De falske Google-sertifikatene kan brukes til å avslytte trafikk til selskapet tjenester, slik som Gmail. (Bilde: All Over Press)

Sikkerhetssertifikater

Advarer mot falske Google-sertifikater

Kan brukes til å avlytte trafikk til selskapets tjenester.

Google kom i går med en advarsel om at selskapet rett før helgen ble oppmerksom på ikke-autoriserte, digitale sertifikater for flere av selskapets domener. De falske sertifikatene har blitt utstedt av en tjeneste som ser ut til å være eid av selskapet MCS Holding, som har hovedkontor i Egypt. Sertifikatene skal ha blitt signert med et sertifikat utstedt av kinesiske CNNIC (China Internet Network Information Center).

Stoles på av alle nettlesere

Ifølge Adam Langley, sikkerhetsingeniøren som har skrevet advarselen fra Google, er det mellomliggende sertifikatet fra CNNIC inkludert i alle de større rotsertifikat-samlinger, noe som betyr at de fleste nettlesere vil stole på de falske sertifikatene som har blitt signert med CNNIC-sertifikatet.

Etter det Google har fått av informasjon fra CNNIC, skulle MCS Holding bare kunne bruke CNNIC-sertifikatet i forbindelse med domener som selskapet selv har registrert. Men i stedet for å oppbevare den private nøkkelen på en sikker måte, ble den tilsynelatende installert i en proxy-server som den antatt sikre trafikken, muligens til de ansatte i selskapet, ledes gjennom. Men i stedet for å konfigurere hver klientmaskin slik at den stoler på proxy-serveren, tyder ting på at proxyen var blitt gitt den samme autoriteten som en offentlig sertifikatautoritet (CA), slik at også denne enheten kunne generere sertifikater.

Langley omtaler dette som et alvorlig brudd på CA-systemet.

Slepphendt

Google mener at forklaringen fra CNNIC stemmer overens med faktaene i saken, men er kritiske til at CNNIC delegerte organisasjonens ikke ubetydelige autoritet til en virksomhet som ikke var egnet til å ta vare på den.

De fleste versjoner av Chrome, samt Firefox 33 og nyere, avviser automatisk de falske sertifikatene på grunn av en teknikk som kalles for public-key pinning. Andre nettleserleverandører har blitt varslet om de falske sertifikatene.

Google kjenner ikke til at de falske sertifikatene faktisk har blitt misbrukt.

 

Til toppen