سرقت گواهینامه های SSL | تاخیر Apple در واکنش
شرکت Apple به دلیل تاخیر در واکنش نشان دادن به حادثه نفوذ به شبکه شرکت هلندی DigiNotar و سرقت گواهینامههای دیجیتالی SSL، مورد انتقاد شدید قرار گرفت.
تا اواخر روز جمعه 18 شهریورماه، مسئولان شرکت Apple از اظهار نظر در این مورد خودداری کرده و هیچ گونه برنامهای برای به روز رسانی سیستم عامل Mac OS X برای مسدود کردن گواهینامههای به سرقت رفته، اعلام نکرده بودند. شرکت های مشابه مانند مایکروسافت، Google و Mozilla همگی اصلاحیه و نسخههای به روز شدهای از سیستمهای عامل و مرورگرهای خود منتشر کردهاند و فقط سیستم عامل Mac OS X عقب مانده بود.
شرکت Apple اکنون نسخه به روز شده از سیستم عامل خود را منتشر کرده که در آن، گواهینامه های شرکت Diginotar همگی ابطال شده اند.
مرورگرها با استفاده از امکاناتی که بر روی سیستمهای عامل فراهم شده، قادرند گواهینامههای دیجیتالی SSL مجاز را تشخیص داده و از استفاده از گواهینامههای غیرمجاز و غیرمعتبر جلوگیری کنند. لذا تنها به روز رسانی مرورگر کافی نبوده و لازم است که سیستم عامل نیز به روز شود.
ناگفته نماند که شرکت Apple در حادثه مشابهی که در ابتدای امسال برای شرکت Comodo اتفاق افتاد و تعدادی گواهینامه SSL به سرقت رفت، پس از یک ماه اقدام به به روز رسانی سیستم عامل و مرورگر خود کرد. البته در آن حادثه فقط 9 گواهینامه غیر مجاز به سرقت رفته بود ولی در حادثه اخیر بیش از 500 گواهینامه سرقت شده است.
توضیح درباره شرکت Diginotar و سرقت گواهینامه های دیجیتالی SSL : شرکت DigiNotar یک شرکت Certificate Authority) CA) است و مجوز صدور گواهینامههای دیجیتالی Secure Socket Layer) SSL) را دارد. شرکت Diginotar یکی از 500 شرکت صادرکننده گواهینامههای دیجیتال SSL در دنیا است. اخیراً شبکه این شرکت مورد حمله و نفوذ قرار گرفت و صدها گواهینامه (اصل ولی غیرمجاز) توسط نفوذگرها صادر و سرقت شد. این گواهینامهها برای اثبات اصالت سایتهای اینترنتی به کار میروند. با استفاده از گواهینامههای سرقت شده، میتوان کاربران را به سایتهای جعلی که در ظاهر، کاملاً شبیه سایتهای اصلی و واقعی هستند، هدایت کرد و اطلاعات شخصی آنان، مانند رمزهای عبور به سایت را به دست آورد. چون از این گواهینامههای سرقت شده برای نشان دادن اصالت سایت جعلی استفاده میشود، هیچ یک از ابزارها و امکانات امنیتی مرورگرها واکنشی از خود نشان نمیدهند و هشداری نیز به کاربر نمیدهند. البته برای چنین عملیاتی، سرورهای محلی DNS هم باید دستکاری شوند تا نام سایتهای اصلی و واقعی به IP سایتهای جعلی انتقال یابند.