Это событие было неизбежным: Google обрела собственный корневой удостоверяющий центр и отныне сможет издавать сертификаты для своих продуктов, не прибегая к помощи сторонних организаций. Соответствующее объявление было опубликовано на прошлой неделе; в нем также сообщается о создании нового подразделения Google Trust Services, которое будет управлять центром сертификации от имени Google и ее материнской компании Alphabet.

Чтобы ускорить развертывание цифровых сертификатов в продуктах, Google также выкупила у GlobalSign корневые УЦ R2 и R4. «Эти корневые УЦ позволят нам стать независимым издателем сертификатов в ближайшее время», — пишет в блоге Райан Хёрст (Ryan Hurst), менеджер подразделения Google по созданию продуктов, обеспечивающих безопасность и приватность.

До сих пор Google владела собственным УЦ второго плана, GIAG2, и сертификаты SSL и TLS для ее продуктов издавались третьей стороной. По словам Хёрста, этот УЦ пока продолжит функционировать.

«По всей видимости, Google давно собиралась создать собственную инфраструктуру, — комментирует Мэтью Грин (Matthew Green), специалист по криптографии и преподаватель университета Джона Хопкинса. — Я не вижу весомых причин, по которым им следовало бы продолжать полагаться на прежнюю УЦ-инфраструктуру. Они станут более независимыми и, конечно, смогут совершенно самостоятельно издавать доказуемо «гугловские» сертификаты».

«Хотя, с другой стороны, они уже приняли массу мер для защиты своих продуктов (того же Chrome), сильно затруднивших имитацию собственности Google, — добавляет эксперт. — Ныне, видимо, сделан следующий шаг».

Google публикует контролируемые ею корневые сертификаты и ожидает, что разработчики ПО и приложений, взаимодействующих с продуктами и сервисами Google, будут включать эти сертификаты как доверенные. До полного развертывания новой инфраструктуры сохранится также опция создания подписи на основе стороннего корневого сертификата. «По этой причине, если вы создаете код, предназначенный для соединения с собственностью Google, мы пока рекомендуем включать в него большой набор доверенных корневых сертификатов», — резюмирует Хёрст.

Недолговечность статуса УЦ и управления сертификатами доказал ряд недавних скандальных инцидентов, в том числе прошлогодняя ошибка отзыва сертификата GlobalSign, повлиявшая на доступность сайтов. Здесь уместно также вспомнить утрату доверия к сертификатам WoSign/StartCom и CNNIC из-за нарушения стандартных для этой сферы практик. Аннулирование сертификатов, которые уже работают в браузерах, ОС, сетевых устройствах, — мероприятие и так непростое, а присвоение Google статуса корневого УЦ привлечет еще больше внимания ко всей системе.

«У специалистов Google есть опыт, технические навыки и, что особенно важно, ресурсы, чтобы оправдать столь высокое доверие, однако им, вне всякого сомнения, придется работать в условиях повышенного внимания, — подтвердил Кеннет Уайт (Kenneth White), ИБ-исследователь и директор Open Crypto Audit Project. — Так, например, значительные успехи, которых индустрия добилась с помощью прозрачности сертификатов, — это палка о двух концах. Один из основных «наблюдателей» теперь станет, лишившись необходимости полагаться на сторонних посредников, одним из наиболее пристально наблюдаемых».

Google была инициатором ввода системы Certificate Transparency, предусматривающей ведение публичного журнала доверенных сертификатов, записи в котором можно отслеживать и подвергать аудиту. В октябре прошлого года компания объявила, что к концу 2017 года стандарт Certificate Transparency станет обязательным для Chrome.

«Такие инициативы, как SSL Observatory совместной разработки Mozilla и EFF, crt.sh Comodo, и другие системы общественного наблюдения приобретут еще большее значение, — говорит Уайт. — Разработчикам я бы посоветовал продолжать осваивать современные практики: использовать строгую безопасность передачи информации (HSTS), закрепление сертификатов, когда это уместно; наборы шифров, криптостойкость которых доказана, с современными протоколами, обеспечивающими прямую секретность (AEAD, TLS 1.2, SHA-2 или выше); защиту куки; не смешивать ненадежный контент, использовать TLS-сертификаты кратковременного действия (90 дней, а не два или три года) и т.д.».

Категории: Кибероборона