SSL-сертификаты, созданные для мошенничества, были добавлены Microsoft в черный список

Корпорация Microsoft добавила в черный список сертификаты от подчиненного центра сертификации, незаконно выданные нескольким сайтам Google. Эти сертификаты могли использоваться в спуфинг-атаках с сайтов Google на пользователей IE.

Промежуточный сертификат от проверенного и авторитетного центра сертификации CNNIC был выдан египетской компании MCS Holding. Эта компания получила права на выпуск SSL-сертификатов для других доменов, т.е. центр CNNIC просто передал свои полномочия компании MCS Holding, которая стала подчиненным центром регистрации.

Компания MCS Holdings решила установить подчиненный сертификат в аппаратный файервол с возможностями контроля трафика SSL/TLS. Широкое использование доверенного сертификата в целях корпоративной безопасности – опасный шаг, ведь злоумышленники могут взломать аппаратный файрвол и украсть сертификат, который впоследствии может применяться для спуфинг-атак пользователей сети.

В понедельник Google и Mozilla внесли сертификаты от MCS Holdings в черный список, поэтому браузеры Chrome и Firefox больше им не доверяют. Во вторник к ним присоединилась и корпорация Microsoft вместе со своим браузером Internet Explorer. Также это решение повлияло и на остальные программы, которые используют для проверки сертификатов корневое хранилище сертификатов Windows.

Mozilla в данный момент решает вопрос – нужно ли наказать центр регистрации CNNIC за выдачу промежуточного сертификата, ведь этот шаг стал нарушением политики компании. В процессе обсуждения этой проблемы представитель центра CNNIC отметил, что сертификат был выпущен на две недели, причем компания MCS Holdings могла генерировать сертификаты только для своих доменов.

Однако, даже принимая во внимание этот факт, центр регистрации CNNIC все равно нарушил требования политики Mozilla CA Certificate Inclusion Policy по выпуску подчиненных сертификатов.

Как отмечено в этой политике, сертификаты подчиненных центров регистрации должны быть либо технически ограничены (т.е. они могут быть использованы для выпуска сертификатов только для определенных доменов), либо подвергаться тому же аудиту, что и сертификаты основного центра регистрации.

Тот сертификат, который был выдан CNNIC, не отвечал ни одному из представленных условий. В данный момент представители Mozilla обсуждают санкции, которые могут быть наложены на CNNIC.