Google лишит доверия два удостоверяющих центра из-за нарушений безопасности

Компания Google сообщила о прекращении доверия к цифровым сертификатам двух удостоверяющих центров — тайваньской Chunghwa Telecom и венгерской Netlock. Это решение вступит в силу с 31 июля 2025 года и коснется всех новых сертификатов, выпущенных этими организациями. После этой даты браузер Chrome будет блокировать доступ к сайтам, использующим такие сертификаты, выводя пользователю предупреждение о небезопасном соединении.

Причиной столь жёстких мер стали многочисленные нарушения со стороны обеих организаций. Команда безопасности Chrome в течение длительного времени фиксировала сбои в выполнении обязательных стандартов, отсутствие прогресса в исправлении обнаруженных проблем и несоблюдение принятых отраслевых норм. По словам специалистов, общая картина допущенных ошибок делает невозможным дальнейшее сохранение доверия со стороны Chrome, поскольку деятельность этих удостоверяющих центров стала представлять повышенный риск для безопасности пользователей интернета.

Хотя Google официально не раскрывает все детали, независимые эксперты указывают на ряд допущенных ошибок. Среди них отмечаются и несвоевременный отзыв ошибочных сертификатов, и недостаточная прозрачность в публикации данных о промежуточных сертификатах. Кроме того, в некоторых случаях фиксировалась некорректная структура доменных имен в выпущенных сертификатах, что нарушает принятые международные стандарты идентификации сайтов.

Chunghwa Telecom и Netlock ранее входили в список доверенных удостоверяющих центров большинства браузеров и обеспечивали шифрование для большого числа сайтов по всему миру. Выпущенные ими SSL-сертификаты позволяли организовывать защищённые соединения, шифровать пользовательские данные и подтверждать подлинность веб-ресурсов. Теперь их клиенты будут вынуждены искать альтернативных поставщиков сертификатов, чтобы избежать потери работоспособности своих сайтов в Chrome.

Как сообщает Ars Technica, подобные инциденты происходят в отрасли примерно раз в полтора года и служат напоминанием о строгих требованиях, которые предъявляются к организациям, отвечающим за работу системы интернет-доверия. От качества их работы напрямую зависит безопасность миллионов пользователей по всему миру.