UPD: Злоумышленники похитили SSL-сертификат у Google

Вчера, при попытке входа в Gmail пользователь из Ирана столкнулся со следующей проблемой: браузер Google Chrome выдал предупреждение о том, что при входе на сервис Google используется запрещенный сертификат. Как выяснилось впоследствии, обеспечить доступ к ресурсу не смогли и другие браузеры.

С этой проблемой пользователь немедленно обратился в службу поддержки Google. В результате выяснилось следующее: SSL-сертификатом,  выданным DigiNotar, голландским центром сертификации, воспользовались злоумышленники.

Компания Microsoft отреагировала на событие незамедлительно и выпустила уведомление безопасности SA 2607712, в котором сообщается, что компания удалила DigiNotar из списка доверенных корневых сертификатов. Более подробную информацию о том, как уменьшить риск возникновения проблем, связанных с сертификатом DigiNotar можно найти странице Facebook. Здесь же менеджер по рекламной безопасности Microsoft Райан Херст (Ryan M. Hurst) сообщает о том, что DigiNotar не будет в списке доверенных корневых сертификатов пока не будут устранены все факторы, явившиеся причиной этой проблемы.

Отметим, что представители как самой DigiNotar, так и недавно перекупившей их Vasco отказались комментировать случившийся инцидент.

В свою очередь, разработчики Google Chrome прокомментировали ситуацию изданию CNET следующим образом: «Специальная функция безопасности в Google Chrome предупреждает пользователя об обнаружении поврежденных сертификатов и блокировали их при посещении потенциально опасного сайта. Мы рады, что меры безопасности браузера Chrome помогли привлечь внимание публики к этому инциденту. Пока проблема не разрешится – мы будем блокировать все сайты, чьи сертификаты подписаны DigiNotar». 

Роэль Шувенберг (Roel Schouwenberg), представитель «Лаборатории Касперского», прокомментировал произошедшее представителям Security Lab следующим образом:  «SSL-сертификат является действительным и был выдан DigiNotar, голландским центром сертификации. DigiNotar был приобретен в начале этого года чикагской компанией Vasco, которая позиционирует себя как «мировой лидер в области строгой аутентификации».

Напомним, что аналогичная ситуация уже происходила в марте этого года, когда группа иранских хакеров незаконно скопировала сертификаты почты Google и шести других важных сервисов. Проникновение в систему позволило взломщикам получить ключи шифрования, требуемые для создания SSL-сертификатов. Учитывая связи компании Google с правительством и финансовыми структурами, очень важно вычислить масштаб взлома как можно скорее».

Update: Виталий Камлюк, вирусный эксперт «Лаборатории Касперского», специально для searchengines.ru согласился прокомментировать происшествие: «Проблема заключалась в том, что некоторые пользователи на интернет-форумах стали заявлять о случаях подмены сертификатов для защищенных HTTPS-соединений. Браузеры пользователей в Иране стали предупреждать о недействительном сертификате.

Дело в том, что при входе на сайты компании Google через HTTPS-соединение, сервер предлагал сертификат, выданный для сайтов *.google.com и подписанный компанией DigiNotar. Но подлинный сертификат Google выдан корпорацией Verisign и проверен Thawte Consulting Ltd, т.е. пользователи столкнулись с поддельным сертификатом.

 Создание недействительного SSL-сертификата и подмена оригинального сертификата используемого для HTTPS-соединений - дело не сложное, гораздо сложнее создать сертификат подписанный доверенным центром сертификации для сайта, не принадлежащего атакующему. Мы посмотрели на копию сертификата, которой поделился один из пользователей. Это действительный сертификат, выданный DigiNotar для *.google.com. Срок его действия истекает 9 июля  2013 года.