Google уличила египетскую компанию в выпуске незаконных цифровых сертификатов

image

Теги: цифровой сертификат, Google, браузер

Сертификаты могли быть использованы для осуществления наблюдения за пользователями Google.

Компания Google уличила египетскую компанию MCS Holdings в несанкционированном выпуске цифровых сертификатов, которые могли быть использованы для перехвата трафика на пути к серверам.

Как  сообщил  инженер безопасности Google Адам Лэнгли (Adam Langley) в блоге компании, 20 марта текущего года специалисты интернет-гиганта обнаружили, что MCS Holdings, штаб-квартира которой находится в Каире, выпустила несколько незаконных цифровых сертификатов для ряда доменов, принадлежащих Google. Данные сертификаты могли быть использованы египетской организацией для осуществления наблюдения за пользователями Google. Тем не менее, подчеркнул Лэнгли, руководство компании не считает, что сертификаты были выпущены именно с этой целью.

И Google, и разработчик Firefox компания Mozilla реализовали в своих браузерах инструкции для блокировки сертификата более высокого уровня, так называемого промежуточного сертификата. Как раз его и использовала MCS Holdings для выпуска своих несанкционированных сертификатов.

В свою очередь, промежуточный сертификат был выдан компании Информационным интернет-центром Китая (China Internet Network Information Center, CNNIC) – некоммерческой организацией, которая находится в ведении Администрации киберпространства страны и считается сертификационным органом.

Как  отмечается  в блоге команды безопасности Mozilla, все браузеры доверяют сертификатам, выданным CNNIC. Именно поэтому неавторизированные сертификаты MCS Holdings не вызвали никаких подозрений.

После обнаружения незаконных сертификатов руководство Google связалось с CNNIC. Как пояснили представители организации, MCS Holdings должна была использовать промежуточный сертификат для генерации других для своих доменов. Вместо этого компания внедрила промежуточный цифровой сертификат CNNIC в межсетевой экран, который был создан для инспекции зашифрованного трафика.

CNNIC заверила руководство Google, что отзовет выданный ею сертификат. Представители компании MCS Holdings пока никак не комментируют ситуацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus