Google премахва китайски сертификати от своя софтуер
Xakep #240. Гидра
Показателно е, че сертификатите на CNNIC са включени във всички основни хранилища на основни сертификати, така че се приемат от много браузъри и операционни системи, с изключение на Chrome на Windows, OS X и Linux, ChromeOS и Firefox 33 и по-нови версии, които използват технологията за фиксиране на публичния ключ директно в браузъра, така че сертификатът на сайтовете на Google не може да бъде заменен. Но проблемът е, че MCS Holdings, много вероятно, са получили сертификати за други сайтове на трети страни и те не са прикрепени към браузъра.
Google незабавно уведоми всички заинтересовани страни за откриването му и блокира всички сертификати на MCS Holdings в Chrome чрез спешна версия на CRLSet.
Мярката ще влезе в сила със следващия ъпдейт на браузъра Chrome.
За да улеснят живота на потребителите, съществуващите сертификати на CNNIC временно ще се показват като надеждни в Chrome чрез специален „бял списък“ с изключения. Но по-късно те ще бъдат премахнати от този списък.
В същото време CNNIC обеща да внедри отворения стандарт за прозрачност на сертификатите (RFC 6962), да бъде по-отговорен за издаването на сертификати в бъдеще и увери, че никой няма да го измами по същия начин, както направи MCS Holdings, които получиха сертификати за други сайтове. Така след известно време CNNIC ще може да продължи да работи „от нулата“ и Chrome ще приеме неговите сертификати, но всички стари сертификати ще бъдат анулирани.