Google anunciou que deixará de reconhecer a Rede Internet Centro de Informação Chinês (CNNIC) como uma Autoridade de Certificação Raiz, na sequência de uma investigação sobre os certificados não autorizadas emitidas para vários domínios do Google.
Adam Langley, um engenheiro de segurança na Fábrica de Chocolate, escreveu que o Google tinha tido conhecimento de certificados emitidos não autorizadas por uma autoridade de certificação intermediária ", aparentemente realizado por uma empresa chamada MCS Holdings ", acrescentando que o" certificado intermediário foi emitida pela CNNIC . "
Embora a pinagem de chave pública para sites do Google teria impedido Chrome e Firefox 33+ browsers de aceitar esses certificados, como CNNIC é uma autoridade de certificação raiz e incluído em todas as grandes lojas de raiz ", os certificados misissued seria a confiança de quase todos os navegadores e operacional sistemas ".
Google afirma que "prontamente alertado CNNIC" sobre o incidente, e empurrou um bloco CRLSet do certificado MCS Holdings em Chrome. CNNIC ofereceu uma explicação do incidente que o Google faz reconhecer "é congruente com os fatos" - ainda Mountain View afirma que "CNNIC ainda delegado a sua autoridade substancial para uma organização que não estava apto para segurá-la."
Uma atualização para o blogpost ontem, no entanto, viu Google ir a público sobre o órgão administrativo responsável pelos assuntos de internet no âmbito do Ministério chinês da Indústria e Informação.
Para entrar em vigor em um futuro update Chrome, o blog afirma que "o CNNIC Root e EV CAs não será mais reconhecido em produtos do Google."
"Para ajudar os clientes afetados por esta decisão, por um tempo limitado, vamos permitir que os certificados existentes do CNNIC para continuar a ser marcado como confiável no Chrome, através do uso de uma whitelist divulgada publicamente." Langley qualifica.
O estado Chocolate Factory que "Embora nem nós nem CNNIC acredita certificados digitais mais longe não autorizadas tenham sido emitidos, nem acreditamos que os certificados misissued foram usadas fora do âmbito limitado de rede de teste MCS Holdings. CNNIC estará trabalhando para evitar quaisquer incidentes futuros . "
Blog do Google afirma bullishly: ". CNNIC implementará Certificado Transparência para todos os seus certificados, antes de qualquer pedido de reinclusão Aplaudimos CNNIC em suas medidas proativas, e recebê-los de voltar a aplicar uma vez adequado controles técnicos e processuais estão no lugar."
Em sua resposta, CNNIC disse: "A decisão que o Google tem feito é inaceitável e incompreensível para CNNIC, e, entretanto, CNNIC sinceramente pedir que o Google tiraria os direitos e interesses dos usuários em plena consideração." ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário