هشدار مایکروسافت درباره گواهینامه های SSL غیرمجاز
شرکت مایکروسافت با انتشار هشدار امنیتی شماره 2916652 خبر از صدور غیرمجاز تعدادی گواهینامه دیجیتالی داد که با سوء استفاده از آنها می توان اقدام به جعل محتوای سایت های معتبر و مشهور جهان و همچنین کلاهبرداری اینترنتی (Phishing) کرد.
یک مجوز (Certification Authority – CA) صدور گواهینامه های دیجیتالی بطور ناصحیح از سوی خزانه داری کل فرانسه که خود مجوز صدور از دولت فرانسه دارد، صادر گردیده. از این مجوز برای صدور گواهینامه های SSL غیرمجاز برای سایت های مختلف و از جمله سایت های Google، استفاده شده است.
از این گواهینامه های SSL غیر مجاز می توان برای جعل اطلاعات، کلاهبرداری اینترنتی و راه اندازی سایت های جعلی با گواهی معتبر، سوءاستفاده کرد. البته تاکنون هیچ گزارشی درباره سوءاستفاده از این گواهینامه های غیرمجاز دریافت نشده است.
سوءاستفاده از این گواهینامه های غیرمجاز SSL می تواند تمام سیستم های عامل Windows را تحت تاثیر قرار دهد و آسیب پذیر سازد.
جهت محافظت از کاربران در برابر تهدیدات و صدمات ناشی از این گواهینامه های غیرمجاز، شرکت مایکروسافت اقدام به بروزرسانی فوق العاده “فهرست گواهینامه های SSL مجاز” یا (Certificate Trust List – CTL) در تمام سیستم های عامل Windows خواهد کرد. بدین ترتیب گواهینامه های SSL غیرمجاز توسط Windows فاقد اعتبار شناخته خواهند شد و غیرقابل استفاده خواهند بود.
در سیستم های عامل جدید Server 2012، Windows 8.1، Windows 8 و Server 2012 R2 بطور پیش فرض یک سیستم به روزرسانی برای CTL وجود دارد. کاربران این سیستم های عامل نیاز به هیچگونه اقدامی نداردند و Windows آنها بطور خودکار به روز خواهد شد.
در سیستم های عامل کمی قدیمی تر Server 2008، Windows 7، Windows Vista و Server 2008 R2 سیستم به روز رسانی CTL باید توسط کاربر بکار گرفته شده باشد. در اینصورت، این سیستم های عامل نیز بطور خودکار به روز خواهند شد. برای نحوه بکارگیری سیستم به روز رسانی CTL به این راهنمای مایکروسافت مراجعه کنید.
برای سیستم های عامل بسیار قدیمی Windows XP و Server 2003 فعلا هیچ راهکاری ارائه نخواهد شد.