شماره:IRCNE2015033261
تاريخ: 06/01/94
گوگل اعلام كرد كه گواهينامههاي ديجيتال غيرمجاز و جعلي براي تعدادي از دامنههاي اين شركت صادر شده است.
يك مهندس امنيت گوگل به نام آدام لنگلي گفت كه اين شركت از صدور گواهينامههاي ديجيتال غيرمجاز براي چندين دامنه گوگل در 20 مارس آگاه شده است. اين مهندس اعلام كرد كه اين گواهينامهها توسط يك مركز مياني صدور گواهينامه صادر شده است كه گوگل معتقد است متعلق به شركتي به نام MCS Holdins است كه يك شركت مصري است كه تحت مركز اطلاعات شبكه اينترنت چين (CNNIC) فعاليت ميكند.
به گفته لنگلي، CNNIC يك مركز معتبر بوده و در نتيجه گواهينامههاي صادر شده توسط آن، مورد اعتماد تقريباً تمامي مرورگرها و سيستم عاملها قرار دارد. البته پردازهاي به نام اتصال كليد عمومي كه به كلاينتهاي وب ميگويد كه كليدهاي عمومي رمزنگاري خاصي را با وب سرورهاي خاصي مرتبط كنند، كروم را روي سيستمهاي ويندوز، OS X و لينوكس، ChromeOS و فايرفاكس 33 و پس از آن را از قبول اين گواهينامههاي جعلي بازميدارد.
گوگل اعلام كرد كه به محض روشن شدن اين موضوع، در مورد اين حادثه امنيتي به CNNIC و ساير مرورگرهاي مهم اطلاعرساني كرده است و بلافاصله گواهينامههاي MCS Holdings را در كروم مسدود كرده است. CNNIC توضيح داده است كه با MCS Holdings بر اساس صدور گواهينامه براي دامنههايي كه اين مركز ثبت كرده است قرارداد بسته است. اما MCS به جاي نگهداري كليدهاي خصوصي در يك ماژول امن سختافزاري مناسب، آن را روي يك پراكسي man-in-the-middle نصب كرده است.
پراكسيهاي man-in-the-middle ارتباطات امن را با وانمود كردن به اينكه مقصد واقعي ترافيك هستند مورد نفوذ قرار ميدهند. درصورتيكه يك بنگاه تجاري بخواهد از چنين پراكسيهايي براي مانيتور كردن ترافيك امن شبكه خود استفاده كند، كامپيوترهاي كارمندان بايد طوري تنظيم گردند كه اين پراكسي را پذيرفته و به آن اعتماد نمايند. اما در مورد MCS، به اين پراكسي اختيار كامل صدور مجوز داده شده است.
گوگل معتقد است كه ممكن است سايتهاي ديگري نيز با اين مشكل مواجه شده باشند.
گوگل به كاربران خود اطمينان داده است كه هيچ نشانهاي دال بر سوء استفاده مشاهده نشده است و كاربران كروم نياز به انجام هيچ كاري از جمله تغيير كلمه عبور را ندارند.
- 8