Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom
Компания Google предупредила, что начиная с выпуска Chrome 61, который ожидается в середине сентября, будет полностью прекращено доверие к сертификатам, выданным удостоверяющими центрами WoSign и StartCom. Речь ведется о сертификатах, выданных до 21 октября 2016 года, срок действия которых еще не истек (более новые сертификаты были заблокированы в прошлом году).
В Chrome 57 частично уже было прекращено доверие к старым сертификатом, для сайтов, входящих в первый миллион по рейтингу Alexa, было сделано исключение. Теперь белый список будет убран и блокировка будет повсеместной. Что касается Mozilla, то начиная с Firefox 51 введено ограничение для новых сертификатов WoSign и StartCom, но поддержка сертификатов, выданных до 21 октября 2016 года, пока сохранена.
Напомним, что в прошлом году представители Mozilla выявили ряд серьезных нарушений в работе WoSign и StartCom. В ответ компания WoSign инициировала аудит, работу по устранению замечаний и повышению безопасности своей внутренней инфраструктуры, а также начала процесс получения новых корневых сертификатов. Из нарушений можно отметить:
- Игнорирование предписания, регламентирующего деятельность удостоверяющих центров, запрещающего использовать при создании сертификатов алгоритм SHA-1 с 1 января 2016 года (WoSign выписывал сертификаты с SHA-1 задним числом);
- Получение контроля за другим удостоверяющим центром (StartCom) без раскрытия сведений о совершенной сделке;
- Халатное отношение к безопасности, в частности применение устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей).
- Зафиксирован инцидент, в результате которого была произведена выдача постороннему лицу сертификата для одного из доменов GitHub.
