Megvonta a bizalmat a Google a kínai tanúsítványkibocsátótól
Rengeteg oldalt érinthet világszerte, hogy a Google megvonta a kínai CNNIC tanúsítványkibocsátótól a bizalmat. Az azonnali hatályú intézkedés élét ideiglenes whitelisttel tompítja a Google, az új tanúsítványok beszerzését ugyanakkor azonnal meg kell kezdenie minden partnernek.
Ez gyors volt: a Google tegnap bejelentette, hogy megvonja a bizalmat a kínai CNNIC tanúsítványkibocsátótól (CA, certificate authority), a szervezethez tartozó gyökértanúsítványokat a Chrome következő verziója már nem fogadja el hitelesként. Ez elképesztően drasztikus lépés a Google-től, de összhangban van a vállalat korábbi állásfoglalásaival. A döntés számtalan weboldalt érinthet, amelyek működéséhez kritikus a megfelelő hitelesítés - ezt most a CNNIC partnereinek más forrásból kell sürgősen pótolniuk.
Az előzmények röviden: az egyiptomi MCS Holdings, a CNNIC partnere kiadott egy teljesen hivatalos, a Google doménjeire vonatkozó tanúsítványt olyan entitásnak, ami nem a Google. Erre az MCS-nek nem lett volna elvben jogosultsága, a CNNIC azonban valamiért delegálta ezt a jogot az egyiptomi partner számára. A kapcsolódó vizsgálat kiderítette, hogy a tanúsítványt az MCS csak saját hálózatán, teszt formájában használta, támadásra így nem került, nem kerülhetett sor. A Google megszemélyesítésének puszta ténye azonban a rendkívül szigorúan szabályozott kibocsátási folyamat legmagasabb szintű áthágása, nem csoda, hogy a probléma felfedezését követően a Google rendkívül kritikus hangnemet ütött meg.
Abszolút bizalom - abszolút bizalmatlanság
Az eredeti bejelentést most frissítette a Google, eszerint a vállalat böngészője azonnali hatállyal megvonja a bizalmat a CNNIC gyökér- és EV tanúsítványaitól. A lépés önmagában ellehetetleníti az összes olyan weboldal működését, amelyek a kínai kibocsátótól származó tanúsítványokat használnak - legalábbis Chrome alatt. Mivel rengeteg ilyan oldal lehet, a Google a már kibocsátott CNNIC-tanúsítványokat használó partnereknek türelmi időt ad arra, hogy a tanúsítványokat más, továbbra is megbízhatónak ítélt CA-hoz vigyék. A korábbi kibocsátású tanúsítványokról nyilvános whitelistet készít, az ezen szereplő entitások pedig ideiglenesen biztonságosnak minősülnek.
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
A CNNIC kizárása nem végérvényes, bizonyos feltételek teljesülése esetén a Google várja vissza a kínai szervezetet. E feltételek közé tartozik a Certificate Transparency keretrendszer implementációja is - ez a Google kezdeményezése egy nyílt, auditált és ellenőrzött tanúsítványkibocsátási folyamatra, illetve az "elszabadult" kibocsátók gyors megfékezésére. "Üdvözöljük a CNNIC proaktív lépéseit és szívesen fogadjuk vissza a szervezetet, amint a megfelelő műszaki és procedurális ellenőrzés a helyére kerül."
A CNNIC egyelőre nem válaszolt közvetlenül a Google lépésére, a szervezet oldalán a legfrissebb állásfoglalás március 25-i. Eszerint a cég expliciten tagadja, hogy MiTM támadáshoz használható tanúsítványokat bocsátott volna ki (ezzel egyébként a Google sem vádolta a szervezetet) - azt azonban elismeri, hogy az MCS valóban a CNNIC partnere és valóban jogosulatlanul bocsátott ki bizonyos tanúsítványokat. A CNNIC megvonta az MCS felhatalmazását március 22-én és további jogi lépéseket helyezett kilátásba - az a szövegből nem derül ki, hogy a Google, vagy az MCS ellen.