SSL-сертификат Google, выпущенный удостоверяющим центром DigiNotar, расположенным в Нидерландах, был обнаружен пользователем из Ирана при попытке получить доступ к сервису Gmail. Этот сертификат использовался при атаке "человек посередине" против пользователей Gmail.

Сертификат был выпущен для поддоменов *.google.com 10 июля 2011 года. А это значит, что он мог использоваться в атаках на сервисы Google уже более шести недель. На данный момент сертификат нидерландским удостоверяющим центром аннулирован.

Описанный случай является серьёзным ударом по безопасности инфраструктуры открытых ключей, которая для выпуска сертификатов, идентифицирующих домены, полагается на удостоверяющие центры.

В марте этого года иранскому хакеру удалось пробиться в сеть реселлера компании Comodo и выпустить мошеннические сертификаты для многих крупных сайтов. Этот случай вызвал широкие дискуссии о будущем инфраструктуры открытых ключей и привёл к реализации дополнительной защиты в браузерах.

Компания Google в своём браузере Chrome 13 представила новую особенность, позволяющую привязывать домен к очень ограниченному количеству удостоверяющих центров. Благодаря этой особенности и была обнаружена упомянутая атака с использованием мошеннического сертификата Google. Так как DigiNotar не числился среди удостоверяющих центров, связанных с Gmail, Chrome выдал ошибку SSL, что побудило иранского пользователя исследовать ситуацию.

Компания Google предупредила о произошедшем Microsoft, Mozilla и других поставщиков браузеров, по умолчанию доверяющих сертификатам DigiNotar. Все три поставщика уже выпустили или планируют выпустить обновления к своим продуктам, которые полностью удалят DigiNotar из списка доверенных удостоверяющих центров. Этот беспрецедентный шаг вызвал одобрение сообщества по информационной безопасности.

Подобная мера является необходимой, так как пока неясно, как именно был выпущен мошеннический сертификат. До выяснения всех обстоятельств произошедшего ни одному из сертификатов, выпущенных DigiNotar, доверять нельзя. Возможно, такая решительная мера послужит предупреждением другим удостоверяющим центрам о том, что может случиться, если они не будут относиться к безопасности серьёзно и не будут жёстко контролировать процесс выпуска сертификатов.