Представители компании Comodo признали, что из-за бага в системе их удостоверяющий центр издал восемь сертификатов, содержащих имя внутреннего сервера или служебный IP-адрес.

Использование таких обозначений в сертификатах, датированных позднее 1 ноября 2015 года, было запрещено еще в 2012 году решением Форума производителей браузеров и удостоверяющих центров (CA/Browser Forum). По замыслу такой шаг должен был положить конец бытующей практике издания сертификатов для внутренних серверов, схожесть которых открывает сети для MitM-атак и повышает другие риски.

В своей блог-записи на CABforum.org Роб Стрэдлинг (Rob Stradling), старший специалист Comodo по исследованиям и разработке, признал, что в издании противоречащих требованиям экземпляров повинна система сертификации компании. «Мы сразу начали расследование и установили, что при изменении программного кода 30 октября 2015 года в него был привнесен незначительный баг, — заявил представитель Comodo. — Модификация кода должна была облегчить перенастройку системы в соответствии с новыми требованиями, вступающими в силу с 1 ноября, а именно обеспечить автоматическое удаление всех внутренних имен и служебных IP-адресов из запроса до выпуска сертификата».

По словам Стрэдлинга, изменение кода, привнесшее баг, предполагало удаление маркера notAfter для даты 1 ноября 2015 года. «Суть бага состояла в том, что «удаленные» имена были по-прежнему видны коду, который мы используем для издания сертификатов (разработчик не знал, что наш код сертификации работает в отдельном SQL-контексте и операции по удалению должны выполняться незамедлительно), — поясняет эксперт. — Несмотря на проведение инспекции кода и соблюдение всех процедур по проверке качества, этот баг все-таки проник в код, введенный в эксплуатацию».

Comodo выпустила заплатку за считаные часы, а также оповестила затронутых клиентов и отозвала все восемь сертификатов, список которых представлен в информационном бюллетене компании. Два из них содержат имена, часто присваиваемые внутренним серверам: help и mailarchive; сертификаты были выданы веб-сервисам Unified Communications, работающим на базе университета Колорадо и компании Ardagh Glass Group Plc.

Стрэдлинг не преминул отметить, что случай с Comodo — не единственный в среде специалистов по сертификации. «Мы расширили свое расследование и провели поиск сертификатов с обозначением notBefore >= 2nd November 2014, которые привязаны к известным доверенным корневым сертификатам и включают внутренние имена или служебные IP-адреса, — комментирует исследователь. — Нам удалось найти ненадлежащие сертификаты, изданные рядом других УЦ, но здесь я их приводить не буду».

Категории: Кибероборона, Уязвимости