Выявлены фиктивные SSL-сертификаты для доменов Google, выписанные агентством ANSSI

8 декабря 2013 года

Компания Google сообщила о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов Google. Указанные сертификаты были созданы с использованием промежуточного сертификата удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), отвечающему за безопасность информационных систем.

В настоящее время проблемные сертификаты уже добавлены в черный список браузера Chrome, а также отправлены уведомления производителям других браузеров. Промежуточный сертификат удостоверяющего центра может использоваться для генерации сертификатов, аналогичных сертификатам, выписанным обычным удостоверяющим центром, т.е. с его помощью может быть выпущен валидный SSL-сертификат для любого сайта, позволяющий, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат, организовать не вызывающее подозрений защищённое соединение пользователя. В случае Google, параметры сертификатов для доменов данной компании жестко прошиты в браузер Chrome, что позволяет обнаружить факты использования сертификатов, формально валидных, но выписанных не тем удостоверяющим центром.

Организация ANSSI выявила, что промежуточный сертификат удостоверяющего центра был использован в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось для инспектирования зашифрованного трафика пользователей данной сети. При этом подобная система была развёрнута с нарушением установленных в ANSSI правил.

После выявления инцидента агентство опубликовало заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов является результатом ошибки, допущенной сотрудником при конфигурировании устройства в процессе проведения работы по усилению безопасности внутренней IT-инфраструктуры. В частности, вместо инспектирования защищённого трафика, связанного только с доменами французских правительственных структур, цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), генерировались и для сторонних доменов.

Проблемные сертификаты были отозваны сразу после выявления инцидента и не оказали влияния на безопасность, как публичной сети, так и внутренней сети администрации. Предприняты меры для предотвращения возможности совершения подобных ошибок в будущем.

Напомним, что в прошлом году, сообщество Mozilla попыталось привлечь внимание общественности к проблеме использования вторичных корневых сертификатов в корпоративных системах отслеживания утечек данных, обеспечивающих перехват и расшифровку SSL-трафика. Подобные действия, даже если они применяются в закрытой сети для внутренних корпоративных нужд, подрывают основной принцип сертификации - удостоверяющий центр должен являться единственным первичным звеном, полностью контролировать процесс и нести полную ответственность за все подписанные сертификаты.

Дополнение: Фиктивный сертификат занесён в черный список Firefox.