Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Скандал с корнями CNNIC
Китайский удостоверяющий центр CNNIC, признаваемый всеми основными браузерами, поучаствовал своими ключами в выпуске промежуточного сертификата, который использовался в прозрачно перехватывающем трафик SSL-прокси. Об этом, конечно, стало быстро известно в Google (потому что браузер Chrome устроен достаточно добротно). Объяснения от CNNIC сводятся к тому, что, дескать, это всё была тестовая среда, а сертификаты утекли наружу случайно. Итог пока такой: корень CNNIC таки изымают из продуктов Google:
“As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products.” (В результате совместного расследования событий, связанных с данным инцидентом, мы приняли решение что CNNIC Root и EV УЦ больше не признаются продуктами Google.)
Это весьма резкое решение, но, собственно, такого варианта следовало ожидать. Mozilla пока думает, но в том же самом направлении. А для повторного включения корней CNNIC в браузеры планируют потребовать от УЦ поддержки Certificate Transparency.
В CNNNIC уже ответили, в том ключе, что шаг Google – неприемлем, требуют задуматься о правах пользователей.
Ссылка по теме: перехват HTTPS.
Update, 04/04/15: Mozilla подключилась – сертификаты, впущенные от корней CNNIC после 1 апреля 2015, не признаются. Таким образом, CNNIC, как коммерческий УЦ, теряет всякий смысл. Интересно, как прореагируют в Китае?
()
Похожие записки:
- Статья Cloudflare про ECH/ESNI
- DNS-over-TLS на авторитативных серверах DNS
- TLS 1.3 в Рунете
- Удостоверяющие центры TLS-сертификатов Рунета
- Полностью зашифрованные протоколы в Интернете
- Симметрии и дискретное логарифмирование
- Персоны и идентификаторы
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- Капитолийские ноутбуки
- Обновление описания TLS
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Мониторинг: фитнес-браслет и смартфон
- Сервис проверки настроек веб-узлов
- Взлом Twitter и влияние на офлайн
Комментарии читателей блога: 2
1. 3rd April 2015, 01:14 // Читатель Jno написал:
Право быть прослушанным?
2. 3rd April 2015, 22:50 // Читатель Z.T. написал:
https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/