Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
05.12.2024

ICP-Brasil: один SSL-сертификат подорвал доверие к Google

В системе Mozilla Bugzilla обсуждается случай некорректной выдачи SSL-сертификата, связанный с ICP-Brasil и доменом google .com. Проблема вызвала активное обсуждение среди специалистов, так как сертификат был выпущен с нарушением установленных правил.

Сертификат выдали, несмотря на то, что для домена google.com настроена специальная запись CAA, разрешающая выдачу сертификатов только через pki.goog. Анализ сертификата выявил множество нарушений, включая проблемы с настройкой расширений, неправильный порядок полей и другие технические ошибки.

Оказалось, что национальный удостоверяющий центр в Бразилии ICP-Brasil, выдает промежуточные сертификаты другим организациям, таким как Certisign . Однако, согласно новой политике ICP-Brasil, выпуск SSL/TLS сертификатов вне закрытых экосистем, таких как платежные системы, более не допускается.

Данный сертификат предназначен для работы Google Wallet в Бразилии, в том числе для системы мгновенных переводов Pix. По правилам, применение должно быть ограничено только этими задачами, но сертификат оказался доступным для более широкого использования, что вызвало вопросы у экспертов.

Участники обсуждения считают, что УЦ, выдавший сертификат, не проверил все условия и допустил ошибку. Также отмечается, что с момента выявления проблемы УЦ не предоставил официального ответа и не объяснил ситуацию. Это вызвало критику за недостаточный контроль и задержку реакции.

Представители Mozilla заявили, что рассматривают возможность добавления сертификата в список OneCRL, чтобы ограничить его использование. Кроме того, специалисты обратили внимание на то, как Microsoft контролирует соблюдение правил доверенных УЦ, поскольку данный сертификат признается в системе Microsoft для серверной аутентификации.

В обсуждении предполагается, что Google мог самостоятельно запросить сертификат, не учитывая новые ограничения ICP-Brasil. Это привело к тому, что сертификат оказался неподходящим для использования за пределами платежной системы. Ситуация требует дальнейшего анализа и объяснений от всех сторон, включая УЦ и корпорации, которые доверяют сертификатам.