Через три недели после того, как DigiCert запустила первый независимый от Google журнал прозрачности сертификатов, представители Venafi сообщили, что компания собирается дебютировать со своим собственным CT-журналом (от Certificate Transparency — «прозрачность сертификатов»).

1 января Google одобрила использование журнала DigiCert, первого CT-журнала не от Google. Спецификация концепции прозрачности сертификатов требует, чтобы удостоверяющие центры, выпускающие сертификаты с расширенной проверкой, вносили их в три различных журнала. Если эти сертификаты не соответствуют спецификации и не внесены в три журнала, Google Chrome не покажет зеленый индикатор в адресной строке.

Схема CT — детище инженеров Google, ее задачей является решение проблем с доверием, наличествующих в существующей системе удостоверяющих центров. Схема содержит концепцию публичных журналов сертификатов, криптографически защищенных и в которые можно лишь вносить информацию, чтобы избежать подделок. Также схема требует, чтобы начиная с 1 июля все подтверждения сертификатов исходили из трех независимых журналов.

Создание Venafi собственного журнала сертификатов поможет сделать этот процесс проще.

«Таким образом, запуск Venafi публичного CT-журнала сделает возможным соблюдение требований Google о трех публичных серверах CT-журналов. Этот публичный CT-журнал может быть использован любым доверенным удостоверяющим центром и оператором сайта для публикации выпущенных сертификатов. Кроме того, любая организация, действующая в роли монитора CT-журналов, может использовать CT-журнал Venafi для обеспечения своей работы», — написал в блоге Уолтер Гуле (Walter Goulet) из Venafi.

На данный момент у Google есть два собственных CT-журнала, и DigiCert держит еще один. Существуют и другие журналы, ожидающие включения в схему прозрачности сертификатов, один от lzenpe, испанского удостоверяющего центра, другой от американского Certly.

Одной из основных задач схемы прозрачности сертификатов является обеспечение защиты против выпуска подложных или дублированных сертификатов. Злоумышленники на протяжении нескольких лет с большим успехом использовали тактику кражи сертификатов или выпуска каким-либо способом собственных действующих сертификатов для важных доменов. В последние годы хакерам удалось скомпрометировать несколько удостоверяющих центров и использовать полученный доступ для выпуска сертификатов для доменов, принадлежащих Google, Yahoo и другим крупным интернет-компаниям, а злоумышленники, стоящие за зловредом Flame, прославились созданием хэш-коллизии для подписания своего зловреда действующим сертификатом Microsoft.

Категории: Кибероборона