StartCom și WoSign - Autorități de certificare SSL majore - interzise de Google Chrome

Certificate SSL majore interzise de Google Chrome!

În conformitate cu condițiile unei pedepse anunțate de Google anul anterior, gigantul web a emis o declarație spunând că nu mai poate avea încredere în autoritățile de certificare TLS sau SSL WoSign precum și filiala sa, StartCom. Acest lucru vine chiar înainte de lansarea Chrome 61. Motivul acestei interdicții? Ei bine, potrivit Google, cele două autorități de certificare nu au reușit să respecte standardele înalte așteptate de către autoritățile competente.

Deși șocantă, mișcarea cu greu poate fi numită o surpriză având în vedere modul în care Google a primit notificări de către echipa de securitate de la GitHub pe 17^a În luna august a anului trecut, cu privire la faptul că WoSign - Autoritatea de certificare chineză - a înmânat un certificat de bază pentru unul dintre domeniile GitHub unui utilizator GitHub nedivulgat, fără a cere niciun fel de autorizație.

De ce Google a apărut cu decizia?

Odată ce au apărut știrile despre această problemă, echipa Google a lansat o anchetă completă. Această investigație urma să fie publică în colaborare cu Mozilla și comunitatea de securitate mai largă. Ancheta a dovedit foarte curând câteva dovezi interesante cu privire la diverse alte cazuri care au implicat emiterea necorespunzătoare de certificate din partea WoSign.

Datorită rezultatului anchetei, Google nu a avut altă opțiune decât să reducă încrederea certificatelor care au fost susținute de StartCom și WoSign la cele care au fost eliberate înainte de 21^Sf din octombrie anul trecut. Mai mult decât atât, gigantul tehnologic este în prezent în curs de eliminare a diferitelor nume de gazdă pe listă albă de-a lungul diferitelor versiuni Chrome de la Google Chrome 56.

Acum, conform conținutului unei postări recente pe Google a lui Devon O'Brien, inginer de securitate pentru Chrome, compania va elimina în cele din urmă lista albă din ultima versiune a Chrome. Ceea ce înseamnă acest lucru este că Google a decis să ne încredă pe deplin în prezentele certificate StartCom și WoSign. O'Brien spune că începând cu Chrome 61, lista albă nu va mai fi acolo, ducând astfel la o neîncredere deplină față de orice certificate rădăcină existente de către WoSign și StartCom, filiala sa, împreună cu orice certificate emise de aceștia.

Conform Chromium Development Calender, toate aceste modificări care au fost implementate vor fi vizibile în canalul Chrome Dev în intervalul următoarelor câteva săptămâni. Canalul Chrome Beta va prezenta aceste modificări în ultima parte a lunii iulie 2017, în timp ce versiunea stabilă va reflecta aceste modificări la mijlocul lunii septembrie 2017.

În ultimul an, Mozilla și Apple și-au revocat încrederea de la WoSign și StartCom a fost cea care a eliberat certificatele pentru browserele lor web, din cauza unor erori de management și tehnice.

Acestea sunt Backdating Certificate SSL

Potrivit lui Kathleen Wilson, care este șeful programului rădăcină de încredere pentru Mozilla, au găsit dovezi că WoSign și StartCom au datat înapoi certificatele SSL, astfel încât să poată găsi o cale de a depăși termenul limită, ceea ce a împiedicat CA-urile să emită certificate SHA-1 SSL după 1^Sf din ianuarie 2016. Aceasta este o afirmație foarte serioasă și ar putea avea repercusiuni majore pentru autoritățile de certificare SSL în viitor.

Totuși, asta nu este tot. Mozilla a fost, de asemenea, cel care a descoperit că WoSign a preluat drept de proprietate cu normă întreagă o altă CA cunoscută sub numele de StartCom, dar nu a reușit să dezvăluie aceste informații, deși a fost menționată clar în politica Mozilla.

Problemele legate de serviciul certificatului WoSign datează din iulie 2015, iar aceste informații au fost dezvăluite public anul trecut de Gervase Markham. Potrivit programatorului britanic Mozilla, un cercetător neidentificat a dat peste această supraveghere de securitate accidental când încerca să primească un certificat pentru „med.ucf.edu”. De asemenea, trimisese o cerere pentru „www.ucf.ed”, iar WoSign i-a dat aprobarea, oferind certificatul pentru domeniul primar al universității.

Pentru a testa acest lucru, cercetătorul de securitate a folosit același truc împotriva domeniilor bazate pe GitHub. Și-a dovedit controlul asupra unui subdomeniu și șocant, WoSign i-a dat certificatul și pentru principalele domenii ale GitHub.

Astfel, începând cu sfârșitul acestui an, începând cu septembrie 2017, oricine vizitează site-uri web care utilizează certificatele StartCom și WoSign HTTPS vor primi avertismente de încredere în browserele lor web.