Две недели назад компании Google стало известно о неавторизованном использовании цифровых сертификатов для некоторых своих доменов. Оказалось, что поддельные сертификаты некоей MCS Holdings выдал китайский центр сертификации CNNIC. Их использовали для MiTM-атаки и прослушки SSL-трафика китайских пользователей.
Что характерно, сертификаты CNNIC включены во все основные хранилища корневых сертификатов, так что они принимались многими браузерами и операционными системами, за исключением Chrome на Windows, OS X и Linux, ChromeOS, а также Firefox 33 и более старших версий, где действует технология закрепления открытого ключа прямо в браузере, так что сертификат сайтов Google не удастся подменить. Но проблема в том, что MCS Holdings, вполне вероятно, и для других чужих сайтов получила сертификаты, а ведь они не прикреплены к браузеру.
Google сразу же уведомила о своей находке все заинтересованные стороны и заблокировала все сертификаты MCS Holdings в Chrome путём экстренного выпуска CRLSet.
1 апреля компания объявила о завершении расследования по этому делу и решила вообще избавиться от сертификатов CNNIC во всех своих продуктах. То есть ни браузер, ни веб-сайты Google больше не будут принимать цифровые подписи, сгенерированные с помощью сертификатов CNNIC.
Мера вступит в действие со следующим обновлением браузера Chrome.
Чтобы облегчить жизнь пользователям, существующие сертификаты CNNIC временно будут отображаться как доверенные в Chrome, посредством специального «белого списка» исключений. Но впоследствии их удалят из этого списка.
В то же время, центр CNNIC пообещал внедрить открытый стандарт Certificate Transparency (RFC 6962), более ответственно относиться к выдаче сертификатов в будущем и заверил, что никто не обманет его таким способом, как это сделала MCS Holdings, получившая сертификаты на чужие сайты. Так что через какое-то время CNNIC сможет продолжать работу «с чистого листа» и его сертификаты будет принимать Chrome, но все старые сертификаты аннулируются.