Mozilla и Microsoft отхвърлят Trustcor като основен сертифициращ орган

След седмици на дискусии, Mozilla и Microsoft отмениха доверието на сертификатите на TrustCor Systems и премахнаха компанията от своите основни магазини за сертификати.

решения след разследване Докладвай От The Washington Post по-рано този месец, който показа очевидните връзки на TrustCor с доставчиците на шпионски софтуер Packet Forensics, както и с други компании с връзки с американската разузнавателна общност. Рейчъл Макферсън, вицепрезидент по операциите на TrustCor, отговори гневно в отворено писмо, твърдейки, че статията е подтикната от предубедени изследователи по сигурността и е „пълна с нелепи, неверни твърдения и твърдения извън контекста“.

Въпреки това, след преглед на доказателствата срещу TrustCor, Mozilla и Microsoft решиха да отменят доверието в root Сертифициращ орган (CA), което ще направи сертификатите TrustCor неизползваеми за уеб браузърите FireFox и Edge, както и за други продукти.

„Нашата оценка е, че притесненията относно TrustCor са обосновани и че рисковете от продължаване на членството на TrustCor в основната програма на Mozilla надвишават ползите за крайните потребители“, каза Катлийн Уилсън, директор на програмите в Mozilla, в сряда на дискусията на CA на организацията. колекция.

„Сертифициращите органи имат силно доверени роли в интернет екосистемата и е неприемливо CA да бъде толкова тясно свързан, чрез собственост и работа, с компания, занимаваща се с разпространение на зловреден софтуер. Отговорите на Trustcor чрез вицепрезидента по операциите на CA доказват фактическа основа за Mozilla опасения.”

Представители на Google и Apple преди това изразиха загриженост в дискусионната група относно обвиненията и доказателствата срещу TrustCor. Но по време на публикуването никоя компания не е обявила решение относно позицията на CA root.

Основните CA имат широка власт в екосистемата на сертификатите поради тяхната собственост инфраструктура с публичен ключ (PKI) формира основата за криптирана верига на доверие. Те са най-довереният и критичен сертифициращ орган (CA) за компаниите за браузъри. В допълнение към създаването на собствени сертификати, главните CA могат да използват своя PKI, за да подписват и валидират сертификати на междинни CA на трети страни по-надолу по веригата на доверие.

Проблемът с TrustCor

Намерих Washington Post Няколко червени знамена За TrustCor едното беше, че физическият адрес на компанията, включен в одита на CA, е магазин на UPS в Торонто. По-важното е, че докладът цитира документи за бизнес регистрация от Панама, където е седалището на компанията, които свързват корпоративните служители, агенти и партньори на TrustCor – включително главния изпълнителен директор Реймънд Алън Солино – с Packet Forensics.

Packet Forensics Привидно федерален изпълнител, но е кабелен през 2010 г статия Компанията разкри, че продава продукти за прихващане на комуникация, които могат да заобиколят SSL криптирането за уеб браузъри – защитата, осигурена от CA с цифрови сертификати. Продуктите на Packet Forensics използват измамни препоръки, за да извършат a Човек в средата на атаката и кражба на частни комуникации, съобщава Wired.

По-рано тази година двама изследователи по сигурността – Джоел Риърдън, професор в Университета на Калгари, и Серж Игълман от Калифорнийския университет, Бъркли – Открийте Злонамерена дейност в поредица от приложения за Android, съдържащи код за събиране на данни и SDK, произведени от панамската компания Measurement Systems.

Според The ​​Wall Street Journal Докладвай Миналия април, в проучване на Reardon и Eagleman, фирмени записи и уеб домейн свързаха Measurement Systems с Vostrom Holdings, американски отбранителен изпълнител, базиран във Вирджиния Бийч. Списанието съобщава също, че Packet Forensics е дъщерно дружество на Vostrom Holdings.

По-рано този месец The Washington Post съобщи за повече червени знамена от документите, свързващи TrustCor с Packet Forensics. Риърдън и Игълман установиха, че имейл продуктът на TrustCor, MsgSafe, който твърди, че предоставя „криптиран имейл от край до край“, не съдържа такова криптиране. Вместо това съдържаше същия злонамерен SDK на системи за сравнителен анализ, открит в приложения за Android.

Въпреки че няма доказателства за неправилно издаване на сертификати на TrustCor или злоупотреба с правомощията на своя CA, изследователи и други специалисти по информационна сигурност в дискусионната група на Mozilla CA изразиха дълбока загриженост относно очевидните институционални и технически връзки на TrustCor с доставчиците на шпионски софтуер.

В поредица от публикации в дискусионната група Макферсън критикува Риърдън и Игълман, като ги обвинява в „изпращане на неверни твърдения“, като същевременно предупреждава за възможни правни действия за повтаряне на такива твърдения. В него се казва, че контактите с изпълнители на отбраната и доставчици на шпионски софтуер са комбинация от грешки в регистъра и очевидно усилие на лоши участници да създадат подобни домейни и организации, вероятно от конкурентни компании.

Макферсън също така категорично отрече, че TrustCor е свързана с Packet Forensics или Measurement Systems, въпреки че изглеждаше, че избягва директни запитвания относно Vostrom Holdings. Въпреки това, след многократни искания от Mozilla, Google и Apple, Макферсън изглежда се е отказал от много от основните искове срещу TrustCor. Тези инструменти включват ангажираността на TrustCor и Measurement Systems с ръководителите, оперативния контрол и техническата интеграция, както и че бета версията на MsgSafe за Android съдържа скрита версия на злонамерения SDK на Measurement Systems.

Въпреки че не беше открита злоупотреба със сертификата директно в TrustCor, Уилсън обясни, че опасенията относно системите за измерване на TrustCor и продуктите за електронна поща са достатъчни, за да наложат действие.

„Обикновено Mozilla не би оценила директно полезността на други продукти за собственик на CA, когато обмисля дали CA трябва да бъде член на нашата основна програма“, каза тя в дискусионната група. Въпреки това Trustcor’s Изявление за количествена стойност Той разчита в голяма степен на стойността на MsgSafe, който страда от редица проблемни поведения, които подкопават ценностното предложение на MsgSafe и по този начин подкопават предполагаемите предимства на това, че TrustCor CA е член на нашата основна програма. “

Макферсън изглежда беше съгласен с решението. „Въпреки че сме дълбоко разочаровани от това решение, няма да губим ничие време в отговор на премахването в момента“, написа тя в груповата дискусия.

Редакцията на TechTarget направи многократни опити да се свърже с TrustCor и McPherson, но компанията не отговори.

Mozilla обяви дата за недоверие на 30 ноември за основните сертификати на TrustCor. Макферсън каза, че Microsoft, която не е участвала в дискусията на Mozilla Group, е стигнала до подобно решение и е определила със задна дата датата на недоверие на 1 ноември, засягайки сертификатите, издадени през месеца.

Редакцията на TechTarget се свърза с Google и Apple за коментар, но не получи отговор по време на пресата.