SSL-cертификаты от StartCom и WoSign объявлены вне закона

SSL-cертификаты от StartCom и WoSign объявлены вне закона

От автора: основные браузеры перестанут «воспринимать» SSL сертификаты сайтов, выданные центрами WoSign и StartCom. Последним к данной инициативе присоединился Chrome. Оба сертификатора были уличены в нарушениях, допускаемыми ими при выдаче удостоверений.

Последние версии браузеров Chrome и Firefox перестанут распознавать как валидные сертификаты SSL, выданные StartCom и WoSign после 21 октября текущего года. Данные сертификаторы были уличены Mozilla и Google в целом ряде упущений. Среди них: выдача сертификатов с одинаковыми идентификационными номерами, использование «непривилегированных» динамических портов при подтверждении владения ресурсом. Причем течение этого процесса никак не фиксировались (лог-файлы были отключены).

Кроме этого оба центра допускали серьезные нарушения при проведении сертификации. Благодаря чему злоумышленники могли легко получить фиктивные сертификаты на ресурсы с уже действующими SSL.

Ко всему прочему WoSign тайно от всех купил израильский удостоверяющий центр (StartCom). А после уличения в явных нарушениях руководство сертификаторов стало отрицать выявленные Mozilla недочеты и пытаться препятствовать их «всенародной» огласке.

Интересно, что владельцем обоих сертификаторов является китайская компания Qihoo 360. После обнародования обнаруженных нарушений руководитель центров был отстранен от должности (ими управлял один человек). Кроме этого Qihoo 360 заявила, что все недочеты устранены и оба сертификаторы готовы пройти повторную проверку.

Метки:

Похожие статьи:

Комментарии Вконтакте: