Google больше не признает SSL-сертификаты китайского удостоверяющего центра
Компания Google приняла решение о том, что больше не будет признавать сертификаты, выданные информационным интернет-центром Китая (China Internet Network Information Center, CNNIC), пишут западные СМИ. Китайское ведомство считает, что решение Google неприемлемо, и призывает компанию учитывать права и интересы пользователей в полной мере.
Компания Google приняла решение о том, что её браузер Chrome больше не будет подтверждать сертификаты, выданные информационным интернет-центром Китая (China Internet Network Information Center, CNNIC), пишут западные СМИ. Китайские власти считают решение Google неприемлемым.
CNNIC отвечает за предоставление сертификатов для веб-сайтов в национальной доменной зоне .cn, включая банковские и правительственные сайты.
Стандартная процедура использования сертификата в самом общем виде такова. Прежде чем дать пользователю доступ к ресурсу с криптозащитой (HTTPS-соединение, осуществляется по специальному протоколу SSL) передаваемых данных, браузер проверяет сертификат ресурса путём обращения в сертификационный центр. Если сертификационный центр удостоверяет право ресурса обмениваться с пользователем защищённым трафиком, данные передаются (осуществляется банковская транзакция, происходит заказ билетов на самолёт, предоставляются сервисы электронного правительства и т.п.). К каким именно сертификационным центрам обращаться за подтверждением подлинности сервера, «решает» браузер – это одна из его функций.
Контроль над сертификационными центрами – важный инструмент влияния на онлайн-сервисы. Если этот инструмент не контролируется правительством, оно не вполне самостоятельно в управлении своими онлайн-ресурсами. Проблема не решается созданием своего центра сертификации – нужно ещё, чтобы браузеры к нему обращались в поисках сертификата. А это, в свою очередь, зависит от многих условий, в частности, от популярности сертификационного центра, доверия к нему разработчиков онлайн-сервисов, а также от доброй воли производителей браузеров.
Нынешний конфликт CNNIC и Google начался с того, что 20 марта Google обнаружил несанкционированные цифровые сертификаты для нескольких своих доменов (кто-то представлялся Google, им не являясь). Google выяснил, что сертификаты выданы CNNIC египетской компании MCS Holdings. CNNIC признала ошибку и заверила, что работает, дабы предотвратить подобные инциденты.
Вслед за Google компания Mozilla (браузер Firefox) приняла аналогичное решение. Microsoft также рассматривает такую возможность.
CNNIC сможет вернуться в продукты Google с новым корневым сертификатом в том случае, если пройдёт все необходимые для этого процедуры.