Google объявила об исключении из доверенных списков Chrome двух влиятельных центров сертификации после года систематических нарушений. Chunghwa Telecom из Тайваня и венгерская Netlock потеряли статус надежных партнеров самого популярного браузера мира.
В течение последних месяцев команда безопасности Chrome фиксировала многочисленные случаи несоблюдения стандартов со стороны обеих организаций. Нарушения включали невыполнение обязательств по улучшению работы и отсутствие ощутимого прогресса после публичных отчетов об инцидентах.
Центры сертификации контролируют безопасность миллиардов веб-сайтов, выдавая цифровые сертификаты, которые шифруют трафик и подтверждают подлинность ресурсов. Когда пользователь видит зеленый замочек в адресной строке, это означает, что сайт защищен сертификатом от доверенного центра.
Исследователь Райан Херст, который имеет более 20 лет опыта работы с центрами сертификации, обнаружил серьезные недостатки в работе обеих организаций:
- Netlock не раскрывала информацию о промежуточном сертификате в общей базе данных в течение более чем года;
- Компания не отозвала ошибочно выданный сертификат и не предоставляла обязательные еженедельные обновления по инциденту безопасности.
Chunghwa Telecom также допустила критические ошибки. Компания задержала отзыв неправильно выданного сертификата и ошибочно выдала 247 сертификатов с некорректной структурой доменных имен.
По статистике, подобные случаи лишения доверия происходят примерно раз в 15 месяцев. Рынок SSL-сертификатов оценивается в более 8 миллиардов долларов ежегодно, а Chrome контролирует около 65% мирового браузерного рынка.
С 31 июля Chrome прекратит доверять всем сертификатам, выданным этими организациями. Сайты с такими сертификатами будут отображать страницу ошибки для пользователей браузера. Отсрочка предоставлена для того, чтобы клиенты успели найти альтернативных поставщиков.
Представители обеих компаний не ответили на запросы комментариев. Это решение подчеркивает важность соблюдения строгих стандартов безопасности в экосистеме интернета, где доверие пользователей зависит от надежности каждого звена защиты.
