В последнее время появляется всё больше грустных новостей, которые уменьшают доверие к сертификатам SSL и всей нынешним центрам сертификации. Обсуждение этой системы идёт уже много лет, в основном, за закрытыми дверьми — теперь же оно вышло на массовую аудиторию. Это произошло после всем известных событий: взломы удостоверяющих центров Comodo, Diginotar и Verisign.
Сейчас конфликт выходит на новый уровень. Известный центр сертификации Trustwave уточнил свою политику по выдаче корневых сертификатов и признал факт выдачи такого сертификата коммерческой компании для её корпоративной сети. Сразу после этого был создан соответствующий тикет в bugzilla и началось обсуждение в группе mozilla.dev.security.policy, посвящённой вопросам интернет-безопасности. Тема обсуждения — исключение Trustwave из списка доверенных корневых сертификатов, на которые можно положиться для установки защищённого соединения.
В самом деле, если ради коммерческой выгоды удостоверяющий центр позволяет себе выдать корневой сертификат какой-то непонятной компании, то это может обернуться непредсказуемыми последствиями. Кто знает, а вдруг они захотят заработать ещё больше денег — и выдать ещё один такой сертификат, и так далее? Чего скрывать, если на рынке уже появилось специальное оборудование для прослушки HTTPS-трафика.
Выдача корневого сертификата коммерческой фирме означает, что та фирма может подписать что угодно, не обращаясь в удостоверяющий центр. Таким образом, становится возможной атака типа man-in-the-middle и прослушка защищённого трафика по SSL/TLS. Другими словами, подрываются все основы доверия к защищённым соединениям в интернете, человек уже не может чувствовать себя в безопасности, устанавливая связь по HTTPS с Gmail, банковским сервисом или другими важными сайтами. В условиях, когда центры сертификации практикуют такие действия, и не существует системы аудита и надзора за ними, можно предположить самое худшее.
Поступок Trustwave сложно объяснить. Зачем выдавать корневой сертификат и возлагать на стороннюю компанию часть своих полномочий? Известный специалист по сетевой безопасности и защите приватности Кристофер Согоян проанализировал ситуацию и говорит, что для этого может быть только одна причина: Trustwave выдала корневой сертификат зная, что он будет использован для подписи сертификатов, которые не принадлежат сотрудникам этой корпорации. Другими словами, Trustwave знал, что корневой сертификат будет использован для несанкционированного перехвата HTTPS-трафика и атаки типа man-in-the-middle. О каком доверии к центру сертификации можно говорить в таком случае?
Теперь Mozilla будет решать, стоит ли аннулировать все сертификаты Trustwave. Если будет принято такое решение, то пострадают тысячи ни в чём не повинных покупателей этих сертификатов, а доверие к системе SSL/TLS будет серьёзно подорвано на многие годы вперёд.
Нужно учитывать также, что вряд ли Trustwave является единственным центром сертификации, который подрабатывает таким образом.