Xakep #305. Многошаговые SQL-инъекции
В конце сентября 2016 года организация Mozilla объявила о прекращении доверия китайскому удостоверяющему центру WoSign и компании StartCom. Тогда организация опубликовала детальный отчет, в котором рассказала о расследовании, проведенном в отношении подозрительных сертификатов SSL SHA-1, выданных обеими компаниями. В итоге было выявлено множество нарушений, а также принято решение временно забанить обе компании на год. Запрет коснулся только новых сертификатов, но не распространилcя на выданные ранее. При этом если год спустя оба удостоверяющих центра не смогут пройти ряд проверок, Mozilla пообещала заблокировать их окончательно и навсегда.
Вскоре экспертов Mozilla поддержала и компания Apple. Детальный отчет аналитиков показался Apple достаточным основанием для бана WoSign. 30 сентября 2016 гoда, компания анонсировала, что iOS и macOS перестают доверять сертификатам , выпущенным позже 19 сентября 2016 года.
И хотя компании попытались оправдаться и пообещали исправиться, к числу недовольных тем, что удостоверяющие центры (certificate authorities, CA) выдавали сертификаты задним числом, присоединилась и компания Google. «Мы пришли к выводу, что с обоими CA связана череда проблем и инцидентов, которые указывают, что их подход к безопасности не отвечает обязательствам, которые берут на себя доверенные CA», — сообщили представители Google.
В результате компания объявила, что Chrome 56 (релиз ожидается в январе 2017 года) перестает доверять сертификатам WoSign и StartCom, выпущенным позже 21 октября 2016 года. Чтобы избежать проблем, сертификаты, выпущенные раньше этой даты, будут поддерживаться, в частности, если они отвечают требованиям Chrome Certificate Transparency.