Google исключит корневой сертификат китайского государственного удостоверяющего центра CNNIC из своих продуктов, в частности из Chrome. Такое решение стало следствием неспособности CNNIC обеспечить надлежащий технический и административный контроль за прозрачным и надлежащим использованием сертификатов и ключей промежуточных удостоверяющих центров (intermediate certificate authorities). Mozilla примет решение относительно корневого сертификата CNNIC в ближайшее время.
Ранее, 23 марта, Google сообщил об обнаружении в интернете неавторизованных HTTPS-сертификатов для доменов Google (т.е. кто-то представлялся Google, им не являясь). Расследование показало, что сертификаты были выданы промежуточным удостоверяющим центром, находящимся под CNNIC. В CNNIC пояснили, что промежуточный CA использовался компанией MCS Holdings для перехвата трафика сотрудников внутри компании (man-in-the-middle proxy). Обычно для подобных целей используются приватные сертификаты с соответствующей настройкой рабочих мест. Но тут в прокси был установлен публичный промежуточный CA.
Это не первый подобный случай. Год назад ровно по такой же схеме выступили французы из ANSSI, правда их корневой сертификат Google отзывать не стал.
CNNIC сможет вернуться в продукты Google с новым корневым сертификатом в том случае, если обеспечит процедуры прозрачности, предложенные Google.
Забавно, что в своем заявлении Google «аплодирует» китайским коллегам за их проактивную позицию и участие в совместном расследовании:
We applaud CNNIC on their proactive steps, and welcome them to reapply once suitable technical and procedural controls are in place.
А вот китайские коллеги, судя по публикации ARS, считают решение Google неприемлемым:
The decision that Google has made is unacceptable and unintelligible to CNNIC, and meanwhile CNNIC sincerely urge that Google would take users' rights and interests into full consideration.
(Само заявление китайцев, похоже, размещено за китайским фаерволом, поэтому из России открывается не всегда).