Разработчики Mozilla рассматривают (http://www.theregister.co.uk/2013/04/16/mozilla_threatens_te.../) вопрос блокирования нового корневого SSL-сертификата удостоверяющего центра телекоммуникационной компании TeliaSonera, одного из крупнейших поставщиков доступа к магистральным каналам связи на постсоветском пространстве. В процессе обсуждения заявки на добавление в список центров сертификации, которым доверяет Firefox, нового корневого сертификата TeliaSonera всплыли претензии (http://vimeo.com/41248885), указывающие на то, что TeliaSonera продаёт технологии, позволяющие отслеживать приватные коммуникации граждан. Утверждается, что подобные технологии используются спецслужбами для анализа транзитного голосового и web-трафика в сетях TeliaSonera в таких странах, как Азербайджан, Казахстан, Грузия, Узбекистан и Таджикистан.
Суть метода по перехвату зашифрованного HTTPS-трафика сводится к классической MITM-атаке (man-in-the-middle), реализованной на уровне провайдера и использующей вторичный корневой сертификат для расшифровки перехваченного SSL-трафика. Вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций. При установке SSL-соединения реальный SSL-сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который отдаётся клиенту и не вызывает подозрения, так как данный сертификат связан цепочкой доверия с реальным центром сертификации. При каждом HTTPS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому сертификаты, сгенерированные с использованием вторичных корневых сертификатов, рассматриваются браузерами как валидные и не приводят к выводу предупреждений.
В случае если разработчики Mozilla примут решение по прекращению доверия новому сертификату TeliaSonera, пользователи Firefox будут получать предупреждение о отсутствии доверия для HTTPS-сеансов со всеми сайтами, на которых используются SSL-сертификаты, купленные у удостоверяющего центра TeliaSonera и заверенные новым корневым сертификатом. Действия TeliaSonera нарушают принятые в Mozilla правила установки доверия сертификатам, которые запрещают выдачу сертификатов без ведома лиц, информация о которых содержится в сертификате.
Представители TeliaSonera обеспокоены подобным ходом событий и утверждают, что имеют чистую репутацию, но как и любой другой оператор связи обязаны выполнять требования по санкционированному перехвату трафика, исходящие от правительств стран где они работают. По заверению TeliaSonera yовый корневой сертификат планируется использовать для генерации публичных SSL-сертификатов только для граждан Швеции и Финляндии, а все процессы сертификации соответствуют требованиям Mozilla и подтверждены ежегодным аудитом Webtrust.
В настоящее время решение о блокировании сертификата TeliaSonera ещё не принято, все стороны активно обсуждают возникшую проблему. По мнению TeliaSonera данная проблема не специфична только для данной компании, а касается всех операторов связи. Новый сертификат ещё не введён в строй, но TeliaSonera заинтересована в его скорейшем внедрении, так как действие текущих двух корневых сертификатов истекает в 2021 году. Отказ принять новый сертификат в состав Firefox может поставить под вопрос дальнейший сертификационный бизнес TeliaSonera, так как Firefox занимает примерно 20% рынка и навряд-ли найдётся клиент, согласный с тем, что выданный ему сертификат будет действовать только у 80% пользователей.
<center><iframe src="http://player.vimeo.com/video/41248885?title=0&byline=0&port... width="500" height="281" frameborder="0" webkitAllowFullScreen mozallowfullscreen allowFullScreen></iframe></center>
URL: http://www.theregister.co.uk/2013/04/16/mozilla_threatens_te.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=36712
