Компании Microsoft, Mozilla и Opera Software поддержали решение Google блокировать цифровые сертификаты, с помощью которых спецслужбы Франции могли осуществлять слежку за госслужащими. Цифровые сертификаты выдал французский центр сертификации, который напрямую подчиняется агентству по защите информации и сетей ANSSI (Agence nationale de la sécurité des systèmes d’information). Поддельный сертификат Google устанавливался на сетевом маршрутизаторе и мог использоваться для подделки пакетов в адрес ряда сайтов Google, включая google.com и youtube.com, фишинговых атак и MiTM-атак.

Компания Google первой заблокировала эти сертификаты для пользователей браузера Chrome. Такое решение было принято после четырехдневного расследования. В понедельник аналогичным образом поступили Microsoft, Mozilla и Opera Software.

В официальном сообщении Microsoft сказано, что обновления вышли для большинства последних версий Windows, включая Windows Phone 8, Windows 8.1 и Windows Server 2012 R2. В отличие от остальных, Microsoft хранит сертификаты не в браузере, а непосредственно в операционной системе. Обновлений для Windows XP и Windows Server 2003 пока нет.

В блоге Mozilla написано, что удаление цифрового сертификата французских спецслужб осуществлено в версии Firefox 26, которая вышла вчера.

Opera занесла сертификаты в черный список и в старых версиях браузера. Самая последняя версия Opera 12 вообще не нуждается в апдейте, потому что она и раньше не принимала по умолчанию цифровой сертификат ANSSI.

Агентство ANSSI объяснило инцидент «ошибкой из-за человеческого фактора… возникшей во время процесса по усилению общей информационной безопасности министерства финансов».

Аналогичные инциденты с выпуском поддельных сертификатов происходили и раньше. В середине 2011 года турецкий центр сертификации Turktrust выдал поддельный сертификат Google. Его обнаружили в декабре 2012 года и заблокировали в январе 2013 года. Сейчас реакция разработчиков оказалась более оперативной.

Оставить мнение