Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Podrobione certyfikaty dla domen Google – zamieszane… Chiny
Google security blog informuje o wykryciu podrobionych (ale akceptowanych przez przeglądarki jako zaufane) certyfikatów dla kilku domen będących w posiadaniu Google.
Certyfikaty zostały wystawione przez pośrednie CA (intermediate CA) – firmy MCS Holding, która otrzymała swój certyfikat od root CA chińskiej organizacji CNNIC.
Root CA CNNIC jest w domyślnym cert store choćby Firefoxa (dla dociekliwych: narzędzia -> opcje -> zaawansowane -> certyfikaty -> wyświetl certyfikaty) i Chrome:
W ramach obsługi incydentu Google unieważnił w Chrome certyfikat MCS Holding za pomocą mechanizmu CRLPush oraz poinformował o problemie dostawców innych przeglądarek.
Do czego MCS używało certyfikatów? M.in. w urządzeniach realizujących MiTM w firmach (rozszyfrowujących komunikację SSL) – w takim przypadku widzimy komunikację szyfrowaną np. z google.com – a jest ona po cichu odszyfrowywana i analizowana. CNNIC umywa ręce, choć i tak Google wskazuje że chińska organizacja delegowała swoje uprawnienia (CA), do firmy która w ogóle nie powinna się zajmować operacjami związanymi z CA…
–ms
W mozilli były dyskusje przez wiele lat czy ufać
https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c18
https://freedom-to-tinker.com/blog/felten/mozilla-debates-whether-trust-chinese-ca/
i wyszło tak jak wielu przepowiadało
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/