گوگل در پی مسدودسازی سایت های جعلی Google با گواهینامه های غیرمجاز

گوگل اعلام کرده است که میزان نشت اطلاعات کاربران مشخص نیست تا هشدار‌هایی را برای تغییر کلمات عبور منتشر کند، اما کاربرانی که موارد مشکوکی در گواهی‌نامه‌های خود مشاهده کرده‌اند بهتر است اقدام به تعویض گذرواژه‌های برخط خود داشته باشند.

شرکت Google چندین گواهینامه دیجیتالی را که بطور غیرمجاز در کشور هند صادر شده بودند، مسدود کرد. این گواهینامه های غیرمجاز را می توان برای راه اندازی سایت های جعلی Google بکار برد.

تکنـــــــــــــــازدانلود: استفاده از گواهی‌نامه‌های جعلی به مهاجم امکان شنود ترافیک رمز‌نشده را می‌دهد و کاربر قربانی در حالی که تصور می‌کند ترافیکش رمز‌شده است، اطلاعات خود را از دست می‌دهد.

NIC گواهی‌نامه‌های میانی را ایجاد می‌کند که توسط گواهی‌نامه‌های مهم دولتی پذیرفته و بسیاری از نرم‌افزارهای پرمصرف مانند مرورگر‌های اینترنت‌اکسپلورر و کروم مجاز شناخته می‌شوند را ایجاد می‌کند.

این گواهینامه های دیجیتالی جعلی نبوده ولی بطور غیرمجاز از طریق مرکز ملی انفورماتیک هند صادر شده بودند. به نظر نمی رسد که سوء استفاده گسترده و جدی از این گواهینامه ها صورت گرفته باشد و به همین دلیل هم شرکت Google از کاربران درخواست تغییر رمزهای عبور خود را نکرده است.

 بررسی بیشتر درباره این رویداد ادامه دارد. ولی یک روز پس از کشف این رویداد توسط Google، مرکز نظارتی CCA یا Controller of Certifying Authorities در وزارت ارتباطات هند اقدام به ابطال آنها کرد. این مرکز دولتی وظیفه نظارت بر موسسات صدور گواهینامه دیجیتالی در کشور هند را برعهده دارد.

مرورگر Firefox تحت تاثیر این گواهینامه های غیرمجاز قرار نخواهد گرفت. این مرورگر از فهرست گواهینامه های تائید شده خودش استفاده می کند. مرکز CCA از مراکز مورد استفاده و مورد تائید Firefox نیست. مرورگر Chrome نیز به دلیل استفاده از فناوری Public Key Pinning در دام این گواهینامه های غیرمجاز نمی افتد.

در همین رابطه، شرکت مایکروسافت نیز هشدار امنیتی ۲۹۸۲۷۹۲ را منتشر کرد. طبق اعلام مایکروسافت، گواهینامه های غیرمجاز دیگری نیز به غیر از Google از طریق این مرکز هندی صادر شده است. هر کدام از این گواهینامه های غیرمجاز می تواند ابزاری برای راه اندازی سایت های مشهور جعلی و فریب کاربران باشد.

به همین منظور شرکت مایکروسافت فهرست گواهینامه های تائید شده (CTL) را در همه نسخه های Windows تحت پشتیبانی، به روز کرده است تا امکان سوء استفاده از این گواهیامه های غیرمجاز وجود نداشته باشد. برای به روز رسانی این فهرست، مایکروسافت راهنمای شماره ۲۶۷۷۰۷۰ را منتشر کرده است.

سیستم عامل Windows XP که دیگر تحت پوشش خدمات پشتیبانی مایکروسافت نیست، از این امکان امنیتی بی بهره خواهد بود.

گوگل از سال گذشته با افزایش قدرت گواهی‌نامه‌های خود با رمز‌گذاری ۲۰۴۸ بیتی RSA، فرآیندی را آغاز کرده است که ادعا می‌کند بهترین رمز‌نگاری را برای کاربرانش به ارمغان خواهد آورد. استفاده از کلید‌های طولانی‌تر در رمز‌گذاری، شکستن ارتباطات SSL را برای مهاجم دشوار و با سخت‌افزار‌های در دست‌رس افراد عادی تقریباً غیرممکن خواهد کرد، البته آژانس امنیت ملی آمریکا برای شکستن چنین رمز‌گذاری‌هایی نیز تجهیزات لازم را در اختیار دارد.

گوگل اعلام کرده است که میزان نشت اطلاعات کاربران مشخص نیست تا هشدار‌هایی را برای تغییر کلمات عبور منتشر کند، اما کاربرانی که موارد مشکوکی در گواهی‌نامه‌های خود مشاهده کرده‌اند بهتر است اقدام به تعویض گذرواژه‌های برخط خود داشته باشند.