Браузеры Firefox и Microsoft Edge утратили доверие к корневым сертификатам TrustCor

2022-12-02 4740 комментарии
Браузеры от Mozilla и Microsoft больше не доверяют трем корневым сертификатам TrustCor. Основная претензия к TrustCor — связи данного центра сертификации с организацией, которая «распространяла SDK, содержащий шпионское ПО, среди пользователей Android»

Mozilla в качестве даты утраты доверия установила 30 ноября 2022 года, а Microsoft — 1 ноября 2022 года. Другие производители браузеров, включая Google и Apple, могут последовать этому примеру.

Опасения по поводу TrustCor были подняты на дискуссионном форуме Mozilla Dev Security в начале ноября профессором Университета Калгари Джоэлом Рирдоном (Joel Reardon) и другими экспертами.

Основная претензия к TrustCor — связи данного центра сертификации с организацией Measurement Systems, которая «распространяла SDK, содержащий шпионское ПО, среди пользователей Android». На форуме были представлены следующие доказательства:

  • Домены Measurement Systems и TrustCor зарегистрированы Vstrom Holdings.
  • У двух организаций одинаковые корпоративные должностные лица.
  • TrustCor использует продукт для шифрования электронной почты MsgSafe. Одна из бета-версий MsgSafe содержала «единственную известную версию шпионского SDK без обфускации кода» от Measurement Systems.

В ходе обсуждения группы безопасности появилась новая информация, которую предоставил представитель TrustCor.

Эксперты пришли к выводу, что между Measurement Systems и TrustCor существовали связи, по крайней мере, до 2021 года, и что один разработчик, нанятый TrustCor, имел доступ к открытой версии исходного кода вредоносного SDK Measurement System. Однако доказательств некорректной выдачи сертификатов представлено не было.

С 30 ноября Mozilla решила не доверять сертификатам TrustCor, которые включены в корневое хранилище Mozilla. Сертификаты будут удалены из корневого хранилища по истечении срока их действия. Сертификаты могут быть удалены на более раннем этапе, если «обнаружены доказательства того, что центра сертификации некорректно использовал сертификаты или выпускал их задним числом, чтобы обойти настройки недоверия».

Microsoft не предоставила заявление группе обсуждения, но установила дату недоверия на 1 ноября 2022 года.

Полное обсуждение, доказательства и комментарии представителя TrustCor доступны по ссылке.

Пользователи Firefox могут вручную удалить сертификаты TrustCor в браузере.

Примечание: удаление сертификатов может помешать доступу к определенным сайтам в Интернете. Вы можете использовать функцию «экспорта», чтобы сохранить сертификаты в локальной системе, чтобы у вас была возможность восстановить их с помощью опции импорта.

Как удалить сертификаты TrustCor в Firefox

  • Перейдите на внутреннюю страницу about:preferences#privacy в браузере
  • Прокрутите вниз до раздела Сертификаты.
  • Нажмите кнопку Просмотр сертификатов…
  • Прокрутите вниз до TrustCor. Список отсортирован по алфавиту.
  • Выберите каждый из сертификатов TrustCor, затем нажмите Удалить или не доверять… и подтвердите это действие. Сертификаты будут удалены из браузера.
© . По материалам Ghacks

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?