Động thái này được thực hiện sau khi một nhóm bảo mật của GitHub thông báo tới Google vào 17/8/2016 rằng Chinese Certificte Authority WoSign đã cung cấp chứng thực cơ bản cho một trong những domain của GitHub với tên người dùng GitHub không xác định mà không hề xác thực.
Sau khi WoSign bị báo cáo, Google đã thực hiện một cuộc điều tra công khai cùng với Mozilla và cộng đồng bảo mật, từ đó phát hiện ra một số trường hợp khác WoSign cũng phát hành chứng thực không đúng.
Kết quả là, cuối năm ngoái, gã khổng lồ công nghệ đã giới hạn những chứng thực được WoSign và StartCom phát hành trước 21/10/2016, và loại bỏ hostname trong danh sách trắng dần dần theo các đợt phát hành kể từ Chrome 56.
Google ngừng tin tưởng chứng thực của WoSign và StartCom
Trong bài đăng Google Groups hôm thứ Năm, kĩ sư an ninh của Chrome Devon O’Brien nói rằng cuối cùng công ty cũng loại bỏ danh sách trắng khỏi lần phát hành sắp tới của Chrome, hoàn toàn không còn tin tưởng các chứng thực hiện tại của WoSign và StartCom.
“Kể từ Chrome 61, danh sách trắng sẽ bị loại bỏ, không còn tin tưởng các chứng thực hiện tại của WoSign và (chi nhánh của nó) StartCom cùng tất cả các chứng thực mà họ đã phát hành”, O’Brien nói. “Dựa trên lịch Chromium Development Calendar, thay đổi này sẽ thấy rõ trên các kênh Chrome Dev những tuần tới, Chrome Beta sẽ thấy từ khoảng cuối tháng 7/2017 và sẽ phát hành bản Stable vào khoảng giữa tháng 9/2017.”.
Năm ngoái, Apple và Mozilla cũng dừng tin tưởng các chứng thực được WoSIgn và StartCom phát hành trên trình duyệt của mình do các lỗi quản lý và kỹ thuật quá nhiều.
“Quan trọng nhất là, chúng tôi thấy họ đã ghi lùi ngày tháng trên chứng thực SSL để vượt qua thời gian ngừng VA phát hành SHA-1 SSL vào 1/1/2016”, Kathleen Wilson, trưởng bộ phận Trusted Root Program của Mozilla cho hay. “Ngoài ra, Mozilla cũng phát hiện ra rằng WoSign đã chiếm toàn quyền sở hữu của CA khác tên là StartCom và không hề thông báo, theo yêu cầu chinh sách của Mozilla”.
Vấn đề về chứng thực của WoSign đã bắt đầu từ tháng 7/2015 và chính thức công khai vào năm ngoái bởi nhà lập trình Mozilla người Anh Gervase Markham trên danh sách chính sách bảo mật của Mozilla.
Nguyên nhân là do những sai lầm bảo mật khi hãng này cấp chứng thực
Theo Markham, một nhà nghiên cứu an ninh đã vô tình phát hiện sai lầm bảo mật này khi lấy chứng thực cho med.ucf.edu nhưng lại nộp lên là www.ucf.edu và WoSign đã chấp thuận, biến nó thành chứng thực cho domain chính của trường. Để kiểm tra, nhà nghiên cứu này đã dùng mánh khóe này đối với domain cơ sở của GitHub (github.com và github.io) bằng cách chứng minh quyền kiểm soát sub-domain. Đáng ngạc nhiên là sau đó WoSign đã cấp chứng thực cho cả domain chính của GitHub.
Kể từ tháng 9/2017, khi truy cập các trang web sử dụng chứng thực của WoSign và StartCom HTTPS sẽ thấy cảnh báo trên trình duyệt. Vì vậy các trang này được khuyên nên thay chứng thực “để nhanh chóng giảm thiểu xảy ra lỗi cho người dùng Chrome”, O’Brien nói.