Телеграм канал «Об ЭП и УЦ»

Вчера, 27 мая 2026 года, на 82 году жизни скончался отец-основатель отечественной PKI, идейный вдохновитель и неизменный председатель Программного комитета PKI-Форума, доктор технических наук, действительный член Академии криптографии России, Российской академии инженерных наук и Международной академии связи Владимир Георгиевич Матюхин.

Светлая память Владимиру Георгиевичу

⚡️ Let's Encrypt опубликован полный отчет об инциденте с сертификатами

В мае 2026 года Let's Encrypt пришлось отзывать и перевыпутить три кросс-сертификата для иерархии Gen Y. Причиной стало отсутствие расширения serverAuth EKU, которое стало обязательным по новой политике CCADB.

🔹Сертификаты были выпущены 3 сентября 2025, требование CCADB вступило 15 июня 2025.

Почему так произошло - сообщается в отчете, конфигурацию для сертификатов просто скопировали с настройки 2020 года, проверили по Базовым требованиям (BR), но не сверили с политикой CCADB.

🔹Для 688 413 сертификатов конечных пользователей пришлось отправить сигнал ARI, т.е. "срочно обновить", чтобы избежать проблем с проверкой цепочек доверия.

🔹Что мне понравилось в отчёте, Let's Encrypt честно перечисляет недочёты в своих процессах:
- Анонс новой политики CCADB и похожий инцидент у IdenTrust были пропущены дежурным инженером из-за большого потока из 50+ багов в неделю.
- Стандартные линтеры (zlint) не различают кросс-сертификаты от обычных и не проверяют требования CCADB. Ошибки из-за отсутствия EKU игнорировались как ложные срабатывания.
- Правила к профилям сертификатов появились в документе CCADB, где их никто не ожидал увидеть, а не в привычных BR.

Let's Encrypt в течение 5 дней отозвали и заменили сертификаты, обновили CP/CPS и пообещали доработать линтеры, чтобы исключить человеческий фактор при проверке сертификатов. Если бы ошибка была обнаружена после 15 июня 2026, политика Chrome не позволила бы нам повторно перевыпустить кроссы.

Let's Encrypt считают, что требование о наличии расширения serverAuth EKU в кросс-сертификатах логичнее закрепить в Базовых требованиях CA/Browser Forum, а не в Политике CCADB. Поэтому они пообещали:
"...начать обсуждение бюллетеня (ballot) на CA/Browser Forum, чтобы закрепить это требование в BR, что позволит убрать его из Политики CCADB".

При этом в отчёте честно оговаривается, что точная дата финального голосования и принятия поправок непредсказуема, так как стандартный цикл рассмотрения и голосования в CA/B Forum может занять длительное время (срок начала обсуждения 26 июня 2026).

Читаешь всё это и в очередной раз убеждаешься, какой же бардак происходит с нашим PKI. Не могу представить, чтобы Головной УЦ также оперативно реагировал.

✍️"Об ЭП и УЦ"

Про международное доверие

UNCITRAL и путь инфраструктуры доверия в цифровых сделках
«В сделках на бумажной основе доверие часто подкрепляется физическими подписями, печатями, оригиналами документов, официальными сертификатами, а также бумажными записями. Но в электронных сделках доверие должно обеспечиваться иным способом, и именно поэтому становится важен Типовой закон. Он касается не только электронных подписей, но и таких аспектов, как управление идентификацией, электронные печати, электронные отметки времени, электронное архивирование. У нас также есть электронные заказные службы доставки и аутентификация веб-сайтов», — сотрудник по правовым вопросам Секретариата Комиссии ООН по праву международнои‌ торговли Александр Кунцельман в рамках MGIMO UNCITRAL days 2026

Комиссия Парламентского собрания обсудила взаимное признание электронной подписи Беларуси и России
"Что касается признания электронной цифровой подписи, то работы проводились в течение двух месяцев. Они проходили в два этапа. Проверили саму возможность признания, нагрузку и так далее", - рассказал замминистра.

Одна из тем повестки - взаимное признание электронной цифровой подписи и юридической силы электронных документов при трансграничном взаимодействии. Как проинформировал заместитель министра связи и информатизации Республики Беларусь Антон Алексеев, основные мероприятия закреплены в двух дорожных картах, подписанных между профильными министерствами.

Оценивать влияние медийной рекламы стало проще

Теперь исследование Target Lift может учитывать не только веб-конверсии, но и in-app события (заказы, заявки и другие действия в приложении) после контакта с медийной рекламой.

⚡Это особенно полезно для бизнесов, где приложение — один из ключевых каналов взаимодействия с аудиторией.

По результатам тестов, у таких бизнесов количество исследований со статистически значимыми приростами увеличивается на 60% по сравнению с результатами, которые они получали при анализе только веб-трафика.

Для настройки можно использовать AppMetrica, Adjust или AppsFlyer. При использовании Adjust или AppsFlyer важно настроить передачу данных по всем рекламным источникам, чтобы корректно учитывать post-view конверсии и получать более полную аналитику.

Подробнее в статье

Перейти на сайт

#реклама 16+
yandex.ru
О рекламодателе

✍️Новый стандарт ФСБ и Банка России: как оценивать влияние приложений на криптографию

Опубликован стандарт платформы цифрового рубля, утверждённый ФСБ России и Банком России. Документ регулирует порядок оценки влияния приложений клиентов на работу СКЗИ.

🔹Стандарт разработан для финансовых организаций - участников ПлЦР, которые разрабатывают или привлекают подрядчиков для создания клиентских приложений, использующих криптографию.
🔹Оценивается как работа ПО влияет на криптографические функции (генерация ключей, подпись, шифрование, TLS-каналы по ГОСТ и др.).
🔹 Финансовая организация должна:
- создать службу безопасности и контроля (штат с профильным образованием и опытом от 3 лет).
- заключить договор с испытательной лабораторией, уполномоченной 8 Центром ФСБ.
- передать в лабораторию исходный код, контрольные суммы и документацию на клиентское приложение.
🔹Лаборатория исследует приложение и выдаёт заключение. После этого участник получает выписку, которая даёт право применять упрощённый порядок при изменениях.
🔹Если изменения в приложении не затронули критический перечень (например, контрольные суммы или систему логирования), служба безопасности может сама зафиксировать изменения и отправить отчёт в лабораторию - повторная оценка требоваться не будет, поэтому возможны обновления клиентского приложения.
🔹Служба безопасности обязана не реже 1 раза в месяц сверять контрольные суммы приложения и криптографических средств.
🔹Если лаборатория выявит несоответствия или участник предоставил ложные данные, Банк России по согласованию с ФСБ может признать согласие неисполненным - участник потеряет право работы по упрощённой схеме.

📎 Приложением к стандарту идёт  обязательное "Согласие финансовой организации об обеспечении информационной безопасности" - без подписания которого работы не начнутся.

Порядок вступает в силу с 2026 года. Участникам ПлЦР стоит проверить свою организационную структуру и наличие лицензии ФСБ с пунктом 2 из перечня 313-ПП.

✍️"Об ЭП и УЦ"

Не грузится? Понимаем.

Бесплатный мессенджер для вашей компании - Битрикс24.
Личные и групповые чаты, видеозвонки, каналы и нейросеть. Всё привычно и удобно.

Можно перенести рабочие чаты и файлы из Telegram в Битрикс24.

Начните работать на бесплатном тарифе уже сейчас.

Узнать больше

#реклама 16+
bitrix24.ru
О рекламодателе