Удостоверяющий центр из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub
Китайский удостоверяющий центр WoSign, который специализируется на выдаче бесплатных SSL-сертификатов, по ошибке выдал дублирующие сертификаты для базовых доменов Github и Университета Центральной Флориды обычному пользователю.
Ошибку обнаружил один из студентов учебного заведения — по словам сотрудника Mozilla Джерваза Маркхама (Gervase Markham), описавшего эту историю, все случилось еще в апреле 2016 года, но известно об этом стало только сейчас.
В чем проблема
Весной текущего года студент Университета Центральной Флориды подал запрос на получение сертификата для поддомена med.ucf.edu — в запросе он по ошибке указал и основной домен учебного заведения (www.ucf.edu). К удивлению исследования WoSign одобрил заявку и выдал сертификаты. Таким же образом студент смог получить сертификаты для доменов GitHub — github.com, github.io и www.github.io.
Это стало возможным из-за ошибки в работе удостоверяющего центра — он выдавал бесплатный SSL-сертификат для базового домена, если пользователь смог подтвердить контроль над поддоменом. WoSign была проинформирована об обнаруженной ошибке, однако до сих пор отозван только сертификат доменов GitHub.
Как защититься от подобных ошибок
Как заметил Маркхам, сертификат для ucf.edu так и не был отозван, что свидетельствует «об отсутствии возможности либо нежелании WoSign провести проверку базы данных на предмет подобных ошибок». Это значит, что удостоверяющий центр может и не иметь возможность обнаружить и отозвать ошибочно выданные сертификаты.
Владельцы доменов могут самостоятельно попытаться узнать о том, не был ли для них выдан еще один SSL-сертификат — если это случилось, то для зломышленников открываются широкие возможности по проведению атак.
Для этого можно использовать сервис Certificate Transparency (CT) — он позволяет частным и корпоративным владельцам доменов видеть информацию о том, сколько сертификатов было выдано для их доменов. К сервису подключено множество удостоверяющих центров — в том числе и WoSign.
Использование CT не предотвращает использование уже выданных сертификатов, но позволяет узнать о такой возможности.
Специальные сервисы для поиска сертификатов в базе Certificate Transparency выпустили Google и Comodo.