Российская группа компаний SafeTech, резидент IT-кластера фонда “Сколково”, выпустила обновление продукта SafeTech CA. SafeTech CA (Certificate Authority), призванный импортозаместить Microsoft СА, стал безопаснее и удобнее своего иностранного аналога.

SafeTech CA (Certificate Authority) — современный отечественный центр сертификации. CA является ключевым компонентом в инфраструктуре открытых ключей — выдает, приостанавливает и отзывает сертификаты, используемые внутри компании для различных технологических нужд.

Одна из главных новаций – в продукте появилась поддержка ГОСТ-криптоалгоритмов, а также функции хранения ключей CA в HSM. Такой функционал был реализован в сотрудничестве и на базе решения КриптоПро. В современных реалиях, многие компании переводят некоторые процессы, связанные с PKI-инфраструктурой, на ГОСТ-криптоалгоритмы – где-то под давлением регуляторных требований по ИБ, где-то руководствуясь оценками рисков и критичностью процесса. Поддержка ГОСТ в SafeTech CA дает потенциальным заказчикам больше гибкости, т.к. им больше не нужно строить разные контуры в рамках PKI-инфраструктуры под разные криптографические алгоритмы от разных производителей. Решение SafeTech CA в этом смысле становится универсальным.

Еще одно из наиболее значимых функциональных изменений – появление поддержки протокола SCEP. Теперь у SafeTech CA есть возможность выпускать сертификаты для очень широкого круга сетевого оборудования и устройств, работающих на разных операционных системах — Linux, Mac и iOS. Поддержка протокола SCEP, наряду с протоколом MS Enrollment, позволяет уже сейчас практически полностью закрыть потребности компаний в выпуске технических сертификатов. А в рамках специфических требований в roadmap продукта включены работы по поддержке протоколов ACME и SSH, которые будут реализованы в плановом порядке.

Помимо этого, в SafeTech CA была реализована поддержка OCSP протокола, позволяющая проверять статус сертификата — отозван он или нет, в режиме онлайн. Это дает возможность автоматизировать множество процессов и минимизировать временной зазор между публикацией списков отозванных сертификатов.

Дополнительно, в рамках обновления была проведена существенная работа в части повышения безопасности при использовании решения SafeTech CA. За основу были взяты общеизвестные уязвимости некорректной конфигурации сервисов ADCS, при которых появлялись риски компрометации инфраструктуры компании из-за специфики текущего функционала Microsoft СА. В рамках обновленной версии SafeTech CA данные риски были полностью нивелированы ввиду невозможности проведения атак такого типа.

«Переход на отечественный СА — это не только снижение риска нарушения работы сервисов Microsoft и выполнение требований по импортозамещению.  SafeTech CA – более современный и безопасный продукт, который к тому же удобнее своего иностранного аналога», — отмечает генеральный директор SafeTech Lab Александр Санин.