Mozilla udziela Symantecowi dyspensy na wystawienie 9 certyfikatów SSL SHA-1

Mozilla udziela Symantecowi dyspensy na wystawienie 9 certyfikatów SSL SHA-1

Wszędzie tam, gdzie to możliwe certyfikaty TLS (SSL) podpisane przy użyciu funkcji skrótu SHA-1 zastępowane są na te wygenerowane przy pomocy nowszego i bezpieczniejszego algorytmu SHA-2. Gdzieniegdzie jednak ten proces migracji nie jest tak prosty jak mogłoby się wydawać co w połączeniu z gapiostwem może powodować pewnego rodzaju ciekawe dylematy.

„Certyfikatów SHA-1 nie wystawiamy…”

Jak być może wiecie, od początku tego roku uzyskanie – z publicznego Urzędu Certyfikacji – certyfikatu TLS podpisanego przy użyciu funkcji skrótu SHA-1 jest niemożliwe. Zabraniają tego zapisy znajdujące się w dokumencie tworzonym przez CABForum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, swoistej biblii wyznaczającej ścieżki dla certyfikatów TLS. Ciągle istnieją jednak systemy, które nie posiadają wsparcia dla certyfikatów wystawionych przy wykorzystaniu nowszej funkcji skrótu SHA-2 co skutkuje po prostu tym, że dana aplikacja czy urządzenie przestaje działać przy próbie zainstalowania takiego certyfikatu. Firmy, wiedząc, że od początku 2016 roku będą miały problem uzyskaniem certyfikatu SHA-1, wdrożyły obsługę certyfikatów SHA-2 w swoich aplikacjach lub odnowiły certyfikaty SHA-1 przed końcem ubiegłego roku dając sobie jeszcze trochę czasu na implementację docelowego rozwiązania. Nie wszyscy jednak byli tak przewidujący…

Ups…

Worldpay PLC, firma oferująca usługi płatności elektronicznych, na niecałe dwa tygodnie przed wygaśnięciem certyfikatów TLS SHA-1 obsługujących ponad 10000 terminali płatniczych, zorientowała się, że owe urządzenia nie wspierają certyfikatów TLS SHA-2. Wygenerowanie samopodpisanych certyfikatów nie wchodzi w grę z powodu konfiguracji tych urządzeń – działają tylko z certyfikatami wydanymi przez publiczne CA. Z kolei wydanie certyfikatu TLS SHA-1 w tym roku przez publiczne CA jest złamaniem zasad ustalanych przez CABForum, co może skutkować nawet usunięciem zaufania dla danego CA w przeglądarkach. Sytuacja stała się patowa.

20160226-worldpay_terminal

Terminal płatniczy Worldpay (źródło: worldpay.us)

W drodze wyjątku…

Worldpay zwróciło się więc do Mozilli i pozostałych przeglądarek o danie Symantecowi (z usług tego CA korzysta Worldpay) przyzwolenia na wystawienie dziewięciu certyfikatów TLS SHA-1 co zapobiegłoby sporej skali awarii terminali płatnicznych. Mozilla – mimo głosów sprzeciwu – mając na względzie głównie dobro klientów, którzy mogliby dotkliwie odrzuć skutki takiej awarii, zgodziła się – pod pewnymi warunkami (certyfikat może być ważny maksymalnie 90 dni i musi zostać dodany do serwerów Certificate Transparency) – na wydanie tych certyfikatów. Brak konsekwencji w działaniu czy raczej racjonalne podejście do tematu? Oceńcie sami.

Ciekawe jest jednak to jak dalej potoczy się ten przypadek. Publiczne do sprawy nie odnieśli się jeszcze przecież Microsoft, Google czy Apple; a wątpliwe jest, żeby Symantec zaryzykował wydanie tych certyfikatów mając zgodę tylko samej Mozilli.

Ciekawe jest także ile jeszcze takich firm jak Worldpay zwróci się w najbliższym czasie z podobną prośbą do twórców przeglądarek…

Komentarze

  1. Wojciech Marusiak

    Rzeczywiście patowa sytuacja – mimo wszystko jestem za wystawieniem tych certyfikatów. 90 dni to sensowna ilość czasu na wymianę urządzeń na inne obsługujące certyfikaty TLS SHA2

  2. Barth Maul

    Jak najbardziej racjonalne podejście do tematu. Skoro pod koniec 2015 roku można było dostać certyfikat z SHA-1 na rok (z tego co pamiętam miały wygasnąć do 1 stycznia 2017 r.) to czemu nie wydawać teraz krótszych tzn. takich „do końca roku” ? Urzędy wydające certyfikaty z SHA-1 i tak muszą funkcjonować, by wydawać listy CRL.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *