در دوم جولای گوگل برای امتناع از نقض غافلگیر‌کننده‌ی امنیت اساسی وب درحالی‌که به نظر می‌رسید هیچ‌گونه عواقبی نداشته، گواهینامه‌های دیجیتال تقلبی در دامنه‌های مختلف خود را مسدود کرد.

گواهینامه‌ها مدارک دیجیتالی هستند که به منظور بررسی وب‌سایت‌ها استفاده می‌شوند، و‌همچنین بخشی از ستون اعتماد سازمانی هستند که عملکرد وب را هموار نگه می‌دارد. آن‌ها بخشی از اعتمادی هستند که به شما اجازه می‌دهند از وب‌سایت‌ها خرید کنید. اگر یک سایت دارای گواهینامه‌ی نامناسب باشد، اکثر مرورگرها آن را به‌طور پیش‌فرض مسدود خواهند کرد.

گواهینامه‌‌های جعلی گوگل توسط مرکز انفورماتیک هند صادر شده‌اند که دارای چندین حق انتشار تأیید شده توسط مرکز کنترل‌کننده هند است. گواهینامه‌های CCA هند مشمول فروشگاه اصلی مایکروسافت است که به معنای اعتماد اکثر نرم‌افزارهای ویندوز مانند اینترنت اکسپلورر و گوگل کروم به آن‌ها است.

امنیت فایرفاکس به خطر نیفتاده چون فروشگاه اصلی خود‌را دارد که شامل این گواهینامه‌های غیرمجاز نمی‌شود.

مهندس امنیتی گوگل آدام لانگلی در وبلاگش بیان کرد دنبال کردن به‌روز‌شده‌ی گوگل کروم کاربران را از آسیب در‌امان خواهد نگه داشت.

وی نوشت:«ما به سرعت به NIC، مایکروسافت و CCA هند درباب حادثه هشدار دادیم و گواهی به اشتباه صادر شده‌ی گوگل کروم را با فشار CRLSet مسدود کردیم.» وی نوشت و اضافه نمود که گوگل از فروشگاه‌های دیگر که مشمول گواهی CCA می‌شدند آگاه نبود. منظور وی این بوده که  کروم روی Mac OS X، iOS، Android و خود کروم OS تحت تأثیر قرار نگرفته‌اند.

«به علاوه، کروم روی ویندوز گواهینامه‌های گوگل را به خاطر گیرافتادن کلید عام نپذیرفته، اگرچه ممکن است گواهی‌های بدانتشار برای سایت‌های دیگر موجود باشد، از این‌رو نیاز است که مرورگر به‌روز شود.»

روز هشتم جولای بررسی‌ها به‌سمتی رفت که گوگل گواهینامه‌‌های CCA هند را تنها به هفت دامنه و زیردامنه محدود کرد. تحقیقات نشان داد چهارتا از گواهینامه‌ها اشتباه صادر شده بودند که اولی 25اُم ژوییه بوده است. سه‌تای آن‌ها متعلق به گوگل و یکی برای یاهو بود.

دربه‌روزشده‌ی وبلاگ لانگلی آمده است که گوگل از گواهینامه‌های بدانتشار ورای این چهار مورد آگاه بوده و نتیجه گرفته یک پتانسیل آسیب از حوزه‌ی ناشناخته وجود دارد.

معلم وب و کارمند سابق گوگل تیم بری در وبلاگ خود گفت:«مشکلات گواهینامه‌ها به اندازه‌ی کافی برای گوگل سخت است. با توجه به اهمیت تجارت در وب، وی افزود که راه حل گوگل کشتن رقابت با عرضه‌ی یک گواهینامه‌ی خیلی ارزان و به خوبی تنظیم شده‌ی دیجیتال است.

بری گفت:«تجارت CA (گواهینامه مجاز) به خوبی تنظیم نشده و خیلی از آن وجود دارد، و برخی رقابت و اخلاقیات سوال‌برانگیزی دارند. داستان آخر مثال خوبی از این ماجراست»

مشاور امنیتی اشکان سلطانی با بری موافق بوده و گفته است اسناد و سیستم صدور گواهی نقص جدی دارد. او به سی‌نت گفت:« وضعیت مانند این است که شما به هر قفل‌سازی اجازه‌ی صدور کلید قفل‌ساز دیگر دهید، بازیگر سرکش حتی می‌تواند به امن‌ترین بانک‌ها نیز دست یابد»

On By سپیده بهرامیان

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پست های مشابه