NIC Індії видав цифрові сертифікати на домени Google

    
 
2 липня компанія Google виявила кілька підроблених цифрових сертифікатів на свої домени, видані Національним центром сертифікації (NIC) Індії. Є ймовірність, що NIC видав сертифікати та на інші сайти, що не Google.
 
Сертифікати NIC Індії входять в каталог Indian Controller of Certifying Authorities (India CCA), який є частиною кореневого каталогу Microsoft Root Store . Тому, на жаль, фальшиві сертифікати приймалися у великій кількості програм під Windows, включаючи браузери Internet Explorer і Chrome. Тільки браузер Firefox використовує власний кореневий каталог, а не Microsoft Root Store.
 
Chrome на інших операційних системах, в тому числі Chrome OS, Android, iOS і OS X, не схильний уразливості. До того ж, конкретно для сайтів Google він і під Windows не прийняв би фальшиві сертифікати, бо кілька років тому після відомих інцидентів з CA компанія Google почала складати власний каталог і «прівязвает» свої сертифікати до Chrome (функція certificate pinning ).
 
Компанія Google повідомила про інцидент India NIC, India CCA і Microsoft. Центр India CCA відкликав сертифікати 3 липня і почав розслідування інциденту.
 
Фальшиві сертифікати випускалися і в минулі роки, у тому числі навмисно для проведення MiTM-атак на замовлення національних урядів кількох країн. Подібну підміну сертифікатів дуже складно виявити на стороні сервера. Фактично, не існує повністю надійного способу зробити таку перевірку. У даному випадку підробка була помічена, можна сказати, випадково — завдяки згаданій функції certificate pinning для сайтів Google.
 
Користувачам Chrome не потрібно робити додаткових дій для захисту. Тим не менш, цей інцидент в черговий раз звертає увагу на важливість підвищення безпеки системи CA в майбутньому. Наприклад, можна використовувати глобальну базу даних з публічними сертифікатами, з якою буде звірятися браузер.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.