شرکت Google چندین گواهینامه دیجیتالی را که بطور غیرمجاز در کشور هند صادر شده بودند، مسدود کرد. این گواهینامه های غیرمجاز را می توان برای راه اندازی سایت های جعلی Google بکار برد.
تکنـــــــــــــــازدانلود: استفاده از گواهینامههای جعلی به مهاجم امکان شنود ترافیک رمزنشده را میدهد و کاربر قربانی در حالی که تصور میکند ترافیکش رمزشده است، اطلاعات خود را از دست میدهد.
NIC گواهینامههای میانی را ایجاد میکند که توسط گواهینامههای مهم دولتی پذیرفته و بسیاری از نرمافزارهای پرمصرف مانند مرورگرهای اینترنتاکسپلورر و کروم مجاز شناخته میشوند را ایجاد میکند.
این گواهینامه های دیجیتالی جعلی نبوده ولی بطور غیرمجاز از طریق مرکز ملی انفورماتیک هند صادر شده بودند. به نظر نمی رسد که سوء استفاده گسترده و جدی از این گواهینامه ها صورت گرفته باشد و به همین دلیل هم شرکت Google از کاربران درخواست تغییر رمزهای عبور خود را نکرده است.
بررسی بیشتر درباره این رویداد ادامه دارد. ولی یک روز پس از کشف این رویداد توسط Google، مرکز نظارتی CCA یا Controller of Certifying Authorities در وزارت ارتباطات هند اقدام به ابطال آنها کرد. این مرکز دولتی وظیفه نظارت بر موسسات صدور گواهینامه دیجیتالی در کشور هند را برعهده دارد.
مرورگر Firefox تحت تاثیر این گواهینامه های غیرمجاز قرار نخواهد گرفت. این مرورگر از فهرست گواهینامه های تائید شده خودش استفاده می کند. مرکز CCA از مراکز مورد استفاده و مورد تائید Firefox نیست. مرورگر Chrome نیز به دلیل استفاده از فناوری Public Key Pinning در دام این گواهینامه های غیرمجاز نمی افتد.
در همین رابطه، شرکت مایکروسافت نیز هشدار امنیتی ۲۹۸۲۷۹۲ را منتشر کرد. طبق اعلام مایکروسافت، گواهینامه های غیرمجاز دیگری نیز به غیر از Google از طریق این مرکز هندی صادر شده است. هر کدام از این گواهینامه های غیرمجاز می تواند ابزاری برای راه اندازی سایت های مشهور جعلی و فریب کاربران باشد.
به همین منظور شرکت مایکروسافت فهرست گواهینامه های تائید شده (CTL) را در همه نسخه های Windows تحت پشتیبانی، به روز کرده است تا امکان سوء استفاده از این گواهیامه های غیرمجاز وجود نداشته باشد. برای به روز رسانی این فهرست، مایکروسافت راهنمای شماره ۲۶۷۷۰۷۰ را منتشر کرده است.
سیستم عامل Windows XP که دیگر تحت پوشش خدمات پشتیبانی مایکروسافت نیست، از این امکان امنیتی بی بهره خواهد بود.
گوگل از سال گذشته با افزایش قدرت گواهینامههای خود با رمزگذاری ۲۰۴۸ بیتی RSA، فرآیندی را آغاز کرده است که ادعا میکند بهترین رمزنگاری را برای کاربرانش به ارمغان خواهد آورد. استفاده از کلیدهای طولانیتر در رمزگذاری، شکستن ارتباطات SSL را برای مهاجم دشوار و با سختافزارهای در دسترس افراد عادی تقریباً غیرممکن خواهد کرد، البته آژانس امنیت ملی آمریکا برای شکستن چنین رمزگذاریهایی نیز تجهیزات لازم را در اختیار دارد.
گوگل اعلام کرده است که میزان نشت اطلاعات کاربران مشخص نیست تا هشدارهایی را برای تغییر کلمات عبور منتشر کند، اما کاربرانی که موارد مشکوکی در گواهینامههای خود مشاهده کردهاند بهتر است اقدام به تعویض گذرواژههای برخط خود داشته باشند.