε υπηρεσίες Web
  • σε εφαρμογές Android
  • επικύρωση ψηφιακών υπογραφών συγκεκριμένων οργανισμών

Υπάρχουν επίσης υλοποιήσεις που βασίζονται σε Ψηφιακά Πιστοποιητικά για έλεγχο ταυτότητας και υπογραφές, κυρίως για επικοινωνία μεταξύ διακομιστών. Η πιστοποίηση μέσω SAML2 είναι πολύ δημοφιλής ειδικά στον Ακαδημαϊκό και Ερευνητικό χώρο (eduGAIN, InCommon Federation), όπου οι Identity Providers και οι Service Providers χρησιμοποιούν πιστοποιητικά για να υπογράψουν τα metadata και SAML2 assertions. Οι διαχειριστές τέτοιων υπηρεσιών πρέπει να γνωρίζουν ότι αυτά τα πιστοποιητικά δεν χρειάζεται να είναι «Δημόσια-Έμπιστα» και προτείνεται η χρήση self-signed πιστοποιητικών ή η χρήση ιδιωτικής Υποδομή Δημοσίου Κλειδιού.

Προετοιμαστείτε για ταχεία αντικατάσταση πιστοποιητικών

Υπάρχουν διάφοροι λόγοι για τους οποίους οι Συνδρομητές «Δημόσιων-Έμπιστων» Πιστοποιητικών πρέπει να είναι έτοιμοι για γρήγορη αντικατάστασή τους. Ανεξάρτητα από τις περιπτώσεις χρήσης, υπάρχουν πάντα κίνδυνοι στην ίδια την τεχνολογία που χρησιμοποιείται στα Ψηφιακά Πιστοποιητικά/Ηλεκτρονικές Υπογραφές. Επίσης, οι απαιτήσεις σε πολιτικές αλλάζουν από καιρό σε καιρό. Για παράδειγμα, ορισμένες υπάρχουσες μέθοδοι για Domain και Identity validation, ενδέχεται να απαγορευθούν ή να καταργηθούν επειδή, βάσει νέων στοιχείων, να χαρακτηριστούν μη-ασφαλείς. Εάν αυτές οι μέθοδοι χρησιμοποιήθηκαν για την έκδοση πιστοποιητικών, είναι πιθανό να πρέπει να βρεθούν τα πιστοποιητικά που χρησιμοποίησαν τις μη-ασφαλείς μεθόδους και να πρέπει να ανακληθούν. Η ευελιξία λόγω αλλαγών σε Πολιτικές ή σε τεχνολογικές εξελίξεις σε θέματα αλγορίθμων κρυπτογράφησης, είναι μερικοί από τους λόγους που απαιτούν Παρόχους Υπηρεσιών Εμπιστοσύνης -όπως η HARICA-, Συνδρομητές και Βασιζόμενα Μέρη (Relying Parties) να είναι σε θέση να προσαρμοστούν γρήγορα στις αλλαγές.

Η HARICA προτείνει τις ακόλουθες καλές πρακτικές στους συνδρομητές πιστοποιητικών TLS:

  • Οι συνδρομητές μπορούν να χρησιμοποιούν υλοποιήσεις που βασίζονται στο πρωτόκολλο ACME για αυτόματη έκδοση/ανανέωση πιστοποιητικών. Η HARICA υποστηρίζει ACME (πιλοτική υπηρεσία) σε επιλεγμένους Οργανισμούς για αυτόματη έκδοση πιστοποιητικών TLS. Αυτή η λύση σχεδιάζεται να προσφερθεί σύντομα σε όλους τους Συνδρομητές.
  • Οι συνδρομητές που χρησιμοποιούν πιστοποιητικά TLS σε υπηρεσίες/συσκευές που εφαρμόζουν παλιό λογισμικό/πρωτόκολλα που έχουν καταργηθεί (π.χ. TLS 1.0 ή 1.1 για λογισμικό IP κάμερας), συνιστάται να χρησιμοποιούν διακομιστές μεσολάβησης (proxies) που παρέχουν ασφαλή σύνδεση TLS, χρησιμοποιώντας τις τελευταίες εκδόσεις πρωτοκόλλων, που υποστηρίζουν επίσης ACME.

Η HARICA είναι έτοιμη να ανταποκριθεί σε καταστάσεις που απαιτείται γρήγορη αντικατάσταση μη-TLS πιστοποιητικών:

  • Για Πιστοποιητικά S/MIME, «Προηγμένης» Ηλεκτρονικής Υπογραφής/Σφραγίδας και Υπογραφής Κώδικα (όχι EV), η HARICA μπορεί να εκδώσει ένα νέο πιστοποιητικό, χρησιμοποιώντας μερικές ή όλες τις πληροφορίες που υποβλήθηκαν για ένα υπάρχον πιστοποιητικό και χρησιμοποιώντας ένα νέο Ζεύγος Κλειδιών.
  • Για Πιστοποιητικά Υπογραφής Κώδικα (EV), «Εγκεκριμένης» Ηλεκτρονικής Υπογραφής/Σφραγίδας και σε περίπτωση που η κρυπτοσυσκευή ή το ιδιωτικό κλειδί ΔΕΝ έχει παραβιαστεί, η HARICA μπορεί:
    • Να χρησιμοποιήσει το ίδιο Ζεύγος Κλειδιών και να εκδώσει ένα εντελώς νέο πιστοποιητικό, χρησιμοποιώντας μερικές ή όλες τις πληροφορίες που υποβλήθηκαν για ένα υπάρχον πιστοποιητικό ή
    • να δημιουργήσει ένα νέο Ζεύγος Κλειδιών και να εκδώσει ξανά το ίδιο πιστοποιητικό χρησιμοποιώντας το νέο κλειδί ή
    • να χρησιμοποιήσει ένα υπάρχον Ζεύγος Κλειδιών, που δημιουργήθηκε επιπλέον του αρχικού στην κρυπτοσυσκευή, και να εκδώσει ένα νέο πιστοποιητικό.
  • Για συνδρομητές πιστοποιητικού εξ αποστάσεως ηλεκτρονικής υπογραφής/σφραγίδας, η HARICA μπορεί να χρησιμοποιήσει ένα νέο Ζεύγος Κλειδιών και να εκδώσει ένα νέο πιστοποιητικό, χρησιμοποιώντας μερικές ή όλες τις πληροφορίες που υποβλήθηκαν για ένα υπάρχον πιστοποιητικό.

Σχετικά άρθρα

ΑΚΑΔΗΜΑΪΚΟ ΔΙΑΔΙΚΤΥΟ (GUnet)
ΕΚΠΑ – Κέντρο Λειτουργίας & Διαχείρισης Δικτύου
Πανεπιστημιούπολη Ιλίσια,
15784 Αθήνα, Ελλάδα
support@harica.gr
H HARICA είναι η Υποδομή Δημοσίου Κλειδιού "Hellenic Academic & Research Institutions Certification Authority". Συμμετέχει στα μεγαλύτερα διεθνή "ROOT CA" προγράμματα εμπιστοσύνης, σε Διεθνείς οίκους λογισμικού και Λειτουργικά Συστήματα.
Έχει λάβει Πιστοποιητικό Συμμόρφωσης σύμφωνα με τον Ευρωπαϊκό Κανονισμό 910/2014 (γνωστός ως eIDAS) στο πεδίο "Εγκεκριμένων" Πιστοποιητικών για ηλεκτρονικές υπογραφές/σφραγίδες, για γνησιότητα ιστοτόπων και για "Εγκεκριμένη" χρονοσήμανση.