صدور گواهینامه‌های جعلی برای دامنه‌های گوگل

کمیته رکن چهارم – یک مهندس امنیت گوگل اعلام کرد که این شرکت از صدور گواهینامه‌های دیجیتال غیرمجاز برای چندین دامنه گوگل در ۲۰ مارس آگاه شده است.

به گزارش کمیته رکن چهارم،گوگل اعلام کرد که گواهینامه‌های دیجیتال غیرمجاز و جعلی برای تعدادی از دامنه‌های این شرکت صادر شده است.
یک مهندس امنیت گوگل به نام آدام لنگلی گفت که این شرکت از صدور گواهینامه‌های دیجیتال غیرمجاز برای چندین دامنه گوگل در ۲۰ مارس آگاه شده است. این مهندس اعلام کرد که این گواهینامه‌ها توسط یک مرکز میانی صدور گواهینامه صادر شده است که گوگل معتقد است متعلق به شرکتی به نام MCS Holdins است که یک شرکت مصری است که تحت مرکز اطلاعات شبکه اینترنت چین (CNNIC) فعالیت می‌کند.
به گفته لنگلی، CNNIC یک مرکز معتبر بوده و در نتیجه گواهینامه‌های صادر شده توسط آن، مورد اعتماد تقریباً تمامی مرورگرها و سیستم عامل‌ها قرار دارد. البته پردازه‌ای به نام اتصال کلید عمومی که به کلاینت‌های وب می‌گوید که کلیدهای عمومی رمزنگاری خاصی را با وب سرورهای خاصی مرتبط کنند، کروم را روی سیستم‌های ویندوز، OS X و لینوکس، ChromeOS و فایرفاکس ۳۳ و پس از آن را از قبول این گواهینامه‌های جعلی بازمی‌دارد.
گوگل اعلام کرد که به محض روشن شدن این موضوع، در مورد این حادثه امنیتی به CNNIC و سایر مرورگرهای مهم اطلاع‌رسانی کرده است و بلافاصله گواهینامه‌های MCS Holdings را در کروم مسدود کرده است. CNNIC توضیح داده است که با MCS Holdings بر اساس صدور گواهینامه برای دامنه‌هایی که این مرکز ثبت کرده است قرارداد بسته است. اما MCS به جای نگهداری کلیدهای خصوصی در یک ماژول امن سخت‌افزاری مناسب، آن را روی یک پراکسی man-in-the-middle نصب کرده است.
پراکسی‌های man-in-the-middle ارتباطات امن را با وانمود کردن به اینکه مقصد واقعی ترافیک هستند مورد نفوذ قرار می‌دهند. درصورتی‌که یک بنگاه تجاری بخواهد از چنین پراکسی‌هایی برای مانیتور کردن ترافیک امن شبکه خود استفاده کند، کامپیوترهای کارمندان باید طوری تنظیم گردند که این پراکسی را پذیرفته و به آن اعتماد نمایند. اما در مورد MCS، به این پراکسی اختیار کامل صدور مجوز داده شده است.
گوگل معتقد است که ممکن است سایت‌های دیگری نیز با این مشکل مواجه شده باشند.
گوگل به کاربران خود اطمینان داده است که هیچ نشانه‌ای دال بر سوء استفاده مشاهده نشده است و کاربران کروم نیاز به انجام هیچ کاری از جمله تغییر کلمه عبور را ندارند.

منبع : مرکز ماهر

قابلیت جادویی اندروید وارد حالت Split-Screen می‌شود

فونت پیش‌فرض ChromeOS تغییر می‌کند

اپل آیدی شما بی‌دلیل قفل شده است؟ تنها نیستید

تردز حالا ۱۵۰ میلیون کاربر فعال ماهانه دارد

«صفحه اول اینترنت» برای تمرکز بیشتر بر دیدگاه‌ها، آپدیت شد

نصب هوش مصنوعی گوگل جمنای روی گوشی‌های قدیمی امکان‌پذیر شد

ظاهرا تعداد کاربران روزانه تردز از ایکس عبور کرده است

یکی از قابلیت‌های مهم و خبرساز گوگل کروم تأخیر خورد

دو گوشی قدیمی به پایان چرخه عمر رسیدند و دیگر آپدیت نمی‌شوند

هشدار محققان گوگل: کاربران ممکن است به دستیارهای هوش مصنوعی وابستگی عاطفی پیدا کنند

صدور گواهینامه‌های جعلی برای دامنه‌های گوگل

درباره نویسنده

پست های مرتبط

پاسخ دهید

لغو پاسخ

پاسخ دهید

سهم

پاسخ دهید لغو پاسخ

پاسخ دهید

لغو پاسخ