🚨 Цифровой суверенитет России: что будет с российскими сайтами при отключении от интернета

Глобальный аудит показал: почти 60% российских сайтов могут "упасть", если страну отключат от интернета. Почему?
И это я еще не спросил "А что будет с иностранными устройствами"...

Большинство SSL/TLS сертификатов выдают иностранные удостоверяющие центры — и если доступ к ним исчезнет, многие сервисы станут недоступны.
⠀
Что это значит на практике?
— Почти все банки, госуслуги, магазины и устройства зависят от зарубежных CA. Например, такое устроство как NGFW - тоже зависит от иностранного CA.
— Сертификаты в браузерах и устройствах — зависят от 5–7 компаний за рубежом
— В Китае внутренний PKI работает, а в РФ внедрить “жёсткую локализацию” невозможно: разные ОС, иностранные браузеры, отсутствие единой экосистемы
⠀
Из недавнего:
– Январь 2025: сбой MSK-IX, массовые SSL-ошибки
– Май: отказ HTTPS у ФНС, СБИС, Госключ
– Июнь-июль: Cloudflare-кризис, ошибки на тысячах сайтов

Главный вывод:
Даже короткий разрыв с внешними CA — и 60% сайтов перестанут работать (или покажут “Этот сертификат не доверен”).
⠀
Что делать? Желательно срочно!
– Проверь свои сайты и сервисы: чей у тебя сертификат, вся ли цепочка, срок действия
– Готовь инфраструктуру к автономной работе, автоматизируй продление
– Строй внутренний CA — и заранее продвигай его в доверенные списки
⠀
👉 Полный разбор, советы и ссылки на исследование тут.
Читать полностью статью в канале Реальная безопасность

Сохраняй, пересылай — актуально для бизнеса, ИТ, всех, кто работает с сервисами в России.

P.S. Если нужна быстрая диагностика или чек-лист — напиши в личку!

#PKI #SSL #Кибербезопасность #Суверенитет #Россия #Инфраструктура #CA #TLS #Изоляция #Сайты #Эксперт

🛡 Революция в сроках жизни сертификатов

🕸 Apple, Google, Microsoft и Mozilla утвердили план сокращения максимального срока действия TLS-сертификатов до 47 дней для всех типов сертификатов. Это не инициатива, а принятое решение. 📌 У нас есть время до 2029 года.

Зачем это сделано:

😶Минимизация «окна компрометации» при утечке приватного ключа
😶Принуждение к полной автоматизации управления сертификатами
😶Выравнивание между бесплатными и платными сертификатами

Что это значит для бизнеса:

😶Невозможность ручного управления сертификатами
😶Необходимость полной автоматизации CI/CD процессов
😶Критические риски для «наследуемых» систем без автоматизации
😶Усложнение процедур аудита и соответствия требованиям

Время есть, но пора уже задуматься.

PS: Интересно будет вернуться к этому сообщению в 2029 году и узнать сколько компаний так и не сделало автоматизированное управление сертификатами.

#PKI #SSL #TLS

🛡 Certificate Transparency: must-have для каждого CISO

Работа всех сайтов в интернет завязана на работу сертификатов SSL. Без них интернет будет полностью недоверенным минным полем. 🔐 Поэтому есть множество технологий по защите компании от атак на SSL. И поэтому сейчас будет два сложных поста для экспертов, которые пользуются SSL/TLS сертификатами.

Разберем технологию, которая должна быть в арсенале вашей защиты — Certificate Transparency (CT).

🎯 Ключевые угрозы без CT-мониторинга:

😶Несанкционированная выдача — Certification Authority (CA) может по ошибке или при атаке выпустить сертификат на ваш домен
😶 Фишинг с "легальным" SSL — злоумышленник получает валидный сертификат для поддельного сайта
😶 MitM-атаки — перехват трафика через скомпрометированные сертификаты, как это было с Diginotar
😶 Репутационные риски — клиенты попадают на поддельные ресурсы
😶Shadow IT — несогласованная выдача сертификатов внутри компании

🔐 Что такое CT?
CT — публичный журнал всех выпущенных SSL/TLS-сертификатов. Каждый сертификат любого CA попадает в логи в реальном времени. Да, все сертификаты видны публично.

🛠Практические инструменты:
😶crt.sh — бесплатный поиск по CT-логам от Sectigo
😶Cert Spotter — автоматические алерты на новые сертификаты
😶Facebook CT Monitor — обнаруживает несанкционированную выдачу SSL/TLS-сертификатов
Попробуйте прямо сегодня эти инструменты, чтобы лучше разобраться!

Алгоритм внедрения:
😶 Аудит текущих доменов через crt.sh
😶 Настройка автоматических оповещений
😶 Прием уведомлений в SOC
😶 Документирование процедур реагирования

💡Pro-tip:
Настройте мониторинг не только основных доменов, но и wildcard-сертификатов — часто именно через них происходят атаки.

Следующий пост: CAA-записи как второй эшелон защиты
#CISO #Кибербезопасность #SSL #DNS #TDIR #SOC #Экспертам
Топ Кибербезопасности Батранкова

🛡 CAA DNS-записи: контроль выдачи сертификатов

CAA (Certificate Authority Authorization) — это DNS-механизм, который позволяет владельцу домена явно указать, какие центры сертификации имеют право выдавать SSL/TLS-сертификаты для данного домена. По сути, это white-list разрешенных CA на уровне DNS.

Практический пример конфигурации:

example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issue "digicert.com"
example.com. CAA 0 iodef "mailto:[email protected]"

Третья запись (iodef) настраивает уведомления о попытках нарушения политики CAA.

⚡️ Как внедрять

Аудит и планирование
Начинать стоит с полной инвентаризации доменной инфраструктуры. Необходимо выявить все используемые домены, поддомены и текущие сертификаты. Особое внимание — wildcard-сертификатам и legacy-системам.

Конфигурация CAA-записей
Настройка DNS должна покрывать не только основные домены, но и все активные поддомены. Важно учесть специфику корпоративной инфраструктуры — разные подразделения могут использовать разных провайдеров сертификатов.

Добавляем мониторинг
Дальше подключаете мониторинг Certificate Transparency — об этом мы уже говорили в прошлый раз. Система должна отслеживать как успешные выдачи сертификатов (соответствующие политике), так и заблокированные попытки. Тут главное не забыть настроить алерты, а то толку мало.

Операционная интеграция
Уведомления о нарушениях CAA-политики необходимо интегрировать в существующие процессы SOC. Это включает настройку оповещений в SIEM и определение процедур эскалации. Ну то есть на алерты кто-то должен отреагировать, верно? 😎

📈 Ключевые метрики эффективности
Основные показатели для оценки эффективности CAA-внедрения:

😶RTO (Recovery Time Objective) при обнаружении несанкционированных сертификатов
😶Количество предотвращенных попыток выдачи сертификатов
😶Процентное покрытие доменной инфраструктуры CAA-записями
😶Количество false positive срабатываний системы мониторинга

CAA-записи в сочетании с Certificate Transparency мониторингом формируют надежный периметр защиты от атак, связанных с компрометацией сертификатов и доменов. Эти технологии особенно критичны для организаций с большой публичной инфраструктурой и высокими требованиями к репутационной безопасности.

Эти две простые меры дают довольно серьезный результат. Attack surface сокращается, а время реакции на всякие неприятности с доменами — ускоряется в разы. Проверено на практике.

#CISO #Кибербезопасность #SSL #DNS #TDIR #SOC #Экспертам
Топ Кибербезопасности Батранкова