- PVSM.RU - https://www.pvsm.ru -
Google исключит [1] корневой сертификат китайского государственного удостоверяющего центра CNNIC из своих продуктов, в частности из Chrome. Такое решение стало следствием неспособности CNNIC обеспечить надлежащий технический и административный контроль за прозрачным и надлежащим использованием сертификатов и ключей промежуточных удостоверяющих центров (intermediate certificate authorities). Mozilla примет [2] решение относительно корневого сертификата CNNIC в ближайшее время.
Ранее, 23 марта, Google сообщил [1] об обнаружении в интернете неавторизованных HTTPS-сертификатов для доменов Google (т.е. кто-то представлялся Google, им не являясь). Расследование показало, что сертификаты были выданы промежуточным удостоверяющим центром, находящимся под CNNIC. В CNNIC пояснили, что промежуточный CA использовался компанией MCS Holdings для перехвата трафика сотрудников внутри компании (man-in-the-middle proxy). Обычно для подобных целей используются приватные сертификаты с соответствующей настройкой рабочих мест. Но тут в прокси был установлен публичный промежуточный CA.
Это не первый подобный случай. Год назад ровно по такой же схеме выступили [3] французы из ANSSI, правда их корневой сертификат Google отзывать не стал.
CNNIC сможет вернуться в продукты Google с новым корневым сертификатом в том случае, если обеспечит процедуры прозрачности, предложенные [4] Google.
Забавно, что в своем заявлении Google «аплодирует» китайским коллегам за их проактивную позицию и участие в совместном расследовании:
We applaud CNNIC on their proactive steps, and welcome them to reapply once suitable technical and procedural controls are in place.
А вот китайские коллеги, судя по публикации [2] ARS, считают решение Google неприемлемым:
The decision that Google has made is unacceptable and unintelligible to CNNIC, and meanwhile CNNIC sincerely urge that Google would take users' rights and interests into full consideration.
(Само заявление [5] китайцев, похоже, размещено за китайским фаерволом, поэтому из России открывается не всегда).
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/google/87809
Ссылки в тексте:
[1] исключит: http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-digital-certificate-security.html
[2] примет: http://arstechnica.com/security/2015/04/google-chrome-will-banish-chinese-certificate-authority-for-breach-of-trust/
[3] выступили: http://googleonlinesecurity.blogspot.ru/2013/12/further-improving-digital-certificate.html
[4] предложенные: http://www.certificate-transparency.org/what-is-ct
[5] заявление: http://www1.cnnic.cn/AU/MediaC/Announcement/201504/t20150402_52049.htm
[6] Источник: https://roem.ru/02-04-2015/190914/cnnic-chrome-ff-no-roots/
Нажмите здесь для печати.