WoSign

Компания

Содержание

История

2017: Отказ Microsoft веб-сертификатов

В августе 2017 года Microsoft вслед за Google, Apple и Mozilla отказывается признавать сертификаты безопасности, выданные китайского удостоверяющего центра WoSign, занимающегося выдачей сертификатов безопасности для веб-сайтов. В немилость также попало дочернее предприятие WoSign, израильско-китайская компания StartCom. Microsoft исключает сертификаты обеих фирм из списка доверенных, поскольку они "не отвечают стандартам, предъявляемым к участникам программы Trusted Root Program". [1]

С сентября 2017 года, как указывается в заявлении Microsoft, «Windows 10 перестанет доверять любым сертификатам, выданным этими организациями».

Microsoft отказывается от сертификатов китайского удостоверяющегося центра WoSign
«
Наблюдалось использование неприемлемых в сфере безопасности методов работы, таких как изменение задним числом сертификатов с алгоритмом хэширования SHA-1, некорректный выпуск сертификатов, произвольный отзыв сертификатов, дублирование серийных номеров сертификатов и многочисленные нарушения Основных требований Форума производителей сертификатов и браузеров (CAB Forum), — говорится в заявлении Microsoft.
»

WoSign, со своей стороны, объявил, что претензии Microsoft необоснованны и вводят пользователей в заблуждение: WoSign поменял свою инфраструктуру по выдаче сертификатов ещё в ноябре и его новые сертификаты никакого риска для пользователей не представляют.ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября Ранее от использования сертификатов WoSign и StartCom отказались Mozilla, Apple и Google.

Разработчики Mozilla ещё в сентябре 2016 года обвинили WoSign в использовании ненадёжного алгоритма шифрования SHA-1 и подмены дат сертификатов, а также в сокрытии того факта, что StartCom принадлежит WoSign. StartCom также выпускал ненадёжные сертификаты SHA-1. Google присоединился к санкциям в середине текущего года.

«
Интернет сегодня опирается на сильную криптографию, которая позволяет существенно снизить риски связанные с приватностью пользователей сети - говорит Георгий Лагода, генеральный директор компании SEC Consult Services. - WoSign поймали за руку на распространении «слабых» сертификатов и обмане пользователей, так что отказ ведущих производителей браузеров от признания этих сертификатов весьма логичен.
»

WoSign бесплатно распространял SSL-сертификаты, что обеспечило их популярность. Около 10 тысяч доменов верхнего уровня в зоне .ru используют сегодня эти сертификаты. [2]

Примечания