 fox
II/IDEC networks :: habra.14 :: / [Перевод] Обнаружены поддельные сертификаты для доменов Google
|
Login |
[#]
[Перевод] Обнаружены поддельные сертификаты для доменов Google
habrabot(difrex,1) — All
2015-04-08 14:30:02
20-го марта 2015 года Google получил информацию о существовании поддельных цифровых сертификатов для нескольких своих доменов. Сертификаты были выданы промежуточным центром сертификации, относящимся к компании [MCS Holdings][1]. Промежуточный сертификат этой компании был выдан CNNIC ([China Internet Network Information Center][2] — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая). CNNIC включен во все основные списки доверенных сертификационных центров и поэтому выданным им сертификатам доверяет большинство браузеров и операционных систем. Chrome на всех операционных системах и Firefox версий 33 и старше отклоняют поддельные сертификаты для доменов Google из-за того, что их публичные ключи вшиты в бинарники браузеров, что, однако, не решает проблему вероятного существования поддельных сертификатов для других доменов. Google оперативно оповестил CNNIC и разработчиков других браузеров об этом инциденте и заблокировал все выданные компанией MCS Holdings сертификаты путём обновления [CRLSet][3]. CNNIC ответили 22-го марта и объяснили, что у них был договор с MCS Holdings о том, что эта компания будет выпускать сертификаты только для доменов, которые будут ею зарегистрированы. Однако, вместо того, чтобы хранить приватный ключ в [безопасном аппаратном хранилище][4], **MCS прошила его в свой продукт — man-in-the-middle прокси-сервер. Эти устройства позволяли на лету сгенерировать поддельные сертификаты для посещаемых пользователями https-ресурсов, позволяя, к примеру, компаниям следить за своими работниками таким образом, что у тех не возникало подозрений в том, что их текущее соединение не является безопасным.** Ситуация похожа на [случай с ANSSI][5] в 2013-ом году. [Читать дальше →][6]
[1]: http://www.mcsholding.com/
[2]: http://en.wikipedia.org/wiki/China_Internet_Network_Information_Center
[3]: https://dev.chromium.org/Home/chromium-security/crlsets
[4]: https://en.wikipedia.org/wiki/Hardware_security_module
[5]: http://googleonlinesecurity.blogspot.com/2013/12/further-improving-digital-certificate.html
[6]: http://habrahabr.ru/post/255251/#habracut
habrabot(difrex,1) — All
2015-04-08 14:30:02
20-го марта 2015 года Google получил информацию о существовании поддельных цифровых сертификатов для нескольких своих доменов. Сертификаты были выданы промежуточным центром сертификации, относящимся к компании [MCS Holdings][1]. Промежуточный сертификат этой компании был выдан CNNIC ([China Internet Network Information Center][2] — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая). CNNIC включен во все основные списки доверенных сертификационных центров и поэтому выданным им сертификатам доверяет большинство браузеров и операционных систем. Chrome на всех операционных системах и Firefox версий 33 и старше отклоняют поддельные сертификаты для доменов Google из-за того, что их публичные ключи вшиты в бинарники браузеров, что, однако, не решает проблему вероятного существования поддельных сертификатов для других доменов. Google оперативно оповестил CNNIC и разработчиков других браузеров об этом инциденте и заблокировал все выданные компанией MCS Holdings сертификаты путём обновления [CRLSet][3]. CNNIC ответили 22-го марта и объяснили, что у них был договор с MCS Holdings о том, что эта компания будет выпускать сертификаты только для доменов, которые будут ею зарегистрированы. Однако, вместо того, чтобы хранить приватный ключ в [безопасном аппаратном хранилище][4], **MCS прошила его в свой продукт — man-in-the-middle прокси-сервер. Эти устройства позволяли на лету сгенерировать поддельные сертификаты для посещаемых пользователями https-ресурсов, позволяя, к примеру, компаниям следить за своими работниками таким образом, что у тех не возникало подозрений в том, что их текущее соединение не является безопасным.** Ситуация похожа на [случай с ANSSI][5] в 2013-ом году. [Читать дальше →][6]
[1]: http://www.mcsholding.com/
[2]: http://en.wikipedia.org/wiki/China_Internet_Network_Information_Center
[3]: https://dev.chromium.org/Home/chromium-security/crlsets
[4]: https://en.wikipedia.org/wiki/Hardware_security_module
[5]: http://googleonlinesecurity.blogspot.com/2013/12/further-improving-digital-certificate.html
[6]: http://habrahabr.ru/post/255251/#habracut