SSL-сертифікати від StartCom і WoSign оголошені поза законом

31

Від автора: основні браузери перестануть «сприймати» SSL сертифікати сайтів, видані центрами WoSign і StartCom. Останнім до даної ініціативи приєднався Chrome. Обидва сертифікатора були викриті порушення, що допускаються ними при видачі посвідчень.

Останні версії браузерів Chrome і Firefox перестануть розпізнавати як валідні сертифікати SSL, видані StartCom і WoSign після 21 жовтня поточного року. Дані сертифікатори були викриті Mozilla і Google в цілому ряді упущень. Серед них: видача сертифікатів з однаковими ідентифікаційними номерами, використання «непривілейованих» динамічних портів при підтвердженні володіння ресурсом. Причому протягом цього процесу ніяк не фіксувалися (лог-файли були відключені).

Крім цього обидва центру допускали серйозні порушення при проведенні сертифікації. Завдяки чому зловмисники могли легко отримати фіктивні сертифікати на ресурси з уже діючими SSL.

До всього іншого WoSign таємно від усіх купив ізраїльський засвідчувальний центр (StartCom). А після викриття в явних порушеннях керівництво сертифікаторів стало заперечувати виявлені Mozilla недоліки і намагатися перешкоджати їх «всенародної» розголосу.

Цікаво, що власником обох сертифікаторів є китайська компанія Qihoo 360. Після оприлюднення виявлених порушень керівник центрів був відсторонений від посади (ними керував один чоловік). Крім цього Qihoo 360 заявила, що всі недоліки усунені і обидва сертифікатори готові пройти повторну перевірку.