Скандал с корнями CNNIC
Китайский удостоверяющий центр CNNIC, признаваемый всеми основными браузерами, поучаствовал своими ключами в выпуске промежуточного сертификата, который использовался в прозрачно перехватывающем трафик SSL-прокси. Об этом, конечно, стало быстро известно в Google (потому что браузер Chrome устроен достаточно добротно). Объяснения от CNNIC сводятся к тому, что, дескать, это всё была тестовая среда, а сертификаты утекли наружу случайно. Итог пока такой: корень CNNIC таки изымают из продуктов Google:
“As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products.” (В результате совместного расследования событий, связанных с данным инцидентом, мы приняли решение что CNNIC Root и EV УЦ больше не признаются продуктами Google.)
Это весьма резкое решение, но, собственно, такого варианта следовало ожидать. Mozilla пока думает, но в том же самом направлении. А для повторного включения корней CNNIC в браузеры планируют потребовать от УЦ поддержки Certificate Transparency.
В CNNNIC уже ответили, в том ключе, что шаг Google – неприемлем, требуют задуматься о правах пользователей.
Ссылка по теме: перехват HTTPS.
Update, 04/04/15: Mozilla подключилась – сертификаты, впущенные от корней CNNIC после 1 апреля 2015, не признаются. Таким образом, CNNIC, как коммерческий УЦ, теряет всякий смысл. Интересно, как прореагируют в Китае?
Адрес записки: https://dxdt.ru/2015/04/02/7343/
Похожие записки:
- Утечки данных YubiKey/Infineon
- CVE-2024-3661 (TunnelVision) и "уязвимость" всех VPN
- Обновление темы dxdt.ru
- Техническое: где в ECDSA эллиптическая кривая
- "Утопические города" и California Forever
- Реплика: технологии разного уровня
- Метки в текстах LLM и целевое влияние на результат
- Одновременность состояний и суперпозиция для Конгресса
- Фотографии штатовских президентов
- ИИ и определения в СМИ
- Сорок лет Интернету
Комментарии читателей блога: 2
1 <t> // 3rd April 2015, 01:14 // Читатель Jno написал:
Право быть прослушанным?
2 <t> // 3rd April 2015, 22:50 // Читатель Z.T. написал:
https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/