Sikkerhetssertifikater på internett handler om tillitt. Dersom tilliten brytes, har sertifikatene ikke lenger noen verdi.
For et par uker siden ble det kjent at et egyptisk selskap, MCS Holding, hadde lagd egne sertifikater til flere av Googles domener ved å signere dem med et mellomliggende sertifikat utstedt av kinesiske CNNIC (China Internet Network Information Center). Det er ingenting som tyder på at de falske sertifikatene har ført til noen skade, men slikt er uansett et brudd på den nevnte tilliten, på flere nivåer. Flere av nettleserleverandørene var raskt ute med å plassere sertifikatet MCS Holding brukte til å signere, i en svarteliste. Men det historien slutter ikke der.
Bakgrunn: Advarer mot falske Google-sertifikater
Trekker støtten
Den 1. april, i en oppdatering til den opprinnelige kunngjøringen, opplyser Google at selskapet etter ytterligere etterforskning har avgjort at CNNICs rot- og EV-sertifikater ikke lenger vil bli anerkjent av Googles produkter. Dette vil blant annet gjelde fra og med en framtidig utgave av Chrome. I en begrenset periode vil CNNICs eksisterende sertifikater likevel kunne merkes som tiltrodde i Chrome gjennom en offentliggjort hviteliste. I praksis betyr det likevel at nettsteder og andre tjenester som bruker sertifikater som er signert med sertifikatene til CNNIC, heller ikke vil anerkjennes av Chrome. Det kan ramme mange nettsteder, spesielt i Kina.
Google opplyser dog at CNNIC vil kunne søke om å komme inn i varmen igjen så snart selskapet har fått bedre kontroll over teknologi og prosedyrer.
Protest
Denne avgjørelsen har ikke skjedd uten reaksjoner. Den 2. april kunngjorde CNNIC, som er direkte underlagt departementet for informasjonsteknologi i den kinesiske regjeringen, at avgjørelsen til Google er uakseptabel og uforståelig for CNNIC. Etaten ber Google om å ta brukernes rettigheter og interesser med i vurderingen.
Samtidig garanterer etaten at rettighetene og interessene til brukere som har allerede har fått utstedt sertifikater fra CNNIC, vil bli ivaretatt.
Mozilla
Men Google er ikke alene om å ha kommet til en slik avgjørelse. Samme dag som CNNIC protesterte, kunngjorde Mozilla at stiftelsens produkter ikke lenger vil stole på noen sertifikater utstedt med CNNICs rotsertifikat i hierarkiet og med notBefore-dato satt til 1. april eller senere. Mozilla vil dessuten be CNNIC om en liste over alle de gyldige CNNIC-sertifikatene. Dersom det senere, på det offentlige internettet,blir oppdaget et eldre CNNIC-signert sertifikat som ikke inkludert i denne listen, vil Mozilla vurdere ytterligere tiltak.
Begrunnelsen fra Mozilla er at CNNIC ved å utstede et ubegrenset, mellomliggende sertifikat til et selskap uten dokumentert PKI-praksis og uten oversikt over hvordan den private nøkkelen ble oppbevart eller kontrollert, har gjort seg skyldige i det som i Mozillas regler for sertifikathåndhevelse kalles for «egregious practice».
Tilliten mange har til CNNIC er i utgangspunktet noe begrenset, da det antas at etaten også er tungt involvert i det kinesiske sensurapparatet.