Zgodnie z przypuszczeniami chiński urząd certyfikacji CNNIC nie uniknął poważnych konsekwencji zdarzenia sprzed kilkunastu dni, kiedy to – mimo, że nie powinien – wydał certyfikat pośredni jednej z egipskich firm.
Testowy certyfikat pośredni, MITM i fałszywe certyfikaty dla domen Google
O tym co doprowadziło do tak zdecydowanej reakcji zarówno ze strony Google jak i Mozilli pisałem kilka dni temu. W skrócie: chiński urząd certyfikacji (CA) CNNIC (China Internet Network Information Center) wykorzystał swój certyfikat główny CNNIC ROOT, uznawany za zaufany w większości przeglądarek, do wygenerowania certyfikatu pośredniego dla egipskiej firmy MCS Holdings. Ta z kolei umieściła go w swoim firewall’u pozwalającym na przeprowadzanie ataków MITM. Następnego dnia firewall ten wygenerował kilka fałszywych certyfikatów, podpisanych certyfikatem pośrednim, dla domen należących do Google. Więcej szczegółów we wspomnianym wpisie sprzed kilku dni.
W związku z tym incydentem Google i Mozilla poprosił o wyjaśnienia zarówno od MCS jak i samego CNNIC. Po zapoznaniu się z nimi i szczegółowej analizie całej sytuacji podjęły decyzję o wycofaniu zaufania dla certyfikatu głównego CNNIC ROOT w swoich produktach.
Być może nie jest to koniec złych wiadomości dla CNNIC. Microsoft i Apple, także posiadają na swoich zaufanych listach chińskie CA. Czy zdecydują się na coś więcej niż tylko wycofanie zaufania dla certyfikatu pośredniego, wydanego dla MCS Holdings, przekonamy się pewnie wkrótce.
Chrome i Firefox przestają ufać CNNIC
Google zdecydowało, że od kolejnej wersji Chrome certyfikat CNNIC przestanie być traktowany jako zaufany. Mając jednak na uwadze dobro klientów CNNIC, jeszcze przez pewien czas istniejące już certyfikaty wydane przez chińskie CA będą uznawane jako zaufane. Pozwoli to na uniknięcie ostrzeżeń ze strony przeglądarki.
Podobną decyzje podjęła Mozilla. Wszystkie certyfikaty wydane po 1 kwietnia 2015 przez CNNIC nie będą rozpoznawane jako zaufane w Firefoxie. Konsekwencją tego będzie wyświetlanie ostrzeżeń, ze strony przeglądarki dla certyfikatów CNNIC.
Dwa ogólne powody podjęcia tak zdecydowanych kroków to naruszenie przez CNNIC:
- ich własnej polityki certyfikacji i kodeksu postępowania certyfikacyjnego, czyli zbioru informacji opisujących zasady działania danego CA;
- polityki Google i Mozilli dotyczącej urzędów certyfikacji, mimo znania ich zasad i świadomości konsekwencji grożących za jej złamanie.
Szczegółową analizę powodów swojej decyzji Mozilla opisała w tym dokumencie.
Mimo tak zdecydowanego działania, chiński urząd certyfikacji nie został skreślony z listy zaufanych na zawsze tj. bez możliwości powrotu. Zarówno Google jak i Mozilla dopuszczają możliwość, po spełnieniu odpowiednich warunków, ponownego ubiegania się CNNIC o bycie zaufanym. Chrome wymaga na przykład wdrożenia Certificate Transparency dla wszystkich wydawanych certyfikatów. Można podejrzewać jednak, że ponowne przebycie procedury dołączenia do zaufanych nie będzie dla CNNIC łatwe.
Nie ma wątpliwości, że usunięcie CNNIC ROOT z zaufanych list z pewnością odbije się na bardzo negatywnie na chińskim CA. Być może jednak, tak zdecydowana reakcja ze strony kluczowych dostawców przeglądarek odstraszy inne urzędy certyfikacji przez stosowaniem podobnych praktyk.