Egiptovski CA izdal lažne certifikate za Google

Google je odkril lažne certifikate za svoje strežnike, ki jih je izdalo egiptovsko podjetje MCS Holdings. Ker je MCS Holdings vmesni certifikatni urad (intermediate CA), ki ga je kot zaupanja vrednega proglasil kitajski CNNIC, mu zaupajo vsi brskalniki. Firefox in Chrome sicer omenjenih certifikatov za dostop do Googlovih strani nista uporabljala, ker upoštevata public key pinning. Vseeno je početje podjetja MCS Holdingsa hud prekršek, zaradi česar so njihove certifikate proizvajalci brskalnikov takoj po odkritju uvrstili na listo neveljavnih.

CNNIC je potrdil, da so z MCS Holdings sklenili pogodbo, ki jim je dovoljevala le izdajo certifikatov za domene, ki jih imajo registrirane. Kot kaže, je MCS Holdings svoj zasebni ključ namestil na MITM-proxy, ki se je predstavljal kot končna destinacija uporabnikovega prometa. Nekaj podobnega se uporablja v podjetjih, kjer želijo administratorji nadzorovati promet zaposlenih, a je treba v tem primeru v brskalniku ročno nastaviti, da bo zaupal certifikatu proxyja. MCS Holdings pa je imel overitev s strani CNNIC in so mu vsi zaupali, zato je takšno početje huda kršitev pravil, pa četudi je bil proxy v lasti MCS Holdings in so se nanj povezovale le njegove stranke. Nekaj podobnega se je zgodilo v incidentu ANSSI leta 2013. Še leto pred tem je tudi ameriški Trustwave storil nekaj zelo podobnega. Tudi tedaj je Trustwave, tako kot sedaj MCS Holding, dobil začasni certifikat z možnostjo izdaje certifikatov za poljubne domene.

Najnovejši incident razkriva dve pomembni šibki točki sistema zagotavljanja pristnosti s certifikati. Zaradi velikega števila overiteljev se lahko v sistem prikrade razpoka, saj je dovolj že en nepošten ali nesposoben overitelj. Dodatna težava pa je, da morajo proizvajalci brskalnikov in operacijskih sistemov izdati posodobitev, da njihovi izdelki lažne certifikate uvrstijo na listo razveljavljenih. Predlogov za izboljšave je več, od transparentnosti certifikatov do OCSP.