Google rechazó los Certificados Digitales emitidos por el Centro de Información de red de Internet en China (CNNIC) a través de Chrome, luego del descubrimiento de que certificados no autorizados para dominios de Google fueron rastreados hasta la Principal Autoridad de Certificados de China, Administradora del dominio “.cn”.
El CNNIC había emitido certificados intermedios a una compañía egipcia llamada MCS Holdings, la cual instaló claves privadas en un proxy Man-in-the-middle en vez de en un módulo de seguridad de hardware.
Google descubrió los certificados el 10 de Marzo, e informó a los CNNIC y los Buscadores más populares. También bloqueó el certificado MCS en Chrome con un Push CRLSet.
Advertencia
CNNIC le informó a Google 2 días después que bajo su contrato MCS emitiría certificados solo para los dominios registrados. Google considera esto como una delegación inapropiada de autoridad.
En este caso, Google ha decidido bloquear la raíz y las extensiones de las autoridades de validación de certificado, aunque una “Lista Blanca hecha pública” permitirá a los certificados CNNIC ya existentes ser confiados por Chrome hasta una futura actualización.
“Mientras ninguno de nosotros, ni CNNIC cree que más certificados digitales no autorizados están siendo emitidos, tampoco creemos que los certificados emitidos erroneamente fueron utilizados fuera del límite de alcance de la red de prueba de MCS Holdings, CNNIC seguirá trabajando para prevenir futuros incidentes,” Escribió el Ingeniero de seguridad de Google, Adam Langley. “CNNIC implementará Transparencia de Certificados para todos sus certificados. Aplaudimos a CNNIC por sus instrucciones proactivas, y les damos la bienvenida a restablecerse una vez que sea tomado el correcto control técnico.
Mozilla esta considderando sus opciones cuidadosamente, y podría adquirir un enfoque similar al de Google, reporta Ars Technica.
La confianza continúa siendo un punto importante para Google. Fue revelado el mes pasado que debido a un bug, Google Apps expuso los datos personales de sus usuarios. La compañía dice que el problema con CNNIC resalta la necesidad de transparencia de certificados.
Certificate Authority Trustwave, La Autoridad de Certificado admitió emitir certificados a una compañía privada para espiar en conexiones protegidas por SSL dentro de su propia red en 2012, por lo que fue cuestionada su confiabilidad. Los comentarios en la publicación en el Blog de Google sugieren que el espionaje es la motivación de los certificados CNNIC No autorizados.
China bloqueó Google como parte de una campaña mayor de censura, frente a que el verano pasado se conmemorara el aniversario 25 de la masacre en Tiananmen Square, y está acusado de bloquear acceso a Gmail a finales 2014.
Fuente: thewhir.com