Компания Mozilla предупредила (https://blog.mozilla.org/security/2016/10/24/distrusting-new.../) пользователей о скором прекращении доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также скрыто купленному им удостоверяющему центру StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.
Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам (https://bugzilla.mozilla.org/show_bug.cgi?id=1309707#c2) WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить завязанные на SHA-1 корневые сертификаты WoSign, но время их удаления пока не определено и может быть соотнесено с планами переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.
Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления фактов продолжения генерации клиентских сертификатов, заверенных с использованием алгоритма хэширования SHA-1. После того как для алгоритма SHA-1 был выявлен ускоренный метод (https://www.opennet.ru/opennews/art.shtml?num=43124) подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы (https://cabforum.org/baseline-requirements-documents/) были внесены изменения, предписывавающие (https://cabforum.org/baseline-requirements/) с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили (https://wiki.mozilla.org/CA:WoSign_Issues#Issue_S:_Backdated...) использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.
Другим серьёзным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром - StartCom, без раскрытия сведений о совершённой сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены (https://wiki.mozilla.org/CA:WoSign_Issues#Issue_V:_StartEncr...) факты использования WoSign инфраструктуры StartCom и перекрёстному утверждению (https://wiki.mozilla.org/CA:WoSign_Issues#Cross_Signing) сертификатов.
Критике также подверглось (https://wiki.mozilla.org/CA:WoSign_Issues) отношение WoSign к обеспечению безопасности. Например, было выявлено (https://wiki.mozilla.org/CA:WoSign_Issues#Issue_X:_Unpatched...) применение в WoSign устаревших версий сетевых приложений, без надлежащей установки обновлений (используемый на DNS-сервере пакет Bind последний раз обновлялся в 2011 году и содержит 19 неисправленных уязвимостей). Кроме того, недавно были опубликованы (https://www.opennet.ru/opennews/art.shtml?num=45049) сведения об уязвимости, позволяющей получить корректно заверенные сертификации для сайтов, допускающих размещение пользовательской информации на поддоменах. Уязвимость оставалась неисправленной 14 месяцев после уведомления о проблеме и до сих пор не все полученные через эксплуатацию уязвимости сертификаты отозваны.
URL: https://blog.mozilla.org/security/2016/10/24/distrusting-new.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45368
