Symantec برای کاربران خانگی بیشتر با محصولات امنیتی NORTON شناخته می شود اما یکی از بزرگ ترین صادرکنندگان گواهی HTTPS است. حدود 16 ماه قبل مشخص شد این کمپانی به طور غیر اصولی گواهی رمزنگاری صادر می کند. حالا یکبار دیگر Symantec به دام افتاده و مشخص شده برخلاف تعهد پیشین خود بدون رعایت ضوابط ایمنی و حقوقی گواهی های معتبر صادر می کند که می تواند مستقیماً هزاران و حتی میلیون ها کاربر را در معرض خطر قرار دهد.
HTTPS یک پروتکل ارتباطی امن است که بر مبنای پروتکل HTTP ساخته شده اما ارتباط توسط لایه TLS رمزنگاری می شود. در حالی که اوایل از HTTPS بیشتر برای وب سایت های بانکی و خرید آنلاین استفاده می شد، اما ظرف چندسال اخیر فراگیری آن شتاب پیدا کرده و دیگر بکارگیری آن به وب سایت هایی که با اطلاعات مالی در ارتباط هستند محدود نمی شود. به رغم اینکه بکارگیری HTTPS خود کار مثبتی برای افزایش ضریب امنیت است، اما تنها هنگامی موثر واقع می شود که هر دو سیستم و وب سروری که به آن متصل می شوید با هدف پذیرش گواهی های نامعتبر دستکاری نشده باشند.
اعتماد به HTTPS خود از زنجیره ای از اعتماد تشکیل شده، کاربر اعتماد می کند مرورگر وی به درستی HTTPS را به کار می گیرد، باید فرض را هم بر این گرفت که گواهی های امنیتی صادر شده توسط مراجع صادر کننده فقط برای افراد معتبر که دامنه یا وب سایت متعلق به آنها است صادر شده اند. سپس با دو فرض قبلی از گواهی برای تضمین ارتباط استفاده می شود و مرورگر مطمئن می شود وب سایتی که مشاهده می کنید درست همانی است که گواهی برای آن صادر شده. متاسفانه خالاء های متعددی وجود دارد که می تواند این زنجیره اعتماد را بشکند و دیگر کاربر نتواند به ارتباط HTTPS اعتماد کند.
به ادعای یک پژوهشگر امنیتی به نام اندرو آیر، Symantec در مجموع 108 گواهی صادر کرده که خلاف ضوابط سخت گیرانه این صنعت و حتی تعهد پیشین این کمپانی است، اگر ساده تر بخواهیم بگوییم، Symantec بدون رعایت ضوابط و قوانین گواهی های معتبر را برای اشخاص غیر معتبر صادر کرده که گواهی های صادر شده کاربران را تهدید می کند. 9 عدد از این گواهی ها بدون اطلاع خود مالک دامنه ها برای افراد ثالث و 99 عدد آن با ثبت اطلاعات ساختگی صادر شده اند. یافته های آقای اندرو نشان می دهد Symantec یک گواهی معتبر HTTPS را برای شخصی با نام "test" صادر کرده که نشان می دهد چنین گواهی مهمی بدون بررسی صحت اطلاعات صادر شده است. با مشخص شدن این واقعه Symantec یک بیانیه رسمی منتشر کرده و خبر از آغاز تحقیقات داده است.
مشکل آنجاست هنگامی که گواهی های غیر معتبر باطل می شوند، در بسیاری مواقع تا یک ساعت طول می کشد که مرورگر صحت گواهی های موجود را مجدداً بررسی کند، بدتر اینکه می تواند در بررسی اعتبار گواهی های موجود اختلال ایجاد کرد و مرورگر متوجه ابطال گواهی های نامعتبر نشود. در چنین شرایطی که امکان اعتبار سنجی گواهی های صادر شده وجود ندارد، مرورگر بدون اطلاع از اتفاق های رخ داده می تواند اطلاعات را از منابع غیر معتبر برای کاربر بارگذاری کند.
دفعه قبل که مشکل مشابهی رخ داد Symantec ضمن اطلاع رسانی و ابطال گواهی های نامعتبر، تعدادی از کارکنان خود را اخراج کرد. پس از آن واقعه گوگل رسماً Symantec را متعهد کرد تمامی گواهی های صادر شده توسط یکی کمپانی ثانویه ثبت و بررسی شوند. در واقعه مورد اشاره Symantec بدون اطلاع گوگل به درخواست یک شخص ثانویه برای دامنه اصلی این کمپانی گواهی صادره کرده بود!
Symantec با خرید کمپانی Verisign در سال 2010 به یکی از بزرگترین صادرکنندگان گواهی امضای دیجیتال تبدیل شد، گواهی های این کمپانی تحت برند Symantec و همچنین GeoTrust ،Thawte و RapidSSL صادر می شوند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت