17/09/2018, 22:13

Apple vẫn giữ chứng chỉ bảo mật CNNIC do Trung Quốc cấp phát

Sau khi phát hiện cơ quan Trung Quốc cho phép chứng chỉ số (CA) thực hiện hành vi đáng ngờ vực vào một số tên miền Google, cả Google, Mozilla đã đồng loạt từ chối nhận dạng CA do cơ quan quản lý Internet Trung Quốc CNNIC cấp phát. Tuy nhiên Apple vẫn giữ chứng chỉ này là đáng tin cậy trong kho ...

cnnic_chrome_cert-680x400

Sau khi phát hiện cơ quan Trung Quốc cho phép chứng chỉ số (CA) thực hiện hành vi đáng ngờ vực vào một số tên miền Google, cả Google, Mozilla đã đồng loạt từ chối nhận dạng CA do cơ quan quản lý Internet Trung Quốc CNNIC cấp phát. Tuy nhiên Apple vẫn giữ chứng chỉ này là đáng tin cậy trong kho lưu trữ của mình.

Apple vào thứ tư đã tung ra một bản cập nhật dành cho iOS và OSX. Công ty không đưa ra bất kì phát biểu nào về vụ việc chứng chỉ số của Trung Quốc và tiếp tục giữ chúng trong sản phẩm của mình. Vụ việc Google và Mozilla gỡ bỏ CNNIC ra khỏi trình duyệt web xảy ra vào tháng 3 và liên quan đến công ty có tên MCS Holdings. Công ty này đã cài đặt một chứng chỉ trên thiết bị có khả năng thực hiện can thiệp SSL và thực hiện trên một vài domain của Google. Kĩ sư của Google đã phát hiện ra và nhanh chóng chặn chứng chỉ xấu trên Chrome cũng như liên hệ với cơ quan CNNIC.

“CNNIC phản hồi vào 22 tháng 3 rằng họ đã kí hợp đồng với MCS Holdings cho phép công ty này sử dụng chứng chỉ dành cho domain mà họ đã đăng ký. Tuy nhiên, thay vì giữ khóa bí mật trong HSM (hardware security module) phù hợp, MCS lại cài đặt nó trong một man-in-the-middle proxy. Những thiết bị này can thiệp vào kết nối bảo mật bằng cách giả dạng là địa chỉ đích và đôi khi được sử dụng bởi công ty để can thiệp vào kết nối của nhân viên với nhiều mục đích khác nhau.”  – Google cho biết trong blog của mình.

Tuần trước Google đã thông báo rằng họ thực hiện loại bỏ chứng chỉ CNNIC ra khỏi Chrome. Mozilla nhanh chóng thực hiện điều đó với trình duyệt Firefox của mình. Cơ quan CNNIC cho biết họ không thể hiểu được lý do gì mà Google lại đưa ra quyết định như vậy. Microsoft vào 24 tháng 3 cũng đã chặn chứng chỉ của MCS Holdings trong Internet Explorer nhưng không loại bỏ CNNIC.

threatpost

0