- PVSM.RU - https://www.pvsm.ru -

Google в скором времени перестанет доверять всем сертификатам WoSign и StartCom

imageСогласно сообщению [1] от компании Google, в скором времени (а именно — начиная с выпуска Chrome 61, который ожидается в середине сентября) будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведётся о сертификатах, выданных до 21 октября 2016 года, срок действия которых ещё не истёк (более новые сертификаты были заблокированы в прошлом году).

В Chrome 57 (вышедшем в марте 2017 года) частично уже было прекращено доверие к старым сертификатом, но для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь данный белый список будет убран и блокировка станет действовать в отношении выданных указанными СФ сертификатов к любому домену.

Стоит напомнить, что аналогичные меры уже действуют со стороны Mozilla: начиная с Firefox 51 (появившемся в января 2017 года) введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена.

История началась с того, что в прошлом году представители Mozilla выявили [2] ряд серьёзных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а также начала процесс получения новых корневых сертификатов. Из нарушений можно отметить:

  • Игнорирование предписания, регламентирующего деятельность удостоверяющих центров, запрещающего использовать при создании сертификатов алгоритм SHA-1 с 1 января 2016 года (WoSign выписывал сертификаты с SHA-1 задним числом);
  • Получение контроля за другим удостоверяющим центром (StartCom) без раскрытия сведений о совершённой сделке;
  • Халатное отношение к безопасности, в частности применение устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей);
  • Был зафиксирован инцидент, в результате которого была произведена выдача постороннему лицу сертификата для одного из доменов GitHub.

Трудно объяснить логику, которой руководствовались в WoSign, производя столь рискованные для репутации действия, однако прецедент налицо.

Автор: Dmitry Choulindin

Источник [3]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/google/259936

Ссылки в тексте:

[1] сообщению: https://groups.google.com/a/chromium.org/forum/#!topic/net-dev/FKXe-76GO8Y

[2] выявили: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

[3] Источник: https://habrahabr.ru/post/332672/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best