В конце сентября 2016 года организация Mozilla объявила о прекращении доверия китайскому удостоверяющему центру WoSign и компании StartCom. Тогда организация опубликовала отчет, в котором рассказала о расследовании, проведенном в отношении подозрительных сертификатов SSL SHA-1, выданных обеими компаниями. В итоге было принято решение временно забанить обе компании на год. Запрет коснулся только новых сертификатов, но не распространился на выданные ранее. При этом если год спустя оба удостоверяющих центра не смогут пройти ряд проверок, Mozilla пообещала заблокировать их окончательно и навсегда
Вскоре экспертов Mozilla поддержала и компания Apple. Детальный отчет аналитиков показался Apple достаточным основанием для бана WoSign. 30 сентября 2016 года, компания анонсировала, что iOS и macOS перестают доверять сертификатам WoSign, выпущенным позже 19 сентября 2016 года.
На прошлой неделе представители Mozilla встретились с представителями StartCom и Qihoo 360 (крупнейшего акционера WoSign) чтобы обсудить проблему. По итогам встречи WoSign обнародовал отчет о происшедшем (PDF), в котором было объявлено о грядущих изменениях в руководстве компаний, их операционных процессах и технологиях.
Сообщается, что руководство Qihoo 360 хочет полностью разделить компании WoSign и StartCom и их инфраструктуру, а затем вендоры браузеров будут оценивать каждую из них по отдельности и смогут провести независимый аудит. Глава WoSign Ричард Вонг (Richard Wang), который санкционировал выдачу сертификатов задним числом (а это было одним из наиболее серьезных обвинений против удостоверяющих центров), был освобожден от занимаемой должности. Компания StartCom теперь будет отчитываться напрямую перед главами Qihoo 360.
Также обе компании начали добавлять сертификаты в логи Certificate Transparency, как на собственном сервере, так и на сервере Google. Представители компаний обещают объяснить каждый сертификат и каждый отдельный случай с начала 2015 года.
«Мы всецело согласны, что поддержание глобальной интернет-безопасности – это очень важно для всех заинтересованных сторон, включая удостоверяющие центры», — пишут представители WoSign в отчете. — «Спасибо организации Mozilla за то внимание, которое она уделила интересам клиентов WoSign и StartCom. Мы очень это ценим. Многие клиенты из Китая считают важным, использовать местные удостоверяющие центры для обеспечения безопасности».
Фото: Depositphotos
