انتشار کلیدهای خصوصی HTTPS امنیت 23 هزار سایت را به خطر انداخته است – دیجیاتو – دانشگاه آزاد اسلامی

مدیر یک موسسه صدور گواهی HTTPS به نام Trustico با ارسال اطلاعات مرتبط به گواهی 23 هزار سایت در یک ایمیل، امنیت آنها را به خطر انداخته است
برخی فکر می کنند صدور گواهی HTTPS مثل فروش اسنیپر راحت است و به همین خاطر شاهد افزایش تعداد شرکت های شخص ثالث در این زمینه هستیم که کلیدهای خصوصی را خود تولید کرده و حتی از سایت ها می خواهند کلیدهایشان را در اختیار آنها قرار دهند.

فرد مظنون به انتشار 23 هزار کلید خصوصی از طریق ایمیل، مدیر کمپانی Trustico است که گواهی صادر شده از طرف «Comodo» و «»DigiCert» را به فروش می رساند.httpsکلیدهای مذکور به همراه درخواستی مبنی بر باطل کردن آنها به «جرمی راولی»، معاون اجرایی ارشد DigiCert ارسال شده است. با این حال وی با تاکید بر اینکه شواهدی مبنی بر ناامن بودن کلیدهای مذکور وجود ندارد، از باطل کردن آنها سرباز زده است.

مدیر یک موسسه صدور گواهی HTTPS به نام Trustico با ارسال اطلاعات مرتبط به گواهی 23 هزار سایت در یک ایمیل، امنیت آنها را به خطر انداخته است.

گوگل به منظور افزایش امنیت سایت ها اعلام کرد که وب سایت های دارای HTTPS در نتایج جستجو از رتبه های بالاتری برخودار خواهند بود و پس از آن وب مسترها به سمت خرید این نوع پروتکل رمزنگاری شده رفتند. در این پروتکل دو کلید عمومی و خصوصی وجود دارد که مورد اول برای شروع رمزنگاری به مرورگر ارسال شده و کلید خصوصی نیز در اختیار ادمین سایت قرار دارد.

«رایان اسلیوی» از مهندسان کروم در این باره گفته است:

دبیر کل Trustico در حالی اقدام به ارسال این ایمیل ها کرده که اصلا نباید آنها را در اختیار داشته باشد و این مساله سوالاتی را در رابطه با چگونگی دستیابی به آنها ایجاد کرده است.

با این حال این شرکت مدعی شده که هدف از باطل کردن آنها، برنامه های گوگل برای حذف تائیدیه های سمانتیک از کروم بوده است. Trustico قبلا گواهینامه های صادر شده از طرف سیمانتک را به فروش می رساند اما پس از اینکه مشخص شد سیمانتک از قوانین تخطی کرده DigiCert کسب و کار صدور گواهینامه آنها را خریداری کرد.

انتشار عمومی این کلیدها می تواند منجر به ایجاد صفحات مشابه با سایت اصلی شود که علاوه بر شباهت ظاهری از بستر HTTPS نیز استفاده می کنند.

پیش از این همه سایت ها برای انتقال داده‌ از سرور به مرورگر از پروتکل HTTP استفاده می کردند که در آن داده ها رمزنگاری نشده و از امنیت کافی برخوردار نیستند. در سال های اخیر پروتکل دیگری به نام HTTPS توسعه پیدا کرد که به لطف رمزنگاری داده ها، امنیت بیشتری را فراهم می آورد.

Leave a Reply

Your email address will not be published. Required fields are marked *