Google Chrome apsauga nuo „Heartbleed“ yra visiškai neveiksni

Remiantis neseniai internete paskelbta išsamia analize „Google Chrome“ naršyklės gebėjimas blokuoti saugaus tinklalapio jungtis turinčias Heartbleed klaidų yra „visiškai neveiksnus“, nes pagal nutylėjimą naršyklė aptinka mažiau nei tris procentus, dėl šios klaidos atšauktų, skaitmeninių sertifikatų.

Dėl Google Chrome naršyklės negebėjimo blokuoti atšauktų SSL sertifikatų kaltinama CRLSet, kuri užsiima reguliariu atšauktų sertifikatų informacijos atnaujinimu Chrome naršyklėje. Praeitą savaitę kriptografijos inžinierius ir Google darbuotojas Adam Langley reklamavo CRLSet kaip daug pažangesnį SSL sertifikatų atšaukimo būdą, nei daugelyje kitų naršyklių, pagal nutylėjimą, naudojamo OCSP[1] protokolo. Langley OCSP vadino „niekam tikusiu“.

Dabar Gibson Research Corporation (GRC) analitikai pateikė įrodymus, kad Google pasirinktas CRLSet nesugeba atpažinti šimtų tūkstančių TLS (transport layer security) ir SSL (secure sockets layer) sertifikatų, kurie buvo atšaukti dėl Heartbleed klaidos paveikusios OpenSSL šifravimo biblioteką.

Bendrai Google Chrome naudojama CRLSet užblokuoja tik 24 259 atšauktus sertifikatus ir tai yra mažiau nei 3% visų nebaigusių galioti, tačiau formaliai pripažintų, kaip nepatikimais dėl Heartbleed saugumo spragos.

Reikia pastebėti, specialus Chrome sąrašas blokuoja vos 53 iš 353 TLS sertifikatų išdavimo šaltinių (CA, angl. certificate authority) Microsoft Windows operacinei sistemai skirtoje Chrome naršyklės versijoje ir 211 Chrome naršyklėje skirtoje Mac OS X.

„Mes žinome, kad Chrome naudojamas CRLSet atpažįsta viso labo 2% atšauktų sertifikatų ir aklai pasitiki likusiais 98% atšauktais, tačiau dar nesibaigusio galiojimo sertifikatais“, - rašoma GRC saugumo ekspertų straipsnyje paskelbtame pirmadienį.

Tarp potencialiai nesaugių sertifikatų, kuriais Chrome aklai pasitiki, vien turinio pateikimo tinklui CloudFlare priklauso 140 000, nors CloudFlare juos atšaukė tuojau pat po Heartbleed klaidos paskelbimo.

Google kol kas tyli ir nekomentuoja GRC analitikų pateiktų teiginių ir kaltinimų paieškos gigantės sukurtos Chrome naršyklės adresu.