Кореневий сертифікат
У криптографії та комп'ютерній безпеці кореневий сертифікат — це сертифікат відкритого ключа, який ідентифікує кореневий центр сертифікації (ЦСК).[1] Кореневі сертифікати є самопідписаними[en] (і сертифікат може мати кілька шляхів довіри, скажімо, якщо сертифікат був виданий кореневим ЦСК із перехресним підписом) і утворюють основу інфраструктури відкритих ключів на основі X.509 (PKI). Або ідентифікатор ключа ЦСК співпадає з ідентифікатором ключа суб'єкта, або у деяких випадках відсутній ідентифікатор ключа ЦСК, тоді рядок видавця має збігатися з рядком суб'єкта (RFC 5280). Наприклад, PKI, що підтримують HTTPS[2] для безпечного веб-перегляду та схем електронного підпису, залежать від набору кореневих сертифікатів.
Центр сертифікації може видавати кілька сертифікатів у формі дерева. Кореневий сертифікат — це найвищий сертифікат дерева, особистий ключ якого використовується для «підпису» інших сертифікатів. Усі сертифікати, підписані кореневим сертифікатом, у якому для поля «ЦСК» встановлено значення true, успадковують надійність кореневого сертифіката — підпис кореневим сертифікатом дещо аналогічний «нотаріальному» посвідченню особи у фізичному світі. Такий сертифікат називається проміжним сертифікатом або сертифікатом підпорядкованого ЦСК. Сертифікати нижче по дереву також залежать від надійності проміжних ЦСК.
Кореневий сертифікат зазвичай стає надійним за допомогою іншого механізму, відмінного від використання сертифікатів, наприклад завдяки безпечному фізичному розповсюдженню. Наприклад, деякі з найвідоміших кореневих сертифікатів поширюються в операційних системах їх виробниками. Корпорація Майкрософт розповсюджує кореневі сертифікати, що належать учасникам Програми кореневих сертифікатів Microsoft, на комп'ютери Windows і Windows Phone 8.[2] Apple поширює кореневі сертифікати, що належать членам її власної програми кореневих сертифікатів.
Випадки неправильного використання кореневого сертифіката[ред. | ред. код]
Злом DigiNotar 2011 року[ред. | ред. код]
У 2011 році нідерландський центр сертифікації DigiNotar[en] зазнав порушення безпеки. Це призвело до видачі різноманітних підробних сертифікатів, якими, зокрема, зловживали для націлювання на іранських користувачів Gmail. Довіру до сертифікатів DigiNotar було скасовано, а оперативне управління компанією перейшло до голландського уряду.
Китайський інформаційний центр мережі Інтернет (CNNIC) Видає підроблені сертифікати[ред. | ред. код]
У 2009 році співробітник Китайського інформаційного центру мережі Інтернет[en] (CNNIC) звернувся до Mozilla з проханням додати CNNIC до списку кореневих сертифікатів Mozilla[3] і отримав схвалення. Пізніше Microsoft також додала CNNIC до списку кореневих сертифікатів Windows.
У 2015 році багато користувачів вирішили не довіряти цифровим сертифікатам, виданим CNNIC, оскільки було виявлено, що проміжний центр сертифікації, сертифікат якого виданий CNNIC, видав підроблені сертифікати для доменних імен Google,[4] і було висловлено занепокоєння щодо зловживання CNNIC повноваженнями видавати сертифікати.[5]
2 квітня 2015 року Google оголосив, що більше не визнає електронний сертифікат, виданий CNNIC.[6][7][8] 4 квітня, слідом за Google, Mozilla також оголосила, що більше не визнає електронний сертифікат, виданий CNNIC.[9][10] у серпні 2016 року офіційний веб-сайт CNNIC відмовився від кореневого сертифіката, виданого власноруч, і замінив його сертифікатом, виданим DigiCert.
WoSign і StartCom: Видача підроблених сертифікатів із задньою датою[ред. | ред. код]
У 2016 році WoSign[en], найбільшому в Китаї ЦСК, який належить Qihoo 360[en][11] та його ізраїльській дочірній компанії StartCom[en], було відмовлено Google у визнанні їхніх сертифікатів.
WoSign і StartCom виявили, що лише за п'ять днів видали сотні сертифікатів з однаковим серійним номером, а також видали сертифікати задньою датою.[12] WoSign і StartCom навіть видали підроблений сертифікат GitHub.[13]
У 2017 році Microsoft також заявила, що видалить відповідні сертифікати в автономному режимі[14], але в лютому 2021 року користувачі все ще повідомляли, що сертифікати від WoSign і StartCom все ще діють у Windows 10 і їх можна видалити лише вручну.[15]
Див. також[ред. | ред. код]
Примітки[ред. | ред. код]
- ↑ What Are CA Certificates?. Microsoft TechNet[en]. 28 березня 2003.
- ↑ а б Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs). Microsoft TechNet. October 2014.
{{cite web}}: Обслуговування CS1: Сторінки з параметром url-status, але без параметра archive-url (посилання) - ↑ 476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate. bugzilla.mozilla.org (англ.). Архів оригіналу за 22 лютого 2020. Процитовано 3 січня 2020.
- ↑ CNNIC发行的中级CA发行了Google的假证书. solidot. 24 березня 2015. Архів оригіналу за 26 березня 2015. Процитовано 24 березня 2015.
- ↑ 最危险的互联网漏洞正在逼近. Архів оригіналу за 21 листопада 2015. Процитовано 26 березня 2015.
- ↑ Google Bans China's Website Certificate Authority After Security Breach. № April 2, 2015. Extra Crunch.
- ↑ 谷歌不再承認中國CNNIC頒發的信任證書. 華爾街日報. 3 квітня 2015. Процитовано 3 квітня 2015.
- ↑ 谷歌不再信任中国CNNIC 的网站信任证书. 美國之音. 3 квітня 2015. Процитовано 3 квітня 2015.
- ↑ Google and Mozilla decide to ban Chinese certificate authority CNNIC from Chrome and Firefox. VentureBeat. 2 квітня 2015.
- ↑ Mozilla紧随谷歌 拒绝承认中国安全证书. 美國之音. 4 квітня 2015. Процитовано 4 квітня 2015.
- ↑ 谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网. www.expreview.com. Процитовано 3 січня 2020.
- ↑ CA:WoSign Issues - MozillaWiki. wiki.mozilla.org. Процитовано 3 січня 2020.
- ↑ Stephen Schrauger. The story of how WoSign gave me an SSL certificate for GitHub.com. Schrauger.com.
- ↑ Microsoft Defender Security Research Team (8 серпня 2017). Microsoft to remove WoSign and StartCom certificates in Windows 10. Microsoft.
- ↑ Toxic Root-CA certificates of WoSign and StartCom are still active in Windows 10. Windows Phone Info.