سایت های جعلی Google با گواهینامه های غیرمجاز

شرکت Google چندین گواهینامه دیجیتالی را که بطور غیرمجاز در کشور هند صادر شده بودند، مسدود کرد. این گواهینامه های غیرمجاز را می توان برای راه اندازی سایت های جعلی Google بکار برد.

این گواهینامه های دیجیتالی جعلی نبوده ولی بطور غیرمجاز از طریق مرکز ملی انفورماتیک هند صادر شده بودند. به نظر نمی رسد که سوء استفاده گسترده و جدی از این گواهینامه ها صورت گرفته باشد و به همین دلیل هم شرکت Google از کاربران درخواست تغییر رمزهای عبور خود را نکرده است.

بررسی بیشتر درباره این رویداد ادامه دارد. ولی یک روز پس از کشف این رویداد توسط Google، مرکز نظارتی CCA یا Controller of Certifying Authorities در وزارت ارتباطات هند اقدام به ابطال آنها کرد. این مرکز دولتی وظیفه نظارت بر موسسات صدور گواهینامه دیجیتالی در کشور هند را برعهده دارد.

مرورگر Firefox تحت تاثیر این گواهینامه های غیرمجاز قرار نخواهد گرفت. این مرورگر از فهرست گواهینامه های تائید شده خودش استفاده می کند. مرکز CCA از مراکز مورد استفاده و مورد تائید Firefox نیست.  مرورگر Chrome نیز به دلیل استفاده از فناوری Public Key Pinning در دام این گواهینامه های غیرمجاز نمی افتد.

در همین رابطه، شرکت مایکروسافت نیز هشدار امنیتی 2982792 را منتشر کرد. طبق اعلام مایکروسافت، گواهینامه های غیرمجاز دیگری نیز به غیر از Google از طریق این مرکز هندی صادر شده است. هر کدام از این گواهینامه های غیرمجاز می تواند ابزاری برای راه اندازی سایت های مشهور جعلی و فریب کاربران باشد.

به همین منظور شرکت مایکروسافت فهرست گواهینامه های تائید شده (CTL) را در همه نسخه های Windows تحت پشتیبانی، به روز کرده است تا امکان سوء استفاده از این گواهیامه های غیرمجاز وجود نداشته باشد. برای به روز رسانی این فهرست، مایکروسافت راهنمای شماره 2677070  را منتشر کرده است. 

سیستم عامل Windows XP که دیگر تحت پوشش خدمات پشتیبانی مایکروسافت نیست، از این امکان امنیتی بی بهره خواهد بود.