Компания Microsoft сообщила, что присоединится к коллегам из Google, Mozilla и Apple и скоро перестанет доверять новым сертификатам удостоверяющих центров WoSign и StartCom.
Поводом для принятия этого решения послужил детальный отчет, опубликованный Mozilla еще в сентябре 2016 года. Тогда специалисты организации рассказали о расследовании, проведенном ими в отношении подозрительных сертификатов SSL SHA-1, выданных обеими компаниями. В итоге было выявлено множество нарушений: выданные задним числом сертификаты, сертификаты выданные посторонним лицам, к тому же выяснилось, что WoSign приобрела израильский удостоверяющий центр StartCom, но факт совершения сделки скрывали обе компании.
Ранее компании Google, Mozilla и Apple уже перестали доверять сертификатам WoSign и StartCom. Так, в июле 2017 года инженеры Google сообщили, что с выходом Chrome 61, который запланирован на сентябрь 2017 года, доверие к сертификатам WoSign и StartCom будет прекращено окончательно. Еще раньше компания уже перестала доверять сертификатам, выпущенным после 21 октября 2016 года, а с выходом Chrome 57 браузер также частично перестал доверять и старым сертификатам. Однако тогда ограничения коснулись только сайтов, которые не входят в первый миллион в рейтинге Alexa.
Теперь представители Microsoft объявили, что Windows продолжит доверять сертификатам WoSign и StartCom, выпущенным ранее 26 сентября 2017 года, однако новые сертификаты, выпущенные после указанной даты, работать не будут. Компания подчеркивает, что удостоверяющие центры не соответствуют требованиям и стандартам Trusted Root Program. По мнению Microsoft, такие проблемы, как выдача сертификатов задним числом, неожиданный отзыв сертификатов, дублирование серийных номеров сертификатов и другие нарушения являются неприемлемыми.
Стоит заметить, что WoSign и StartCom – это не единственные удостоверяющие центры, у которых в последнее время возникли проблемы с производителями. Так на прошлой неделе компания Symantec официально объявила о том, что продает связанный с сертификатами бизнес компании DigiCert за 950 млн долларов. К данному решению Symantec подтолкнула компания Google, специалисты которой обнаруживали множество проблем с SSL-сертификатами Symantec начиная с 2015 года. В начале 2017 года специалисты Google и вовсе обвинили Symantec в выдаче 30 000 нелегитимных сертификатов. В итоге дошло до того, что Google потребовал от Symantec заменить все выданные сертификаты до марта 2018 года, причем выпустить новые, используя инфраструктуру подчиненного удостоверяющего центра. В итоге компания приняла решение вообще продать данный бизнес.
