Google detalla que CNNIC les explicó que habían contratado con MCS Holdings con la condición de que esta compañía solo emitiera certificados para dominios que tuvieran registrados. Si embargo, en vez de mantener la clave en un módulo de seguridad hardware (HSM), MCS lo instaló en un proxy man-in-the-middle. Estos sistemas son comúnmente empleados por las empresas para interceptar el tráfico de sus empleados para monitorizarlo o por cualquier otra necesidad. Los ordenadores de los empleados normalmente tienen que ser configurados para confiar en el proxy. Sin embargo, en este caso, al proxy se le dio toda la autoridad de una entidad de certificación pública, lo cual es una violación grave del sistema de certificaciones. Según declara Google esta situación es similar al fallo de ANSSI en 2013.
- *.google.com
- *.google.com.eg
- *.g.doubleclick.net
- *.gstatic.com
- http://www.google.com
- http://www.gmail.com
- *.googleapis.com
http://www.mcsholding.com/MCSResponse.aspx
La frase «»Certificate pinning» es una interesante opción en la que el certificado lleva especificado en quien se ha de confiar para validar el certificado» no es correcta.
Todo certificado tiene incluida la cadena de validación, y certificate pining es una medida que se implementa en la capa que valida los certificados. Es algo totalmente ajeno al certificado en sí.
Más información en:
http://web.ua.es/en/recsi2014/documentos/papers/contramedidas-en-la-suplantacion-de-autoridades-de-certificacion-certificate-pinning.pdf