Эта неделя станет самой черной в истории браузера Амиго. Сотни тысяч пользователей актуальной версии этого браузера неожиданно потеряли доступ ко множеству сайтов, в частности, к mail.ru и ok.ru. При попытке открыть эти страницы людей встречает заглушка "Ваше подключение не защищено", рассказывающая о проблемах с сертификатом безопасности (ERR_CERTIFICATE_TRANSPARENCY_REQUIRED).
Пользователи Амиго не стали разбираться в проблеме и начали массово штурмовать форум поддержки браузера Google Chrome. Причем не ясно, как они его вообще нашли. Неужели в Амиго случайно оставили на него ссылку? Ответа не знаем, но последствия весьма забавны. Десятки сообщений, в которых люди требуют от Google исправления ситуации. Многие обвинили разработчиков Хрома в том, что они подобным способом пытаются навязать свой браузер.
Так откуда взялась эта неожиданная проблема с доступом к сайтам? Мы провели свое расследование и выяснили вот что. Причиной блокировки стал баг в Chromium, известный еще с осени прошлого года. Он даже отчасти зацепил и сам Chrome, но больших масштабов не достиг благодаря своевременному обновлению. В чем он заключается?
Проблема начала раскручиваться еще в 2015 году, когда специалисты Google выявили несколько SSL-сертификатов, которые были выпущены для домена google.com посторонними лицами. Виновным в этом оказался центр сертификации, принадлежащий компании Symantec. Последующий внутренний аудит показал, что проблема куда масштабнее, чем несколько поддельных сертификатов Гугла. Центр сертификации был скомпрометирован, поэтому начиная с 53 версии Chrome требует для всех сертификатов от Symantec обязательной поддержки Certificate Transparency. Это такая процедура, который позволяет распространять информацию о выпущенных сертификатах так, чтобы мошеннические можно было вовремя заметить. Сертификаты поддерживали CT, и все было хорошо. Причем код, отвечающий за проверку CT, содержал в себе забавное условие – доверять логам CT только 10 недель с момента сборки браузера. Но никаких проблем не было.
А потом случилось вот что. В Chromium изменили стандартный ответ верификации Certificate Transparency с "Все хорошо" на "Нет, я не знаю". И тем самым запустили удивительную отложенную бомбу, которая взрывалась лишь через 10 недель после сборки браузера. Продукт можно было протестировать вдоль и поперек без каких-либо проблем. Выпустить постепенно на всю аудиторию. И только ровно через 10 недель с ужасом увидеть, как у всех пользователей вдруг перестали открываться сайты. Такие как Amazon и многие другие. Удивительный коварный баг.
Разработчикам Амиго сейчас не позавидуешь. Их сервера обновления скорее всего тоже заблокированы, ведь они на базе тех же сертификатов Symantec, а значит, обновить Амиго можно только вручную, загрузив обновление через сторонний браузер. Для них это катастрофа. Хотя, кажется, они что-то придумали и уже активно тушат пожар:
Upd. А вот это ужас:
