Mellékleteink: HUP | Gamekapocs
Keres
DevOps és frontend-fejlesztői témákkal indul idén a HWSW meetup-sorozata

Megvonta a bizalmat a Google a kínai tanúsítványkibocsátótól

Gálffy Csaba, 2015. április 02. 11:06
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Rengeteg oldalt érinthet világszerte, hogy a Google megvonta a kínai CNNIC tanúsítványkibocsátótól a bizalmat. Az azonnali hatályú intézkedés élét ideiglenes whitelisttel tompítja a Google, az új tanúsítványok beszerzését ugyanakkor azonnal meg kell kezdenie minden partnernek.

hirdetés

Ez gyors volt: a Google tegnap bejelentette, hogy megvonja a bizalmat a kínai CNNIC tanúsítványkibocsátótól (CA, certificate authority), a szervezethez tartozó gyökértanúsítványokat a Chrome következő verziója már nem fogadja el hitelesként. Ez elképesztően drasztikus lépés a Google-től, de összhangban van a vállalat korábbi állásfoglalásaival. A döntés számtalan weboldalt érinthet, amelyek működéséhez kritikus a megfelelő hitelesítés - ezt most a CNNIC partnereinek más forrásból kell sürgősen pótolniuk.

Az előzmények röviden: az egyiptomi MCS Holdings, a CNNIC partnere kiadott egy teljesen hivatalos, a Google doménjeire vonatkozó tanúsítványt olyan entitásnak, ami nem a Google. Erre az MCS-nek nem lett volna elvben jogosultsága, a CNNIC azonban valamiért delegálta ezt a jogot az egyiptomi partner számára. A kapcsolódó vizsgálat kiderítette, hogy a tanúsítványt az MCS csak saját hálózatán, teszt formájában használta, támadásra így nem került, nem kerülhetett sor. A Google megszemélyesítésének puszta ténye azonban a rendkívül szigorúan szabályozott kibocsátási folyamat legmagasabb szintű áthágása, nem csoda, hogy a probléma felfedezését követően a Google rendkívül kritikus hangnemet ütött meg.

Abszolút bizalom - abszolút bizalmatlanság

Az eredeti bejelentést most frissítette a Google, eszerint a vállalat böngészője azonnali hatállyal megvonja a bizalmat a CNNIC gyökér- és EV tanúsítványaitól. A lépés önmagában ellehetetleníti az összes olyan weboldal működését, amelyek a kínai kibocsátótól származó tanúsítványokat használnak - legalábbis Chrome alatt. Mivel rengeteg ilyan oldal lehet, a Google a már kibocsátott CNNIC-tanúsítványokat használó  partnereknek türelmi időt ad arra, hogy a tanúsítványokat más, továbbra is megbízhatónak ítélt CA-hoz vigyék. A korábbi kibocsátású tanúsítványokról nyilvános whitelistet készít, az ezen szereplő entitások pedig ideiglenesen biztonságosnak minősülnek.

A CNNIC kizárása nem végérvényes, bizonyos feltételek teljesülése esetén a Google várja vissza a kínai szervezetet. E feltételek közé tartozik a Certificate Transparency keretrendszer implementációja is - ez a Google kezdeményezése egy nyílt, auditált és ellenőrzött tanúsítványkibocsátási folyamatra, illetve az "elszabadult" kibocsátók gyors megfékezésére. "Üdvözöljük a CNNIC proaktív lépéseit és szívesen fogadjuk vissza a szervezetet, amint a megfelelő műszaki és procedurális ellenőrzés a helyére kerül."

A CNNIC egyelőre nem válaszolt közvetlenül a Google lépésére, a szervezet oldalán a legfrissebb állásfoglalás március 25-i. Eszerint a cég expliciten tagadja, hogy MiTM támadáshoz használható tanúsítványokat bocsátott volna ki (ezzel egyébként a Google sem vádolta a szervezetet) - azt azonban elismeri, hogy az MCS valóban a CNNIC partnere és valóban jogosulatlanul bocsátott ki bizonyos tanúsítványokat. A CNNIC megvonta az MCS felhatalmazását március 22-én és további jogi lépéseket helyezett kilátásba - az a szövegből nem derül ki, hogy a Google, vagy az MCS ellen.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Két hét múlva újraindul a legnagyobb hazai tech meetup-sorozat, a HWSW free!