Уязвимость в WoSign, одном из крупнейших китайских удостоверяющих центров, позволила злоумышленникам получить корректно заверенные сертификации для многих известных сайтов, допускающих размещение пользовательской информации на поддоменах. В частности, удалось выписать фиктивные сертификаты для сайтов GitHub, Microsoft и Alibaba.

Проблема вызвана недоработкой в системе верификации заявки. Для получения сертификата WoSign следует подтвердить владение сайтом, для чего достаточно разместить на сайте специально предоставленный проверочный ключ. Суть уязвимости в том, что злоумышленник может запросить сертификат для поддомена и заодно получить сертификат на основной домен, подтвердив лишь контроль над поддоменом. Например, имея возможность размещения информации на сайте test.github.io, можно получить сертификат и для github.io.

При анализе последствий уязвимости выявлено 33 сертификата, выписанных для основных доменов на основе верификации через поддомен. Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны, а остальные WoSign соглашается отозвать только после заявки владельца домена. Игнорирование требований устранить уязвимость привело к обсуждению разработчиками Mozilla возможности исключения WoSign из поставляемого в Firefox хранилища корневых сертификатов. Решение пока не принято, но большинство участников обсуждения уже высказались за блокировку.

Источник: http://www.opennet.ru/opennews/art.shtml?num=45049