Microsoft utracił wyniki audytów dla 147 certyfikatów głównych

Microsoft utracił wyniki audytów dla 147 certyfikatów głównych

Każdy urząd certyfikacji (ang. Certificate Authority – CA), który chce, żeby jego certyfikaty były uznawane za zaufane w systemach Microsoftu, musi spełnić szereg wymogów. Jednym z podstawowych warunków jest pozytywne przejście audytu potwierdzającego działanie w zgodzie z najlepszymi praktykami bezpieczeństwa. Dla komercyjnych CA, Microsoft wymaga zgodności ze standardami WebTrust lub ETSI (European Telecommunications Standards Institute). Po pozytywnym przejściu audytu, CA otrzymuje odpowiedni dokument potwierdzający ten fakt. Dokumenty te każdy urząd certyfikacji dostarcza do Microsoftu.

Niestety, jak poinformował właśnie Microsoft, na skutek awarii utracił on dokumenty audytowe dla 147 certyfikatów głównych (ang. root certificate) znajdujących się w zaufanym magazynie certyfikatów (każdy urząd certyfikacji ma zwykle kilka certyfikatów głównych, więc problem dotknął prawdopodobnie mniejszą – niż 147 – ich liczbę).

Co ciekawe, po utracie danych, system Microsoftu z automatu wysłał do urzędów certyfikacji wiadomości informujące o tym, że z powodu brakujących dokumentów ich certyfikaty główne kwalifikują się do usunięcia z zaufanego magazynu certyfikatów. Z pewnością wiadomości te wywołały lub wywołają niemałe zamieszanie wśród pechowych CA, przynajmniej do momentu przeczytania kolejnej wiadomości wyjaśniającej całe zajście :-)

20160303_auditUrzędy certyfikacji zostały poproszone o ponowne dosłanie utraconych dokumentów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *