انتشار کلیدهای خصوصی HTTPS امنیت 23 هزار سایت را به خطر انداخته است

مدیر یک موسسه صدور گواهی HTTPS به نام Trustico با ارسال اطلاعات مرتبط به گواهی 23 هزار سایت در یک ایمیل، امنیت آنها را به خطر انداخته است.

پیش از این همه سایت ها برای انتقال داده‌ از سرور به مرورگر از پروتکل HTTP استفاده می کردند که در آن داده ها رمزنگاری نشده و از امنیت کافی برخوردار نیستند. در سال های اخیر پروتکل دیگری به نام HTTPS توسعه پیدا کرد که به لطف رمزنگاری داده ها، امنیت بیشتری را فراهم می آورد.

گوگل به منظور افزایش امنیت سایت ها اعلام کرد که وب سایت های دارای HTTPS در نتایج جستجو از رتبه های بالاتری برخودار خواهند بود و پس از آن وب مسترها به سمت خرید این نوع پروتکل رمزنگاری شده رفتند. در این پروتکل دو کلید عمومی و خصوصی وجود دارد که مورد اول برای شروع رمزنگاری به مرورگر ارسال شده و کلید خصوصی نیز در اختیار ادمین سایت قرار دارد.

فرد مظنون به انتشار 23 هزار کلید خصوصی از طریق ایمیل، مدیر کمپانی Trustico است که گواهی صادر شده از طرف «Comodo» و «»DigiCert» را به فروش می رساند.httpsکلیدهای مذکور به همراه درخواستی مبنی بر باطل کردن آنها به «جرمی راولی»، معاون اجرایی ارشد DigiCert ارسال شده است. با این حال وی با تاکید بر اینکه شواهدی مبنی بر ناامن بودن کلیدهای مذکور وجود ندارد، از باطل کردن آنها سرباز زده است.

دبیر کل Trustico در حالی اقدام به ارسال این ایمیل ها کرده که اصلا نباید آنها را در اختیار داشته باشد و این مساله سوالاتی را در رابطه با چگونگی دستیابی به آنها ایجاد کرده است.

انتشار عمومی این کلیدها می تواند منجر به ایجاد صفحات مشابه با سایت اصلی شود که علاوه بر شباهت ظاهری از بستر HTTPS نیز استفاده می کنند.

با این حال این شرکت مدعی شده که هدف از باطل کردن آنها، برنامه های گوگل برای حذف تائیدیه های سمانتیک از کروم بوده است. Trustico قبلا گواهینامه های صادر شده از طرف سیمانتک را به فروش می رساند اما پس از اینکه مشخص شد سیمانتک از قوانین تخطی کرده DigiCert کسب و کار صدور گواهینامه آنها را خریداری کرد.

«رایان اسلیوی» از مهندسان کروم در این باره گفته است:

برخی فکر می کنند صدور گواهی HTTPS مثل فروش اسنیپر راحت است و به همین خاطر شاهد افزایش تعداد شرکت های شخص ثالث در این زمینه هستیم که کلیدهای خصوصی را خود تولید کرده و حتی از سایت ها می خواهند کلیدهایشان را در اختیار آنها قرار دهند.

مطالب مرتبط

باج افزار، بزرگترین کابوس امنیت آنلاین؛ محققان از بدتر شدن حملات خبر می‌دهند

باج افزارها در حال تبدیل شدن به یکی از بزرگ ترین معضلات امنیتی حال حاضر هستند و هکرها با استفاده از آن‌ها حملاتی که اغلب به موفقیت ختم می‌شوند را انجام می‌دهند. بسیاری از کاربران اطلاعات حساس مثل عکس، فیلم و دیگر اسناد مهم را در کامپیوتر یا موبایل ذخیره می‌کنند اما دانش یا حوصله... ادامه مطلب

ناظمی: نشت اطلاعات عواقب دارد؛ لایحه صیانت از داده‌ها در انتظار تایید هیات وزیران

سریال لو رفتن اطلاعات کاربران ایرانی در فضای سایبری در ماه‌های اخیر اپیزودهای مختلفی داشته است؛ از لو رفتن داده‌های کاربرانی که در استارتاپ‌ها ثبت نام کرده بودند تا انتشار اطلاعات چند میلیون ایرانی به دلیل همکاری ناقص وزارت بهداشت و ثبت احوال و نهایتاً هم انتشار اطلاعات کاربران رایتل که هنوز تعداد دقیق آن... ادامه مطلب

رییس سازمان فناوری مطرح کرد: یکپارچگی نهادی، عامل افزایش امنیت سایبری در کشور

در ماه‌های اخیر لو رفتن داده‌های کاربران از پلتفرم‌ها، سازمان‌ها و دستگاه‌های مختلف به یکی از اتفاقات مرسوم و نسبتا عادی تبدیل شد. حالا سازمان فناوری اطلاعات توسط همکاری با افتای ریاست جمهوری و همچنین سازمان پدافند غیرعامل، می‌خواهد یک گواهی‌نامه حوزه امنیت که به تایید سه دستگاه می‌رسد را به کسب‌وکارهای خصوصی ارائه دهد.... ادامه مطلب

تاخیر در عرضه مهمترین ویژگی امنیتی کروم در پی شیوع کرونا

مرورگر کروم نسخه ۸۰ در ماه فوریه میلادی با کلی ویژگی امنیتی و جدید منتشر شد. یکی از ویژگی‌هایی که قرار بود با این نسخه و نسخه‌های بعدی تکمیل شود، «کوکی‌های سایت مشابه» است. بر اساس گفته‌های گوگل، تکمیل این ویژگی و فراگیرتر شدن آن به دلیل شیوع ویروس کرونا به تعویق خواهد افتاد.پیش از... ادامه مطلب

افشای اطلاعات سازمان ثبت احوال توسط وزارت بهداشت تایید شد

سلسله‌ی نشت اطلاعات در تعطیلات نوروز ۹۹ به پایان نمی‌رسد. پس از افشای اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام و نزدیک به ۵ میلیون کاربر سیب اپ، از روز گذشته یک بات تلگرامی فعال شد که به افراد اجازه می‌داد اطلاعات دیگر شهروندان را به دست بیاورند. اگرچه در ابتدا به نظر می‌رسید این بات... ادامه مطلب

مرکز ماهر درباره معرفی دیتابیس‌های حفاظت نشده به مراجع قضایی هشدار داد

مرکز ماهر خطاب به کلیه دستگاه‌های دولتی و حاکمیتی و همچنین صاحبان کسب‌وکارها بیانیه‌ای را در خصوص افشای گسترده اطلاعات کاربران منتشر کرده است. این مرکز با «تاسف بار» خواندن ادامه‌ی درز گسترده اطلاعات، اعلام می‌کند که این موضوع، نقض حریم خصوصی کاربران و شهروندان است و می‌تواند تهدید‌های مختلفی را برای آن‌ها به وجود... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟