Podrobione certyfikaty dla domen Google – zamieszane… Chiny

Google security blog informuje o wykryciu podrobionych (ale akceptowanych przez przeglądarki jako zaufane) certyfikatów dla kilku domen będących w posiadaniu Google.

Certyfikaty zostały wystawione przez pośrednie CA (intermediate CA) – firmy MCS Holding, która otrzymała swój certyfikat od root CA chińskiej organizacji CNNIC.

Root CA CNNIC jest w domyślnym cert store choćby Firefoxa (dla dociekliwych: narzędzia -> opcje -> zaawansowane -> certyfikaty -> wyświetl certyfikaty) i Chrome:

W ramach obsługi incydentu Google unieważnił w Chrome certyfikat MCS Holding za pomocą mechanizmu CRLPush oraz poinformował o problemie dostawców innych przeglądarek.

Do czego MCS używało certyfikatów? M.in. w urządzeniach realizujących MiTM w firmach (rozszyfrowujących komunikację SSL) – w takim przypadku widzimy komunikację szyfrowaną np. z google.com – a jest ona po cichu odszyfrowywana i analizowana. CNNIC umywa ręce, choć i tak Google wskazuje że chińska organizacja delegowała swoje uprawnienia (CA), do firmy która w ogóle nie powinna się zajmować operacjami związanymi z CA…

–ms