Mozilla прекращает доверие к новым сертификатам WoSign и StartCom

Компания Mozilla предупредила пользователей о скором прекращении доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также купленном им в августе удостоверяющем центре StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.

Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить завязанные на SHA-1 корневые сертификаты WoSign, но время их удаления пока не определено и может быть соотнесено с планами переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления фактов продолжения генерации клиентских сертификатов, заверенных с использованием алгоритма хэширования SHA-1. После того как для алгоритма SHA-1 был выявлен ускоренный метод подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы были внесены изменения, предписывавающие с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.

Вторым серьезным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром - StartCom, без раскрытия сведений о совершенной сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены факты использования WoSign инфраструктуры StartCom и перекрестному утверждению сертификатов.

Кроме того, критике подверглось отношение WoSign к обеспечению безопасности. Например, недавно были опубликованы сведения об уязвимости, позволяющей получить корректно заверенные сертификации для сайтов, допускающих размещение пользовательской информации на поддоменах. Уязвимость оставалась неисправленной 14 месяцев после уведомления о проблеме и до сих пор не все полученные через эксплуатацию уязвимости сертификаты отозваны.