سرقت گواهینامه های SSL | مایکروسافت همه گواهینامه ها را باطل کرد
از روز سه شنبه 15 شهریور ماه، شرکت مایکروسافت با به روز رسانی Windows، همه گواهینامههای دیجیتالی را که توسط شرکت DigiNotar صادر شدهاند، مسدود کرد.
با به روز رسانی جدید Windows نام شرکت DigiNotar در فهرست سیاه این سیستم عامل قرار گرفت. این فهرست سیاه که Untrusted certificate Store نام دارد، توسط مرورگر IE برای شناسایی گواهینامههای جعلی و سایتهای مخربی که از این گواهینامهها استفاده میکنند، مورد بهره برداری قرار میگیرد.
اکنون شرکت مایکروسافت برای همه سیستمهای عامل Windows اصلاحیه جدید را آماده و عرضه کرده است. حتی کاربران سیستم عامل قدیمی Win XP نیز این اصلاحیه را میتوانند دریافت و نصب کنند. این کاربران در بخش Windows Update، اصلاحیه جدید را به شکل زیر خواهند دید. کلیه کاربرانی که در سیستم عامل آنها، گزینه Automatic Update در بخش Windows Update فعال است، این اصلاحیه و به روز رسانی جدید را به طور خودکار دریافت خواهند کرد.
تنها کاربران کشور هلند این اصلاحیه را با یک هفته تأخیر دریافت خواهند کرد تا در این مدت، دولت هلند فرصت کافی برای جایگزین کردن هزاران گواهینامه صادر شده از طرف DigiNotar را داشته باشد. در غیر این صورت، با اعمال اصلاحیه مایکروسافت، ارتباط امن SSL در بسیاری از بخشهای دولتی در کشور هلند، دچار اختلال خواهند شد. دولت هلند اختصاصاً از شرکت مایکروسافت درخواست کرده که توزیع خودکار اصلاحیه جدید را که در آن، تمام گواهینامههای SSL شرکت DigiNotar باطل شده است، با یک هفته تاخیر انجام دهد. البته کاربران هلندی میتوانند این اصلاحیه را به طور دستی دریافت و نصب کنند.
تولیدکنندگان مرورگرهای Chrome و Firefox هفته گذشته، نسخه جدیدی از مرورگرهای خود را برای مسدود کردن گواهینامه های DigiNotar منتشر کردند.
شرکت Apple نیز پس از یک سکوت طولانی، بالاخره روز جمعه 18 شهریور ماه، برای شناسایی گواهینامه های غیرمجاز، نسخه جدیدی از سیستم عامل خود را عرضه کرد. مرورگر Safari نیز مانند مرورگر IE، برای شناسایی گواهینامههای SSL جعلی و سایتهای مخرب، به سیستم عامل وابسته هستند.
توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL : شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامههای دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامههای دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صدها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامهها برای اثبات اصالت سایتهای اینترنتی به کار میروند. با استفاده از گواهینامههای سرقت شده، میتوان کاربران را به سایتهای جعلی که در ظاهر، کاملاً شبیه سایتهای اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامههای سرقت شده برای نشان دادن اصالت سایت جعلی استفاده میشود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمیدهند و هشداری نیز به کاربر نمیدهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایتهای اصلی و واقعی به IP سایتهای جعلی انتقال یابند.