Dzięki Certificate Transparency wykryto błędnie wydane certyfikaty SSL

Dzięki Certificate Transparency wykryto błędnie wydane certyfikaty SSL

Można ogłosić chyba pierwszy sukces mechanizmu Certificate Transparency (CT).  Kilka dni temu właśnie dzięki CT udało się odkryć kilka nieautoryzowanych certyfikatów SSL wystawionych dla domen należących do Google.

Certificate Transparency zadziałało

Certificate Transparency (Przejrzystość Certyfikatu) jest technologią opracowaną przez Google, która pozwala na monitorowanie certyfikatów SSL wystawianych przez Urzędy Certyfikacji (ang. Certificate Authority – CA). Co prawda nie zapobiega ona błędnym wydaniom certyfikatów, ale pozwala na szybkie wykrycie takich przypadków. I właśnie dzięki tej właściwości CT możliwe było namierzenie, w miniony piątek, przez zespół Google kilku niepożądanych, niezamawianych przez Google certyfikatów wystawionych dla domen google.com i www.google.com.

Certificate Transparency

Certificate Transparency

Działanie CT opiera się na tak zwanych serwerach logów, w których to zapisywane są informacje o tym jakie certyfikaty SSL zostały wydane przez dane CA. Na ten moment zbierane są informacje jedynie o certyfikatach SSL typu Extended Validation, czyli w skrócie tych, których wydanie poprzedzone jest bardzo szczegółową weryfikacją danych. Tym bardziej może więć dziwić fakt, że mimo wspomnianiej zwiększonej weryfikacji znalazły się tam nieautoryzowane certyfikaty wydane dla domen Google. Jak więc doszło do tak poważnego błędu? Czy któryś z Urzędów Certyfikacji padł ofiarą włamania?

“Winni pracownicy”

Na szczęście prawda nie okazała się tak straszna jak można było podejrzewać. Okazało się, że wystawcą błędnych certyfikatów jest Symantec (Thawte), a do błędu doszło podczas wewnętrznych testów. W oficjalnym oświadczeniu, zatytułowanym „A Tough Day as Leaders”, Symantec napisał, że klucze prywatne tych certyfikatów pozostawały cały czas pod ich kontrolą, a same certyfikaty zostały w krótkim czasie unieważnione.

O ile więc cała sytuacja nie miała wpływu na globalne bezpieczeństwo i prywatność użytkowników to niestety, ale nie skończyła się szczęśliwie dla pracowników odpowiedzialnych za incydent. Zostali oni zwolnieni z pracy, gdyż:

…you rely on us to protect the digital world, we hold ourselves to a “no compromise” bar for such breaches…

Ocenę tego czy takiego podejścia do tematu należało oczekiwać od Lidera pozostawiam Wam.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *