Компания Google сообщила о том, что заблокировала неавторизованные цифровые сертификаты для ряда своих доменов, выпущенных индийским Национальным центром информатики (National Informatics Centre, NIC).

Подложные сертификаты могут позволить злоумышленнику шпионить за соединением, которое расценивается как безопасное.

По словам Google, NIC выпускает промежуточные сертификаты, доверенные верхним удостоверяющим центром Индии и присутствующие в Microsoft Root Store, и, таким образом, они используются многими приложениями под Windows, включая браузеры Internet Explorer и Google Chrome.

Это было обнаружено в прошлую среду, и в течение 24 часов Google выпустила CRLSet для блокировки подложных сертификатов в Chrome. CRLSet позволяют Chrome блокировать сертификаты в экстренных случаях.

Google сообщила, что в других корневых каталогах сертификатов отсутствуют сертификаты от индийского удостоверяющего центра, что означает, что Chrome для Mac OS X, iOS, Android и других операционных систем не затронут.

«Добавим, Chrome для Windows не принимал такие сертификаты для сайтов Google благодаря закреплению открытого ключа, но вот подложные сертификаты для других сайтов могли быть приняты», — сообщил Адам Лэнгли, инженер-безопасник Google.

Лэнгли добавил, что пользователи Chrome защищены обновлениями CRL.

«Мы не видим признаков распространения проблемы и не предлагаем пользователям менять пароли», — сказал Лэнгли.

Google улучшила безопасность своих сертификатов за последний год, начиная с усиления SSL-сертификатов с 1024-битных до 2048-битных RSA. Большая длина ключа усложняет злоумышленникам взлом SSL-соединений, которые защищают электронную почту, банковские транзакции и т.д. Это решение было принято за месяц до разоблачений Сноудена, которые подтвердили подозрения касательно интереса АНБ к взлому SSL.

В феврале на конференции TrustyCon, которая проходит одновременно с конференцией RSA, Google презентовала свой проект прозрачности сертификатов (Certificate Transparency), который состоит в ведении открытого журнала выпускаемых цифровых сертификатов. Google заявила, что, когда проект будет реализован, можно будет противодействовать угрозе подложных сертификатов и вредоносных удостоверяющих центров. Но на сегодняшний день проект не получил широкого признания.

«Нам нужно заставить удостоверяющие центры изменить свое поведение, чтобы они выпускали сертификаты этим путем», — заявил Крис Палмер, инженер-безопасник группы Chrome в Google, в ходе обсуждения на TrustyCon.

Категории: Кибероборона