0
Malwarebytes
Google har advaret om, at alle certifikater udstedt af et Kinesisk selskab WoSign og datterselskab StartCom vil være stolede med frigivelsen af Chrome 61.
Ifølge en Google Grupper-indlæg, der er offentliggjort af Chrome security engineer Devon O ‘ Brien, som følge af “flere episoder, hvor det nøglecenter, der har “ikke [været] i overensstemmelse med de høje standarder, der forventes af CAs,” Google Chrome er allerede begyndt at udfase WoSign og StartCom ved kun at stole certifikater, der er udstedt før den 21 oktober 2016.
Tech gigant er snart til at gå videre og vil helt mistillid til alle certifikater udstedt af selskaber, der i løbet af få måneder.
Chrome udvikling team har begrænset tillid gennem en whitelist af værtsnavne, der er baseret på Alexa Top en million steder, og denne liste er blevet beskåret ned i løbet af Chrome releases.
Når version 61 er klar til offentliggørelse, vil dette fuldt mistillid eksisterende WoSign og StartCom rodcertifikater og alle certifikater, som de har udstedt.
“Der begynder med Chrome 61, positivlisten, vil blive fjernet, hvilket resulterer i fuld mistillid til den eksisterende WoSign og StartCom rodcertifikater og alle de certifikater, de udsteder, at” ingeniøren sagde. “Websites, der stadig bruger StartCom eller WoSign-udstedte certifikater bør overveje at udskifte disse certifikater hurtigst muligt for at minimere forstyrrelser for Chrome-brugere.”
Overgangen til at begynde sortlistning CA myndighed, der opstod sidste år. I August 2016, WoSign blev fanget udstedelse af falske HTTPS certifikater for GitHub-domæner, som er en alvorlig sikkerhedsrisiko, som angribere kan bruge certifikatet til at udgive GitHub domæner til at gå på kompromis bruger-kommunikation.
Google og Mozilla derefter gået sammen om at undersøge, CA, og det lykkedes at afdække andre tilfælde af uautoriseret certifikater, der udstedes.
Chrome version 56 var den første til at afvise certifikater, der er udstedt af WoSign og StartCom, efter “tekniske begrænsninger og bekymringer” rejst bekymring for, at CA var ikke i overensstemmelse med Chrome ‘ s Certifikat politik for Transparens.
Mozilla annoncerede også planer om at forbyde nye certifikater, der er underskrevet af WoSign og StartCom gennem Firefox 51, udgivet i januar.
Tech gigant sagde, at WoSign tilbage dateret certifikater for at undgå en for branchen tryk for at fjerne den forældede SHA-1 algoritmen, og også beskyldes for at være vildledende i at benægte sit ejerskab af StartCom, en Israelsk certifikat myndighed.
“Niveauet af bedrag fremgår af repræsentanter for den kombinerede virksomhed har ført til, at Mozilla’ s beslutning om at mistillid fremtidige certifikater kæde op til det i øjeblikket-i prisen WoSign og StartCom root certifikater,” siger virksomheden.
Apple var hurtig til at følge trop med planer om at mistillid nogle WoSign andStartCom certifikater på individuel basis.
Se også: Sådan master Google Chrome
Da virksomheden havde vedtaget Google Chrome og brugen priser fortsætte med at stige i Maj, rullede Google opdateringer til Chrome, som giver IT-administratorer en enkelt installationspakke til download, der indeholder Krom MSI, Chrome Ældre Browser Support (LBS) forlængelse og administrative skabeloner
0