Google Chrome banuje kineske CA WoSign i StarCom

Google je odlučio da kazni kineske certifikacione autoritete WoSign i kćerku firmu StarCom zbog, kako iz Google-a navode, „ne ispunjavanja visokih očekivanja koja imaju za CA“.

Google je prošle godine najavio da će certifikate izdate od ovih kompanija smatrati nebezbjednim te da će ih korisnici morati ručno dodati u Google Chrome.

Oni su se odlučili na ove akcije nakon što im je dojavljeno od tima iz GitHub-a da je WoSign izdao bazni certifikat neimenovanom GitHub korisniku bez autorizacije.

Prvi slučaj zloupotrebe ovog tipa otkrio je u julu 2015. godine Mozilla programera Gervase Markham.

On je objavio da se slučajno prijavio za www.ucf[.]edu certifikat pokušavajući da dobije certifikat za domen za med.ucf[.]edu. Dobio je oba certifikata, jer WoSign ima politiku da može izdati bazni certifikat korisniku ukoliko može dokazati vlasništvo nad poddomenom.

Kako bi testirao on je iskoristio isti trik na GitHub-u, na kome korisnici dobijaju mogućnost korišćenja poddomena. Dokazivanjem vlasništva na poddomenu dobio je certifikate za github.com i github.io.

 Pošto se ovaj propust može koristiti za ozbiljne MitM napade Google je u Chrome prvo ograničio, sad potpuno povukao povjerenje ovim certifikacionim autoreitetima.

Izvor:thehackernews.com