USD 65.99 ЕВРО 74.9

Microsoft внесла в черные списки мошеннические SSL сертификаты

Экономика

Microsoft внесла в черный список сертификат подчиненного CA, который незаконно использовался для выдачи SSL сертификатов нескольким веб-сайтам Google. Данное действие предотвратит использование этих сертификатов в веб-сайтах Google для атак спуфинга на пользователей Internet Explorer.

Данный шаг Microsoft, совершенный во вторник, произошел после сообщения Google о том, что Центр Сертификации (CA) Китайский Сетевой Информационный Центр (CNNIC), которому доверяют большинство браузеров и операционных систем, выпустил промежуточный сертификат для египетской компании под названием MCS Holdings. Эта компания использовала его в целях создания без авторизации SSL сертификатов для сайтов, принадлежащих Google.

Промежуточный сертификат дает его обладателю возможность выпуска SSL-сертификатов для других доменных имен. Другими словами, CNNIC делегировали свои полномочия Центра Сертификации компании MCS Holdings, превращая последнюю в подчиненный CA.

MCS Holdings установила подчиненный сертификат в аппаратный файервол с возможностями контроля трафика SSL/TLS. Такие устройства действуют как прокси man-in-the-middle (человек-в-середине — (MITM)) и используются некоторыми компаниями для осуществления своей политики ИТ-безопасности, даже если сотрудники посещают HTTPS веб-сайты.

Устройство MCS Holdings использует подчиненный сертификат для выдачи сертификатов нескольким доменным именам Google, и, возможно, другим сайтам, что позволяет анализировать зашифрованный трафик SSL/TLS между сотрудниками компании и этими веб-сайтами.

Широкое использование доверенного сертификата подчиненного Центра Сертификации в таких целях — опасно, потому что, если аппаратный файервол будет взломан и хакеры украдут сертификат, они смогут использовать его для запуска атаки спуфинга сайта против любого пользователя в Интернете.

Если компании хотят выполнять MITM SSL перехват в своих сетях, им следует использовать самогенерирующиеся CA сертификаты и вручную развернуть их на всех своих системах. Если такие сертификаты позже будут украдены, злоумышленники смогут воздействовать только на соответствующие организации, а не на всех пользователей.

Google и Mozilla в понедельник внесли в черный список сертификаты, которыми злоупотребляла MCS Holdings, так что им больше не доверяют Chrome и Firefox. Действия Microsoft продолжились во вторник расширением черного списка для Internet Explorer и любой другой программы, которая для проверки сертификатов опирается на корневое хранилище сертификатов Windows.

Mozilla, которая имеет свой собственный список доверенных корневых сертификатов CA, сейчас обсуждает вопрос — должен ли CNNIC быть наказан за выдачу промежуточного сертификата, так как китайская организация сделала это с нарушением политики Mozilla.

В ходе обсуждения вопроса на Mozilla Dev Security Policy, представитель CNNIC сказал, что организация выпустила промежуточный сертификат, который имел срок действия всего две недели, в качестве теста, в соответствии с соглашением, что MCS Holdings будет использовать его только для генерации сертификатов для своих собственных доменных имен.

Тем не менее, независимо от того, что MCS не соблюла это соглашение, CNNIC, кажется, не выполнил все требования для подчиненных сертификатов CA, которые указаны в политике Mozilla CA Certificate Inclusion Policy по выпуску и обращению с публично-доверенными сертификатами.

Наборы руководящих принципов требуют, чтобы сертификаты подчиненных CA были либо технически ограничены, чтобы они могли быть использованы только для выдачи сертификатов для конкретных доменных имен, или публично раскрыты и подвергались тем же типом аудитов, что и сертификаты корневого Центра Сертификации.

Промежуточный сертификат, выданный CNNIC, не соответствовал ни одному из этих условий, согласно комментариям Mozilla. Таким образом, участники дискуссии предложили санкции, которые варьируются от полного удаления CNNIC из списка ЦС, которым доверяет Mozilla до ограничения доверия CNNIC только доменами «.cn».