20-го марта 2015 года Google получил информацию о существовании поддельных цифровых сертификатов для нескольких своих доменов. Сертификаты были выданы промежуточным центром сертификации, относящимся к компании MCS Holdings. Промежуточный сертификат этой компании был выдан CNNIC (China Internet Network Information Center — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая).
CNNIC включен во все основные списки доверенных сертификационных центров и поэтому выданным им сертификатам доверяет большинство браузеров и операционных систем. Chrome на всех операционных системах и Firefox версий 33 и старше отклоняют поддельные сертификаты для доменов Google из-за того, что их публичные ключи вшиты в бинарники браузеров, что, однако, не решает проблему вероятного существования поддельных сертификатов для других доменов.
Google оперативно оповестил CNNIC и разработчиков других браузеров об этом инциденте и заблокировал все выданные компанией MCS Holdings сертификаты путём обновления CRLSet. CNNIC ответили 22-го марта и объяснили, что у них был договор с MCS Holdings о том, что эта компания будет выпускать сертификаты только для доменов, которые будут ею зарегистрированы. Однако, вместо того, чтобы хранить приватный ключ в безопасном аппаратном хранилище, MCS прошила его в свой продукт — man-in-the-middle прокси-сервер. Эти устройства позволяли на лету сгенерировать поддельные сертификаты для посещаемых пользователями https-ресурсов, позволяя, к примеру, компаниям следить за своими работниками таким образом, что у тех не возникало подозрений в том, что их текущее соединение не является безопасным. Ситуация похожа на случай с ANSSI в 2013-ом году.
Данное объяснение полностью согласуется с фактами. Однако CNNIC всё ещё не отозвал сертификат у компании MCS Holdings, хотя по всем правилам обязан это сделать.
Пользователям Chrome не нужно ничего предпринимать в связи с тем, что они защищены последним обновлением CRLSet. Google не располагает информацией о потере персональных данных или паролей пользователей.
Данное происшествие ещё раз подтверждает важность проекта Certificate Transparency для защиты безопасности сертификатов в будущем.
(Детали поддельной цепочки сертификатов для разработчиков ПО — здесь)
Обновление: в результате совместного расследования данного инцидента специалистами Google и CNNIC, было принято решение исключить сертификаты CNNIC Root и EV из списка доверенных в продуктах Google. Это будет сделано в следующем обновлении Chrome. В целях уменьшения ущерба для конечных пользователях ещё некоторое время эти сертификаты будут считаться доверенными в Chrome путём включения их во временный «белый список». Google и CNNIC считают, что больше поддельных сертификатов выпущено не будет, а уже выпущенные использовались лишь во внутренней тестовой сети компании MCS Holdings. CNNIC будет работать над внедрением Certificate Transparency для всех своих сертификатов и по окончанию процедур усовершенствования контроля подаст заявку на повторное включение в список доверенных сертификационных центров.
Автор: tangro