Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6

5 сентября 2011 года

В блоге разработчиков проекта Tor опубликован полный список параметров обманных SSL-сертификатов, сгенерированных злоумышленниками в результате компрометации удостоверяющего центра DigiNotar. Список был получен благодаря содействию правительства Нидерландов, которое инициировало проведение полного аудита удостоверяющего центра DigiNotar. В списке (Архивная копия от 15 мая 2017 на Wayback Machine) присутствует 531 сертификат, в то время как изначально сообщалось о создании 247 обманных сертификатов. 283 сертификата создано 10 июля, 128 - 18 июля и 125 - 20 июля. Т.е. фактически были предприняты три атаки.

Сертификаты были сгенерированы как для крупных компаний, таких как Yahoo!, Google, Mozilla, Microsoft (включая сертификаты для службы Windows Update), Skype, Facebook и Twitter, так и для доменов спецслужб, например, для сайтов ЦРУ (cia.gov), МИ-6 (sis.gov.uk) и Моссад (mossad.gov.il). Особый интерес представляют сертификаты созданные для доменов с маской "*.*.com" и "*.*.org", а также сертификаты с именами других удостоверяющих центров, например, 'VeriSign Root CA' и 'Thawte Root CA'.

В списке также числится сертификат для несуществующего домена RamzShekaneBozorg.com с мета-данными "OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam". Если данные выражения воспринять как текст на фарси, то перевод будет означать "RamzShekaneBozorg" - "великий взломщик", "Hameyeh Ramzaro Mishkanam" - "я взломаю все шифрование" и "Sare Toro Ham Mishkanam" - "тебя тоже взломаю".

В настоящее время насчитывается уже около 1500 первичных CA-сертификатов, контролируемых примерно 650 разными организациями. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации. Компрометация одного из центров сертификации (CA - Certificate Authority) может привести к коллапсу всей системы, так как никто не запрещает сгенерировать сертификат для любого домена, независимо от того от какого удостоверяющего центра получен сертификат.

В качестве одного из способов защиты называется разработка и внедрение методов перекрёстной сертификации. Компания Google реализовала в браузере Chrome другой метод защиты. Начиная с Chromium 13 в браузер интегрирован дополнительный список привязки доменов к центрам сертификации. Изначально в данном списке присутствовали заслуживающие доверие центры сертификации для сервисов Google, но позднее стала приниматься информация о привязке к CA и для других доменов.

Дополнение: Центр сертификации GlobalSign сообщил об инициировании внутренней проверки безопасности в связи с появлением в сети анонимного заявления, в котором утверждается, что кроме взлома DigiNotar, удалось получить доступ еще к 4 удостоверяющим центрам, среди которых Comodo, StartCom и GlobalSign. Информация голословна и ничем не подтверждена, но GlobalSign в качестве меры предосторожности временно приостановил выдачу сертификатов до завершения полного аудита, к проведению которого привлечены эксперты, участвовавшие в разборе инцидента DigiNotar.