2 июля компания Google обнаружила несколько поддельных цифровых сертификатов на свои домены, выданные Национальным центром сертификации (NIC) Индии. Есть вероятность, что NIC выдал сертификаты и на другие сайты, не Google.
Сертификаты NIC Индии входят в каталог Indian Controller of Certifying Authorities (India CCA), который является частью корневого каталога Microsoft Root Store. Поэтому, к сожалению, фальшивые сертификаты принимались в большом количестве программ под Windows, включая браузеры Internet Explorer и Chrome. Только браузер Firefox использует собственный корневой каталог, а не Microsoft Root Store.
Chrome на других операционных системах, в том числе Chrome OS, Android, iOS и OS X, не подвержен уязвимости. К тому же, конкретно для сайтов Google он и под Windows не принял бы фальшивые сертификаты, потому что несколько лет назад после известных инцидентов с CA компания Google начала составлять собственный каталог и «привязвает» свои сертификаты к Chrome (функция certificate pinning).
Компания Google уведомила об инциденте India NIC, India CCA и Microsoft. Центр India CCA отозвал сертификаты 3 июля и начал расследование инцидента.
Фальшивые сертификаты выпускались и в прошлые годы, в том числе намеренно для проведения MiTM-атак по заказу национальных правительств нескольких стран. Подобную подмену сертификатов очень сложно обнаружить на стороне сервера. Фактически, не существует полностью надёжного способа сделать такую проверку. В данном случае подделка была замечена, можно сказать, случайно — благодаря упомянутой функции certificate pinning для сайтов Google.
Пользователям Chrome не нужно предпринимать дополнительных действий для защиты. Тем не менее, этот инцидент в очередной раз обращает внимание на важность повышения безопасности системы CA в будущем. Например, можно использовать глобальную базу данных с публичными сертификатами, с которой будет сверяться браузер.
Автор: alizar