Миналата събота Google
откриха, че французи са изфабрикували техен дигитален сертификат. Ставало е дума за
ANSSI (Agence Nationale de la S?curit? des Syst?mes d’Information, от фр.: "Френска национална агенция за мрежова и информационна сигурност") - френска правителствена агенция към Министерството на отбраната на страната и сертифициращ орган (CA). В следствие на това компанията променя политиките на Chrome, така че да блокира този сертификат и предупреждават за случая и другите компании, които разработват браузъри, а така също и ANSSI. Според тях сертификатът е използван "на комерсиално устройство с цел инспектиране на мрежовия трафик".За какво става дума? Браузърите използват тези сертификати, за да удостоверят пред посещаващия ги и браузъра, че дадена услуга е това, което твърди, че е и създаването на подобни сертификати може да позволи на атакуваща страна да се представи за някой друг - услуга на Google, да речем, подлъгвайки жертвата да й довери конфиденциални данни. MitM атаки са ползвани от АНС например, за да следи интернет потребителите, преодолявайки по този начин криптозащитата на уеб-стандарти като TLS/SSL. Тоест, ако аз направя фалшив сайт, който да имитира да речем този на вашата банка или свързана с нея услуга и притежавам дигитално удостоверение, че сайтът ми е тази банка, вие лесно може да се подлъжите и да ми предоставите данни за банковата си сметка. Но подобни сертификати не се издават току-така на всеки. Ако банката ми предостави дигитални правомощия да я представлявам и аз се окажа измамник, става дума за сериозен инцидент.По отношение на сертифициращите органи имаме два типа сертифициращи органи - основен (root) и медиаторни (intermediate) сертифициращи органи, като основният има правомощия да упълномощава медиаторните органи да издават сертификати "от негово име". ANSSI попада в категорията на главен (root) сертифициращ орган, т.е. те се считат за високонадежден източник за издаване на подобни цифрови документи. Сертификатът, за който става въпрос е издаден от медиаторен CA. Каква е истината тук може да се спекулира, тъй като Google споделят, че става дума за нарочна подмяна, а френската агенция - за "
човешка грешка, която е била направена "по време на процес по засилване на мерките за сигурност на IT инфраструктурата на френското военно министерство, при което дигитални сертификати, принадлежащи на домейните на трета страна, които не са принадлежали на френската администрация са подписани от медиаторния CA на националния трезор - DGTr?sor"."Може ли да говорим за инцидент или сме свидетели на пореден пример за правителствена шпионска организация", коментира експертът по информационна защита в блога си
Пиерлуиджи Паганини.Това съвсем не е първият случай на компрометиране на SSL сертификати, напомнят от ZDNet. Преди две години пробив сертифициращия орган DigiNotar позволява на ирански хакер да създаде фалшиви сертификати на Google и да открадне пароли на потребители на Gmail. През 200г. пък VeriSign издават дигитален сертификат на Microsoft на някой, представящ се за
Microsoft Corporation.