ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

https
تکنولوژی

انتشار کلیدهای خصوصی HTTPS امنیت 23 هزار سایت را به خطر انداخته است

مدیر یک موسسه صدور گواهی HTTPS به نام Trustico با ارسال اطلاعات مرتبط به گواهی 23 هزار سایت در یک ایمیل، امنیت آنها را به خطر انداخته است. پیش از این همه سایت ها برای انتقال داده‌ ...

یونس مرادی
نوشته شده توسط یونس مرادی | ۱۳ اسفند ۱۳۹۶ | ۱۹:۱۵

مدیر یک موسسه صدور گواهی HTTPS به نام Trustico با ارسال اطلاعات مرتبط به گواهی 23 هزار سایت در یک ایمیل، امنیت آنها را به خطر انداخته است.

پیش از این همه سایت ها برای انتقال داده‌ از سرور به مرورگر از پروتکل HTTP استفاده می کردند که در آن داده ها رمزنگاری نشده و از امنیت کافی برخوردار نیستند. در سال های اخیر پروتکل دیگری به نام HTTPS توسعه پیدا کرد که به لطف رمزنگاری داده ها، امنیت بیشتری را فراهم می آورد.

گوگل به منظور افزایش امنیت سایت ها اعلام کرد که وب سایت های دارای HTTPS در نتایج جستجو از رتبه های بالاتری برخودار خواهند بود و پس از آن وب مسترها به سمت خرید این نوع پروتکل رمزنگاری شده رفتند. در این پروتکل دو کلید عمومی و خصوصی وجود دارد که مورد اول برای شروع رمزنگاری به مرورگر ارسال شده و کلید خصوصی نیز در اختیار ادمین سایت قرار دارد.

فرد مظنون به انتشار 23 هزار کلید خصوصی از طریق ایمیل، مدیر کمپانی Trustico است که گواهی صادر شده از طرف «Comodo» و «»DigiCert» را به فروش می رساند.httpsکلیدهای مذکور به همراه درخواستی مبنی بر باطل کردن آنها به «جرمی راولی»، معاون اجرایی ارشد DigiCert ارسال شده است. با این حال وی با تاکید بر اینکه شواهدی مبنی بر ناامن بودن کلیدهای مذکور وجود ندارد، از باطل کردن آنها سرباز زده است.

دبیر کل Trustico در حالی اقدام به ارسال این ایمیل ها کرده که اصلا نباید آنها را در اختیار داشته باشد و این مساله سوالاتی را در رابطه با چگونگی دستیابی به آنها ایجاد کرده است.

انتشار عمومی این کلیدها می تواند منجر به ایجاد صفحات مشابه با سایت اصلی شود که علاوه بر شباهت ظاهری از بستر HTTPS نیز استفاده می کنند.

با این حال این شرکت مدعی شده که هدف از باطل کردن آنها، برنامه های گوگل برای حذف تائیدیه های سمانتیک از کروم بوده است. Trustico قبلا گواهینامه های صادر شده از طرف سیمانتک را به فروش می رساند اما پس از اینکه مشخص شد سیمانتک از قوانین تخطی کرده DigiCert کسب و کار صدور گواهینامه آنها را خریداری کرد.

«رایان اسلیوی» از مهندسان کروم در این باره گفته است:

برخی فکر می کنند صدور گواهی HTTPS مثل فروش اسنیپر راحت است و به همین خاطر شاهد افزایش تعداد شرکت های شخص ثالث در این زمینه هستیم که کلیدهای خصوصی را خود تولید کرده و حتی از سایت ها می خواهند کلیدهایشان را در اختیار آنها قرار دهند.

دیدگاه‌ها و نظرات خود را بنویسید
مطالب پیشنهادی