28 марта 2017

Symantec утратил доверие

В результате предварительного расследования лидеров ИТ индустрии выяснилось, что компания Symantec многие годы выпускала сертификаты, неудовлетворяющие политикам по безопасности и необходимым процедурам установления доверия.

Практически вся безопасность глобальных и локальных сетей, в т.ч. сети Интернет, включая защиту ваших банковских транзакций и персональной информации, держится на протоколах сетевого взаимодействия, которые позволяют защитить передаваемые по сети данные и индентифицировать пользователя с использованием ассиметричного шифрования на основе ключей, хранящихся в сертификатах. 

В свою очередь, сертификаты выдаются центрами сертификации, которые обязаны проверить (как минимум по документам) личность (организацию), запрашивающую сертификат, и выдать сертификат, подписанный именем (наименованием) исключительно тому, кто действительно смог подтвердить, что он является именно той персоной и/или организацией, за которую себя выдаёт.

К центрам сертификации предъявляются самые жёсткие требования по безопасности, какие только существуют в сети Интернет, т.к. компрометация центра сертификации равнозначна компрометации всех пользователей и организаций, пользующихся сертификатами от этого центра сертификации.

В случае, если центр сертификации был скомпрометирован, то его корневой сертификат удаляют навсегда из списка доверенных корневых сертификатов на всех ОС и браузерах, и все сертификаты, выданные им, автоматически становятся недоверенными. В результате этого, пользователи (организации) более не могут использовать свои сертификаты от утратившего доверие центра сертификации и вынуждены получать их заново, но уже в каком-то другом центре сертификации.

Ранее, доверие утрачивали лишь центры сертификации малого и среднего масштаба, поэтому их вычёркивали из списка доверия без сожаления. Однако, случай с Symantec является особым.

Дело в том, что Symantec в области выдачи сертификатов является абсолютным монополистом, т.к. им выпущено около 30% сертификатов в мире. Сам факт компрометации центра сертификации такого масштаба может поставить крест вообще на всей безопасности Интернет и банковской системы, поэтому никакого окончательного официального заявления о том, что Symantec более не является доверенным центром сертификации нет, и, вероятно, не будет. 

Для общего понимания, отвлечённый гипотетический пример из другой области:

"Если ЦБ РФ, который среди прочего занимается мониторингом российских банков, обнаружит реальные проблемы у Сбербанка и заявит о том, что отзывает у него лицензию (лишает доверия), то это неминуемо похоронит всю банковскую систему России. По этой причине, даже если у Сбербанка на самом деле вдруг возникнут реальные проблемы, то скорее всего его основных вкладчиков (государственные органы и приближённый круг лиц) будут спасать тихо, постепенно выводя их активы в другие банки."

Возвращаясь к Symantec, кратко предисторию вопроса можно изложить следующим образом:

1) Google обнаружил, что с его ресурсами пытаются взаимодействовать пользователи с недоверенными сертификатами "якобы от Google", выпущенными центром сертификации Symantec.

2) На запрос от Google к Sysmantec вменяемого ответа о причинах происшествия получено не было.

3) Google обратился ко всем остальным ИТ лидерам рынка, чтобы они проверили подобную активность у себя и выяснилось, что и к их ресурсам также массово пытаются осуществить доступ с помощью недоверенных сертификатов, выпущенных центром сертификации Symantec. Всего таких недоверенных сертификатов было обнаружено более 30000 штук, причём выпущены они были Symantec в течение нескольких лет.

4) На общий публичный запрос от Google к Symantec, последний ответил отпиской и продолжил выпускать сертификаты в том же духе.

На практике, если бы такое безответсвенное поведение было продемонстрировано любым другим центром сертификации, то его вычеркнули бы из списка доверенных корневых сертификатов уже после второго пункта (см. выше), но поскольку Symantec абсолютный монополист в мире сертификатов, то его официально не вычеркнули даже после четвёртого пункта (см. выше).

Тем не менее, поскольку эту грандиозную проблему с всеобщей безопасностью сетей, в т.ч. Интернет, которая перекрывает все ранее известные проблемы с безопасностью вместе взятые, как то надо решать, Google решил начать действовать, но по тихому. Недавно Google заявил, что постепенно устанавливает предельный срок действия сертификатов от Symantec для стабильной версии браузера Google Chrome в 465 дней, начиная с осени 2017 года, что на практике означает, что к началу 2019 года рядовые пользователи смогут использовать свои сертификаты, только если добавят их в список доверенных вручную, т.к. промежуточные сертификаты в цепи доверия Symantec, которые по определению выпускаются, как минимум на два года, перестанут быть доверенными.
Источник: https://goo.gl/yfPE0k (см. сообщение Ryan Sleevi от 23.03.2017)

В общем, у Symantec есть почти два года на то, чтобы стать белее снега и доказать всему остальному миру, что он не виноват и выпускает сертификаты исключительно согласно политикам доверия. В противном случае, технические ограничения Google Chrome по максимальному сроку доверия сертификатов Symantec вступят в силу и весь бизнес Symantec по безопасности пойдёт ко дну.

С учётом открывшихся обстоятельств, пока Symantec не обелит полностью своё имя, рекомендую всем организациям и рядовым пользователям получать сертификаты у любого другого центра сертификации, избегая компанию Sysmantec (включая её дочерние бренды Norton и VeriSign), как минимум до 2019 года, когда мы увидим, чем всё это закончилось.
Отправить комментарий