Скандал с корнями CNNIC
Китайский удостоверяющий центр CNNIC, признаваемый всеми основными браузерами, поучаствовал своими ключами в выпуске промежуточного сертификата, который использовался в прозрачно перехватывающем трафик SSL-прокси. Об этом, конечно, стало быстро известно в Google (потому что браузер Chrome устроен достаточно добротно). Объяснения от CNNIC сводятся к тому, что, дескать, это всё была тестовая среда, а сертификаты утекли наружу случайно. Итог пока такой: корень CNNIC таки изымают из продуктов Google:
“As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products.” (В результате совместного расследования событий, связанных с данным инцидентом, мы приняли решение что CNNIC Root и EV УЦ больше не признаются продуктами Google.)
Это весьма резкое решение, но, собственно, такого варианта следовало ожидать. Mozilla пока думает, но в том же самом направлении. А для повторного включения корней CNNIC в браузеры планируют потребовать от УЦ поддержки Certificate Transparency.
В CNNNIC уже ответили, в том ключе, что шаг Google – неприемлем, требуют задуматься о правах пользователей.
Ссылка по теме: перехват HTTPS.
Update, 04/04/15: Mozilla подключилась – сертификаты, впущенные от корней CNNIC после 1 апреля 2015, не признаются. Таким образом, CNNIC, как коммерческий УЦ, теряет всякий смысл. Интересно, как прореагируют в Китае?
Адрес записки: https://dxdt.ru/2015/04/02/7343/
Похожие записки:
- "Случайные пакеты" как транспорт
- Техническое: экзотические настройки в SPF
- Спагеттизация Интернета как проявление битвы за банхаммер
- Неверные обобщения "принципа Керкгоффса"
- Реплика: особенности DNSSEC
- Продолжение "скандализации" OpenAI
- ИИ-корпорация SSI и код веб-страниц
- Автоматические говорилки и обучение обучающихся
- Как правильно "показать TLS-сертификат", рекомендации
- Новый сайт Gramota.ru
- Влияние систем ИИ на процессы в мире
Комментарии читателей блога: 2
1. 3rd April 2015, 01:14 // Читатель Jno написал:
Право быть прослушанным?
2. 3rd April 2015, 22:50 // Читатель Z.T. написал:
https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/