Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Скандал с корнями CNNIC
Китайский удостоверяющий центр CNNIC, признаваемый всеми основными браузерами, поучаствовал своими ключами в выпуске промежуточного сертификата, который использовался в прозрачно перехватывающем трафик SSL-прокси. Об этом, конечно, стало быстро известно в Google (потому что браузер Chrome устроен достаточно добротно). Объяснения от CNNIC сводятся к тому, что, дескать, это всё была тестовая среда, а сертификаты утекли наружу случайно. Итог пока такой: корень CNNIC таки изымают из продуктов Google:
“As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products.” (В результате совместного расследования событий, связанных с данным инцидентом, мы приняли решение что CNNIC Root и EV УЦ больше не признаются продуктами Google.)
Это весьма резкое решение, но, собственно, такого варианта следовало ожидать. Mozilla пока думает, но в том же самом направлении. А для повторного включения корней CNNIC в браузеры планируют потребовать от УЦ поддержки Certificate Transparency.
В CNNNIC уже ответили, в том ключе, что шаг Google – неприемлем, требуют задуматься о правах пользователей.
Ссылка по теме: перехват HTTPS.
Update, 04/04/15: Mozilla подключилась – сертификаты, впущенные от корней CNNIC после 1 апреля 2015, не признаются. Таким образом, CNNIC, как коммерческий УЦ, теряет всякий смысл. Интересно, как прореагируют в Китае?
Адрес записки: https://dxdt.ru/2015/04/02/7343/
Похожие записки:
- TLS-сертификаты dxdt.ru
- Партнёрское API для сертификатов в ТЦИ
- "Пасхалки" в трафике
- Обновление темы dxdt.ru
- Вращение Солнца и соцопросы
- Ретроспектива заметок: деанонимизация по географии
- Трафик на тестовом сервере TLS 1.3 и ESNI
- Техническое описание TLS: обновление 2022
- Сорок лет Интернету
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
- Симметричные ключи, аутентификация и стойкость в TLS
Комментарии читателей блога: 2
1. 3rd April 2015, 01:14 // Читатель Jno написал:
Право быть прослушанным?
2. 3rd April 2015, 22:50 // Читатель Z.T. написал:
https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/