DigiNotar из списка доверенных 30 августа в тему «Coffee Shop (off-topic)» технической поддержки Gmail стали поступать письма от пользователей из Ирана о возможной MITM-атаке на почтовый сервис, поскольку Google Chrome выдавал предупреждение «Invalid Server Certificate»: при входе на сервис Google используется запрещенный сертификат. Атака на почтовый сервер была обнаружена благодаря особенности Google Chrome, позволяющей делать привязку домена к ограниченному количеству удостоверяющих центров и оповещать пользователя о поврежденных сертификатах, блокируя последние в случае, если сайт расценивается как потенциально опасный.
Служба безопасности Microsoft выяснила, что причиной блокирования почтового сервиса стало повреждение корневого сертификата, выданного центром сертификации DigiNotar (Голландия), затрагивающее все домены и поддомены google. com. Учитывая дату создания сертификата, он мог быть использован в атаках на Gmail более 6 недель. В связи с этим для компании Google исключительно важно выяснить масштабы события как можно раньше. Кстати, если нужно получить сертификат на товар, то осуществить это можно тут https://mosprom.com в компании МОСПРОМТЕСТ.
Напомним, что в марте этого года иранские хакеры проникли в систему Google и других сервисов, что позволило им создавать SSL-сертификаты с помощью полученных ключей шифрования. В ответ на данную ситуацию Microsoft удалила DigiNotar из списка доверенных сертификатов до выяснения деталей. Информация об этом вышла в сообщении безопасности SA 2607712. По словам Райан Херст (Ryan M. Hurst, рекламная безопасность Microsoft), пока не будут выяснены все детали и факторы, повлекшие за собой ситуацию, DigiNotar не появятся в списке доверенных сертификатов. Также Google предупредила и других поставщиков браузеров, пользующихся SSL-сертификатами DigiNotar.
В частности, на блоге службы безопасности Mozilla появилось сообщение об удалении компании-поставщика сертификатов из списка доверенных. Напомним, что недавно DigiNotar были перекуплены Vasco - чикагской компанией аутентификации. Роэль Шувенберг (Roel Schouwenberg, представитель «Лаборатории Касперского») призвал DigiNotar предоставить максимально подробную информацию о хищении сертификата. Однако ни одна из компаний не прокомментировала ситуацию. Разработчики Google Chrome в свою очередь заявили о том, что будут блокировать все сайты с сертификатами DigiNotar.
Расследование деталей данного события обещает быть интересным еще и потому, что компания DigiNotar является официальным поставщиком сертификатов для голландских правительственных структур. Виталий Камлюк (вирусный эксперт «Лаборатории Касперского») предложил свою версию развития событий. Вкратце, проблема заключается в том, что в данной ситуации при попытке доступа к Gmail через HTTPS-соединение сервер выдавал действующий сертификат компании DigiNotar для *. google. com, срок действия которого истекает 9 июля 2013 года.
Тогда как подлинный сертификат принадлежит компании Verisign. Таким образом, вполне вероятно, что злоумышленники получили удаленный доступ к инфраструктуре DigiNotar, используя инфраструктуру центра-сертификации. Загадка состоит еще и в появлении в Иране сертификата голландской компании. Возможно, эта атака на DigiNotar и Vasco являлась целенаправленной, тогда новые сертификаты вскоре всплывут и в правительственных структурах.