Pull to refresh

Google в скором времени перестанет доверять всем сертификатам WoSign и StartCom

Reading time 2 min
Views 19K
imageСогласно сообщению от компании Google, в скором времени (а именно — начиная с выпуска Chrome 61, который ожидается в середине сентября) будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведётся о сертификатах, выданных до 21 октября 2016 года, срок действия которых ещё не истёк (более новые сертификаты были заблокированы в прошлом году).

В Chrome 57 (вышедшем в марте 2017 года) частично уже было прекращено доверие к старым сертификатом, но для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь данный белый список будет убран и блокировка станет действовать в отношении выданных указанными СФ сертификатов к любому домену.

Стоит напомнить, что аналогичные меры уже действуют со стороны Mozilla: начиная с Firefox 51 (появившемся в января 2017 года) введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена.

История началась с того, что в прошлом году представители Mozilla выявили ряд серьёзных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а также начала процесс получения новых корневых сертификатов. Из нарушений можно отметить:

  • Игнорирование предписания, регламентирующего деятельность удостоверяющих центров, запрещающего использовать при создании сертификатов алгоритм SHA-1 с 1 января 2016 года (WoSign выписывал сертификаты с SHA-1 задним числом);
  • Получение контроля за другим удостоверяющим центром (StartCom) без раскрытия сведений о совершённой сделке;
  • Халатное отношение к безопасности, в частности применение устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей);
  • Был зафиксирован инцидент, в результате которого была произведена выдача постороннему лицу сертификата для одного из доменов GitHub.

Трудно объяснить логику, которой руководствовались в WoSign, производя столь рискованные для репутации действия, однако прецедент налицо.

UPD: Goolge некоторое время назад озвучил свои вопросы в отношении компании Symantec: примерно 30000 сертификатов, выданных этой компанией, были, судя по всему, выпущены без должной валидации владельцев доменов. Похоже, можно ожидать, что в ближайшем будущем Chrome перестанет доверять этому списку сертификатов.
Only registered users can participate in poll. Log in, please.
Используете ли Вы в настоящий момент сертификаты от WoSign и/или StartCom, и каковы ваши планы?
3.65% Использую, планирую продолжать 23
2.22% Использую, срочно откажусь 14
3.65% Использую, по истечению перейду на сертификаты от другого CA 23
38.35% Не использую, и никогда не использовал 242
26.78% Не использую, но использовал ранее 169
17.91% Что такое WoSign? 113
7.45% Что такое сертификат? 47
631 users voted. 181 users abstained.
Tags:
Hubs:
+13
Comments 62
Comments Comments 62

Articles