? Principal autoridade de certificação digital de botas de Google da China CNNIC

Um alarme recente ao longo de um certificado digital emitido-mis para vários domínios do Google resultou em Google lista negra principal autoridade de certificação da China.

Google está na lista negra todos os certificados digitais do Centro China Rede de Informações da Internet (CNNIC), a organização que administra the.cn domínio e uma autoridade de certificação raiz amplamente confiável.

Google, Mozilla e Microsoft na semana passada respondeu a um certificado digital emitido-mis de uma companhia egípcia chamada MCS Holdings, o que poderia permitir a um invasor representar um tráfego do site e interceptar Google para ea partir dela.

Enquanto o erro foi MCS Holdings ‘, o Google culpou CNNIC para a delegação de “autoridade substancial para uma organização que não estava apto para segurá-la”.

CNNIC tinha emitido um certificado intermediário para MCS no entendimento de que a empresa egípcia só iria usar os certificados para seus próprios domínios. No entanto, a empresa utilizou os certificados para *. google.com, * .google.com.eg, * .g.doubleclick.net, * .gstatic.com, www.google.com, www.gmail.com, e * .googleapis.com.

Em uma atualização para o blog original onde o Google revelou o certificado falso, a empresa disse ontem que, como resultado de uma investigação conjunta por ele e CNNIC, “nós decidimos que os [estendidos autoridades de certificação de validação] CNNIC raiz e EV CAS deixar de ser reconhecidas em produtos do Google “.

A empresa de pesquisa irá exercer a decisão através de uma futura atualização para o Chrome.

“Para ajudar os clientes afectados por esta decisão, por um tempo limitado que permitirá que os certificados existentes do CNNIC para continuar a ser marcado como confiável no Chrome, através do uso de uma lista branca divulgada publicamente”, disse o Google.

“Embora nem nós nem CNNIC acredita quaisquer certificados digitais não autorizadas tenham sido emitidos, nem nós acreditamos que os mis-emitidos certificados foram utilizados fora do âmbito limitado de rede de teste MCS Holdings, CNNIC estará trabalhando para evitar incidentes futuros. CNNIC vontade implementar Certificado de Transparência para todos os seus certificados antes de qualquer pedido de reinclusão. aplaudimos CNNIC em suas medidas proativas, e recebê-los para reaplicar uma vez adequado controles técnicos e de procedimentos estão no lugar. ”

Em outras palavras, a proibição parece ser condicionada à CNNIC fazer alterações em seus processos de manuseio de certificado. Apesar do tom conciliatório da mensagem do Google, CNNIC foi surpreendido pela jogada.

“A decisão que o Google tem feito é inaceitável e incompreensível para CNNIC, e, entretanto, CNNIC sinceramente pedir que o Google tiraria os direitos e interesses dos usuários plenamente em consideração”, disse CNNIC em um comunicado nesta quinta-feira.

“Para os usuários que CNNIC já emitidos os certificados para, nós garantimos que os seus legítimos direitos e interesses não serão afetados”, acrescentou.

Mozilla gerente de engenharia de criptografia Richard Barnes disse Ars Technica que ainda está por determinar as medidas a tomar com o Firefox, no entanto, uma proposta colocaria CNNIC em aviso prévio.

proposta Barnes ‘inclui

O incidente certificado egípcio não é a única questão em que o papel da CNNIC como AC raiz tem sido posta em causa. GreatFire, um grupo que monitora a censura online na China, tem apelado repetidamente para a Apple, Microsoft e Google para revogar a confiança para os certificados de CNNIC.

Não remova a raiz CNNIC, mas; Rejeitar certificados encadeamento para CNNIC com uma data notBefore depois de uma data limite *. *; Solicitar que CNNIC fornecer uma lista de certificados actualmente em vigor, e publicar essa lista para que a comunidade pode reconhecer qualquer back- certs datado; Permitir CNNIC a recandidatar-se a inclusão plena, com alguns requisitos adicionais (a ser discutido nesta lista); Se re-aplicação do CNNIC não for bem sucedida, então os seus certificados de raiz serão removidos

segurança Google bateu por certificados web falsas; Microsoft Outlook cortado seguinte bloco Gmail na China, a China tem 618 milhões de usuários de internet, 80 por cento no celular

O grupo afirma que CNNIC tem sido cúmplice em uma série de ataques man-in-the-middle dentro da China contra a Apple, Google, Yahoo e serviços da Microsoft. É intensificou suas chamadas seguintes do bloco recente na China no Gmail.

GreatFire também é acreditado para ser um dos principais alvo do ataque DDoS que atingiu GitHub durante a semana passada, o que algumas pessoas acusaram o governo chinês de lançar. O governo chinês não negou envolvimento nos ataques, que dependem de um pedaço de javascript que direciona o tráfego Baidu fora da China para os servidores GitHub.

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; segurança; Casa Branca nomeia primeiro CIO Federal de Segurança; Segurança; Pentágono criticado por cibernético resposta -emergency pelo cão de guarda do governo

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal

Pentágono criticado por resposta cyber-emergência por watchdog governo