الرئيسية / أخبار / كارثة في عالم الانترنت ستهز ثلث مواقع العالم Symantec SSL and Google

كارثة في عالم الانترنت ستهز ثلث مواقع العالم Symantec SSL and Google

كارثة في عالم الانترنت ستهز ثلث مواقع العالم Symantec SSL and Google  قد تقوم شركة غوغل بمعاقبة شركة سيمانتك عن طريق كسر الثقة بثلث شهادات الويب

Symantec SSL and Google
بعد حادثة إصدار شهادة غير مناسبة، كارثة في عالم الانترنت ستهز ثلث مواقع العالم Symantec SSL and Google غوغل تقول إنها فقدت الثقة في أعلى هيئة مصدرة للشهادات


تفكر غوغل في فرض عقوبة قاسية بسبب الحوادث المتكررة من طرف شركة سيمانتك أو هيئة شهاداتها لأنها تصدر شهادات غير مناسبة وغير صحيحة. تتمثل خطة مقترحة في إجبار الشركة على استبدال جميع شهادات عملائها وأن تتوقف عن التعرف على حالة التحقق من الصحة الموسّعة (EV) الخاصة بأولئك الذين يملكونها.

ووفقًا لمسح نتكرافت لعام 2015، فإن سيمانتك مسؤولة عن حوالي واحد من كل ثلاث شهادات SSL مستخدمة على شبكة الإنترنت، مما يجعلها أكبر مصدر شهادات تجارية في العالم. ونتيجة لعمليات الاستحواذ على مر السنين، تتحكم الشركة الآن في شهادات العديد من هيئات الشهادات سابقاً، بما في ذلك VeriSign وGeoTrust وThawte وRapidSSL.

تستخدم شهادات SSL/ TLS لتشفير الاتصالات بين المتصفحات والمواقع التي تدعم HTTPS وكذلك للتحقق من أن المستخدمين يزورون فعليًا مواقع الويب التي كانوا ينوون دخولها وليس مجرد نسخًا مزعجة. تُصدر هذه الشهادات من قبل المنظمات المعروفة باسم الهيئات المصدقة الموثوق بها بشكل افتراضي في المتصفحات وأنظمة التشغيل.

تخضع عملية إصدار الشهادات وإدارتها لقواعد أنشأها منتدى CA/Browser، وهي منظمة تضم أعضاءها منتجي المتصفحات وهيئات الشهادات. وعندما تنتهك هذه القواعد، يمكن لمنتجي المتصفح ومنتجي نظم التشغيل إلغاء الثقة في الشهادات المخالفة ومعاقبة الهيئات المسؤولة عن الشهادة.

جوجل تصعد الضغط على شركة سيمانتك

تقول غوغل إن التحقيق في الحادثة التي وقعت مؤخرًا يشير إلى أن سيمانتك لم تدعم ممارسات الأمان المتوقعة من هيئات التصديق، مثل التحقق من صحة التحكم في النطاق وسجلات التدقيق للحصول على أدلة على إصدار غير مصرح به وتقليل القدرة على إصدار شهادات احتيالية.

خطة جوجل

إذا نُفذّت خطة غوغل، فستصبح الملايين من شهادات سيمانتك الحالية غير موثوق بها على مدار الأشهر الـ 12 المقبلة في غوغل كروم. ستكون هذه عملية تدريجية حيث لن يثق كل إصدار جديد من غوغل كروم بمجموعة جديدة من الشهادات بدءًا من غوغل كروم 59، مما سيؤدي إلى إلغاء الثقة في الشهادات التي لها فترة صلاحية تزيد عن 33 شهرًا.

سيضع هذا ضغطًا كبيرًا على سيمانتيك، حيث سيتعين على الشركة الاتصال بجميع العملاء والتحقق من هويتهم وملكية نطاقاتهم من جديد واستبدال شهاداتهم الحالية بأخرى جديدة، وعلى الأرجح بدون تكلفة. ومن المحتمل أن تواجه بعض الشركات مشكلات في استبدال شهاداتها في مثل هذا الوقت القصير، حيث قد تكون تستخدم محطات دفع مؤقتة وأجهزة مضمنة أخرى يصعب الوصول إليها.

بالإضافة إلى ذلك، قد تضطر سيمانتك إلى استرداد العملاء الذين دفعوا شهادات EV والتي لم يعد من الممكن التعرف عليها في غوغل كروم نظرًا لأنه سيتم تخفيض قيمتها إلى حد كبير. سوف يستمر الحظر على شهادات سيمانتيك EV لمدة سنة على الأقل.

يجب أن تكون جميع شهادات الاستبدال التي أصدرتها سيمانتك للعملاء فترة صلاحية تبلغ تسعة أشهر أو أقل حتى يتم الوثوق بها في غوغل كروم. ومن المحتمل أن يتسبب ذلك في المزيد من المشاكل لبعض الشركات الكبيرة، والتي لن تتمكن من استبدال شهاداتها بسهولة كل تسعة أشهر.

من الأسلم أن نقول إنه قد يكون لعقوبات غوغل تأثير كبير على أعمال SSL الخاصة بشركة سيمانتك، حيث من المرجح أن تفقد الشركة العملاء الذين لن يكونوا مستعدين لطرح هذه القيود وسيأخذون أعمالهم إلى هيئات شهادات أخرى (CA).

عقابات سابقة

عاقب منتجو المتصفحات هيئات التصديق قبلًا وذلك لإصدارهم شهادات غير مناسبة أو لسوء استخدامهم لها، ولكنه لم يصل أبدًا لما وصل إليه اليوم وبهذا التأثير الكبير جدا على النظام. لطالما تساءل بعض الناس عما إذا كان يمكن لمنتجي المتصفحات بالفعل اتخاذ عقوبات صارمة ضد أكبر الهيئات المصدّقة في العالم أو ما إذا كانت هذه الهيئات أكبر من أن تفشل.

ويبدو أن سبب هذا العقاب غير المسبوق هو تكرار حوادث الشهادات التي صدرت من سيمانتيك والتي تم الكشف عنها خلال السنوات القليلة الماضية، والتي فشلت الشركة في تحديد هويتها على الرغم من عمليات المراجعة الداخلية والخارجية. تم الكشف عن الحالة الأخيرة هذا العام وتضمنت 127 شهادة تم إصدارها بمعلومات زائفة أو بدون التحقق من ملكية المجال بشكل صحيح من قبل شريك سيمانتيك الذي كان يعمل كهيئة تسجيل (RA).

ووفقًا لغوغل، فإن هذا التحقيق يشكك في صلاحية ما لا يقل عن 30,000 شهادة صادرة عن شركاء سيمانتك خلال فترة تمتد لعدة سنوات. ومع ذلك، فإن سيمانتك تعارض هذا الرقم. وقال ريان سليفي من غوغل في مقال نشر على قائمة البريد الالكتروني الخاصة بمشروع تطوير غوغل كروم: سمحت سيمانتيك لأربعة أطراف على الأقل بالوصول إلى بنيتها التحتية بطريقة تؤدي إلى إصدار الشهادة، ولم تشرف بما فيه الكفاية على هؤلاء الأطراف كما هو مطلوب ومتوقع، وعندما يتم تقديم الدليل على فشل هذه المنظمات في الالتزام بمعايير الرعاية المناسبة، تفشل في الكشف عن المعلومة في الوقت المناسب أو أن تحدد أهمية المشاكل التي تم التبليغ عنها.”

وأضاف سليفي إن هذه الحوادث والحوادث السابقة دفعت جوجل إلى “عدم الثقة بعد الآن في سياسات إصدار الشهادات وممارسات شركة سيمانتك خلال السنوات القليلة الماضية”.

اعترضت سيمانتك بشدة على خطة جوجل وانتقدت نشرها. كما وصفت تصريحات غوغل حول الخلافات السابقة للشركة بأنها “مبالغ فيها ومضللة”.

وقالت الشركة في إحدى تدوينتاها يوم الجمعة “ان هذا العمل كان غير متوقع، ونعتقد أن التدوينة غير مسؤولة، ونأمل ألا يتم الاعتماد على الأمر لكسر الثقة وبناء الشك لدى مجتمع الإنترنت حول شهادات SSL/TLS الخاصة بنا.”

وقالت سيمانتك إن الادعاء بشأن الـ 30,000 شهادة غير صحيح وأن عدد الشهادات التي تم التأكد بأنها غير صحيحة وصل فقط لـ 127 شهادة، مع العلم أن هذه الشهادات غير المناسبة لم تؤد إلى أي ضرر من جانب المستهلك، مضيفةً أن العلاقة مع الشريك المسؤول عن الحادث قد تم إنهاؤها وأنه تم إيقاف برنامج RA بالكامل.

“في حين شهدت جميع هيئات الشهادات الرئيسية إصدار شهادات SSL/TLS غير مناسبة، إلا أن غوغل اختارت سيمانتك في مقترحها على الرغم من أن حادثة سوء الإصدار التي تم تحديدها في مدونة غوغل شملت العديد من العديد من الهيئات الأخرى”، على حد قول سيمانتك. ستعمل الشركة على تقليل أي اختلال محتمل بسبب اقتراح غوغل إذا ما تم تنفيذه، ولكن الأمر مفتوحٌ للنقاش مع غوغل والبحث عن حل متفق عليه بشكل متبادل.

وفي الوقت نفسه، فإن موزيلا والتي تدير برنامج شهادات جذرية خاص بها، تدرس أيضًا فرض عقوبات على شركة سيمانتك وقد تضطر إلى مع غوغل.

 

Google found a troubling number of bad SSL certificates issued by Symantec SSL bad meaning they had issued certs for google.com and other high profile domains, but they issued them to people who were not Google, etc. Symantec said they were just test certificates used by internal staff, and they never left their four walls. But the fact remained that the certs were valid and could potentially cause a lot of trouble.

Google took issue with the fact that the certs were issued at all, and accused Symantec of sloppy housekeeping. They said to Symantec, “You need to prove to the world that you can clean up your act or we’re going to stop trusting your certs.” Symantec basically replied, “Oh, stop being so dramatic,” and Google said, “Oh yeah? We’ll show you dramatic,” and issued notices giving the exact dates when they would stop trusting the Symantec certs.

موقع شركتنا
http://greenbackend.com/wordpress-hosting

المصدر

https://www.computerworld.com/article/3184573/security/to-punish-symantec-google-may-distrust-a-third-of-the-webs-ssl-certificates.html

عن احمد ناصر

Author Image
أخوكم احمد حماد المعروف ب (أحمد ناصر) حاصل على شهادة البكالوريوس في علم الحاسوب (البرمجة وهندسة البرمجيات) من جامعة بيرزيت ومبرمج ومطور انظمة مرخص من شركة سيلز فورس كلاود العالمية، يعمل في مجال برمجة وتسويق التطبيقات والالعاب منذ اكثر من 5 سنوات وقام بنشر وتصميم وبرمجة العديد من الالعاب لمنصات الاندرويد والايفون والفيس بوك واليونتي ولديه اكثر من 20 لعبة مرفوعة على المتاجر المذكورة. يعمل حاليا كمستشار تقني في عدة شركات كشركة انترجوي، وريتش وشركتنا الخاصة أحمد ناصر للحلول الشاملة ويقوم بتقديم خدماته التدريبية في عدد من المعاهد في الشرق الاوسط ويختص في تطوير الكادر التقني العربي في مجالات الويب والموبايل والالعاب والتسويق الالكتروني، سجل معه في دوراته باللغة الانجليزية والعربية اكثر من 10000 طالب وحصل على تقييم من 4.8 الى 5 نجوم في مختلف الدورات في تصميم وبرمجة الالعاب التي يمكنك مشاهدتها على موقعنا، يسرنا ان ننقل خبرة السنوات اليكم في ساعات قليلة وفي غضون بضعة اسابيع ستملك جميع الخبرة اللازمة لتكون مطور العاب و تطبيقات محترف ومستقل وأكثر. قبل 12 سنة تقريبا بدأت باستخدام برنامج الفوتوشوب وأحسست ان لي ميولا كبيرا نحو عالم التصميم فتعلمت الفلاش وبرامج الملتميديا وكان لي برامج تعليمية ومسابقات قمت بتصميمها لمختلف النوادي والجمعيات وبعض المؤسسات حيث انني عملت في مجال التصميم والطباعة لفترة جيدة في حياتي كمصمم، بعدها انتقلت الى تعلم البرمجة بداية من لغة السي والفيجوال بيسك مرورا بتعلم اكثر من 18 لغة برمجة مختلفة شكلت لي كمهووس بالبرمجة قدرة كبيرة على الربط بين جميع هذه اللغات لعمل بعض البرامج المختلفة البنية. عملت لعدة سنوات مصمم ومبرمج لبرامج وتطبيقات الويب لعدد من وكالات الاخبار والمواقع التجارية الالكترونية في الشرق الاوسط وأمريكا، بعدها قررت الانتقال الى برمجة تطبيقات الاندرويد والايفون وعملت عدة تطبيقات كبيرة لزبائن في الامارات والمملكة المتحدة وأمريكا. قررت بعدها الانتقال الى مجال برمجة الالعاب وخصوصا اليونتي لانه كان لي ميول كبير في ربط كل الخبرات السابقة الى مجال اكثر من رائع وهو مجال الالعاب الالكترونية لاجهزة الموبايل والذي حقق مبيعات اكثر من 13 مليار دولار في 2014 وحدها، قمت خلال اكثر من ثلاث سنوات من العمل على منصة اليونتي بتطوير اكثر من 20 لعبة لمختلف الزبائن حول العالم وقمت بتصميم العاب والعمل على تسويقها بنفس الوقت الامر الذي اكسبني خبرة كبيرة في مجال بيع الالعاب وتسويقها بالاضافة الى برمجتها وتصميمها. وجدت ان هناك صعوبة لدى فئة كبيرة في تعلم البرمجة لذلك قررت البدء بتعليم وتدريس البرمجة عن طريق الالعاب لعدد كبير من الطلاب ليستفيدوا ويحققوا نجاحهم واستقلاليتهم ولنقل تجربتي الشخصية لهم فقررت البدء بتدريس البرمجة واضعا هدفا واضحا نصب عيني وهو: تعلم البرمجة والتصميم لا ينبغي ان يكون صعبا، مقلقا او معقدا لسوء الحظ، العديد من الكورسات التعليمية تمشي مع الطالب بسرعة كبيرة، يفترضون ان الطالب يكون لديه الخبرة التقنية المتقدمة او لا يقدمون اية مهارات عملية.

شاهد أيضاً

ما هو الجديد في تحديثات Windows 10 الأخيرة

تحديثات Windows 10 مع الميزات الجديدة تحقق من هذه الميزات التي تمت إضافتها في تحديثات …

>