كارثة في عالم الانترنت ستهز ثلث مواقع العالم Symantec SSL and Google
كارثة في عالم الانترنت ستهز ثلث مواقع العالم Symantec SSL and Google قد تقوم شركة غوغل بمعاقبة شركة سيمانتك عن طريق كسر الثقة بثلث شهادات الويب
Symantec SSL and Google
بعد حادثة إصدار شهادة غير مناسبة، كارثة في عالم الانترنت ستهز ثلث مواقع العالم Symantec SSL and Google غوغل تقول إنها فقدت الثقة في أعلى هيئة مصدرة للشهادات
تفكر غوغل في فرض عقوبة قاسية بسبب الحوادث المتكررة من طرف شركة سيمانتك أو هيئة شهاداتها لأنها تصدر شهادات غير مناسبة وغير صحيحة. تتمثل خطة مقترحة في إجبار الشركة على استبدال جميع شهادات عملائها وأن تتوقف عن التعرف على حالة التحقق من الصحة الموسّعة (EV) الخاصة بأولئك الذين يملكونها.
ووفقًا لمسح نتكرافت لعام 2015، فإن سيمانتك مسؤولة عن حوالي واحد من كل ثلاث شهادات SSL مستخدمة على شبكة الإنترنت، مما يجعلها أكبر مصدر شهادات تجارية في العالم. ونتيجة لعمليات الاستحواذ على مر السنين، تتحكم الشركة الآن في شهادات العديد من هيئات الشهادات سابقاً، بما في ذلك VeriSign وGeoTrust وThawte وRapidSSL.
تستخدم شهادات SSL/ TLS لتشفير الاتصالات بين المتصفحات والمواقع التي تدعم HTTPS وكذلك للتحقق من أن المستخدمين يزورون فعليًا مواقع الويب التي كانوا ينوون دخولها وليس مجرد نسخًا مزعجة. تُصدر هذه الشهادات من قبل المنظمات المعروفة باسم الهيئات المصدقة الموثوق بها بشكل افتراضي في المتصفحات وأنظمة التشغيل.
تخضع عملية إصدار الشهادات وإدارتها لقواعد أنشأها منتدى CA/Browser، وهي منظمة تضم أعضاءها منتجي المتصفحات وهيئات الشهادات. وعندما تنتهك هذه القواعد، يمكن لمنتجي المتصفح ومنتجي نظم التشغيل إلغاء الثقة في الشهادات المخالفة ومعاقبة الهيئات المسؤولة عن الشهادة.
جوجل تصعد الضغط على شركة سيمانتك
تقول غوغل إن التحقيق في الحادثة التي وقعت مؤخرًا يشير إلى أن سيمانتك لم تدعم ممارسات الأمان المتوقعة من هيئات التصديق، مثل التحقق من صحة التحكم في النطاق وسجلات التدقيق للحصول على أدلة على إصدار غير مصرح به وتقليل القدرة على إصدار شهادات احتيالية.
خطة جوجل
إذا نُفذّت خطة غوغل، فستصبح الملايين من شهادات سيمانتك الحالية غير موثوق بها على مدار الأشهر الـ 12 المقبلة في غوغل كروم. ستكون هذه عملية تدريجية حيث لن يثق كل إصدار جديد من غوغل كروم بمجموعة جديدة من الشهادات بدءًا من غوغل كروم 59، مما سيؤدي إلى إلغاء الثقة في الشهادات التي لها فترة صلاحية تزيد عن 33 شهرًا.
سيضع هذا ضغطًا كبيرًا على سيمانتيك، حيث سيتعين على الشركة الاتصال بجميع العملاء والتحقق من هويتهم وملكية نطاقاتهم من جديد واستبدال شهاداتهم الحالية بأخرى جديدة، وعلى الأرجح بدون تكلفة. ومن المحتمل أن تواجه بعض الشركات مشكلات في استبدال شهاداتها في مثل هذا الوقت القصير، حيث قد تكون تستخدم محطات دفع مؤقتة وأجهزة مضمنة أخرى يصعب الوصول إليها.
بالإضافة إلى ذلك، قد تضطر سيمانتك إلى استرداد العملاء الذين دفعوا شهادات EV والتي لم يعد من الممكن التعرف عليها في غوغل كروم نظرًا لأنه سيتم تخفيض قيمتها إلى حد كبير. سوف يستمر الحظر على شهادات سيمانتيك EV لمدة سنة على الأقل.
يجب أن تكون جميع شهادات الاستبدال التي أصدرتها سيمانتك للعملاء فترة صلاحية تبلغ تسعة أشهر أو أقل حتى يتم الوثوق بها في غوغل كروم. ومن المحتمل أن يتسبب ذلك في المزيد من المشاكل لبعض الشركات الكبيرة، والتي لن تتمكن من استبدال شهاداتها بسهولة كل تسعة أشهر.
من الأسلم أن نقول إنه قد يكون لعقوبات غوغل تأثير كبير على أعمال SSL الخاصة بشركة سيمانتك، حيث من المرجح أن تفقد الشركة العملاء الذين لن يكونوا مستعدين لطرح هذه القيود وسيأخذون أعمالهم إلى هيئات شهادات أخرى (CA).
عقابات سابقة
عاقب منتجو المتصفحات هيئات التصديق قبلًا وذلك لإصدارهم شهادات غير مناسبة أو لسوء استخدامهم لها، ولكنه لم يصل أبدًا لما وصل إليه اليوم وبهذا التأثير الكبير جدا على النظام. لطالما تساءل بعض الناس عما إذا كان يمكن لمنتجي المتصفحات بالفعل اتخاذ عقوبات صارمة ضد أكبر الهيئات المصدّقة في العالم أو ما إذا كانت هذه الهيئات أكبر من أن تفشل.
ويبدو أن سبب هذا العقاب غير المسبوق هو تكرار حوادث الشهادات التي صدرت من سيمانتيك والتي تم الكشف عنها خلال السنوات القليلة الماضية، والتي فشلت الشركة في تحديد هويتها على الرغم من عمليات المراجعة الداخلية والخارجية. تم الكشف عن الحالة الأخيرة هذا العام وتضمنت 127 شهادة تم إصدارها بمعلومات زائفة أو بدون التحقق من ملكية المجال بشكل صحيح من قبل شريك سيمانتيك الذي كان يعمل كهيئة تسجيل (RA).
ووفقًا لغوغل، فإن هذا التحقيق يشكك في صلاحية ما لا يقل عن 30,000 شهادة صادرة عن شركاء سيمانتك خلال فترة تمتد لعدة سنوات. ومع ذلك، فإن سيمانتك تعارض هذا الرقم. وقال ريان سليفي من غوغل في مقال نشر على قائمة البريد الالكتروني الخاصة بمشروع تطوير غوغل كروم: سمحت سيمانتيك لأربعة أطراف على الأقل بالوصول إلى بنيتها التحتية بطريقة تؤدي إلى إصدار الشهادة، ولم تشرف بما فيه الكفاية على هؤلاء الأطراف كما هو مطلوب ومتوقع، وعندما يتم تقديم الدليل على فشل هذه المنظمات في الالتزام بمعايير الرعاية المناسبة، تفشل في الكشف عن المعلومة في الوقت المناسب أو أن تحدد أهمية المشاكل التي تم التبليغ عنها.”
وأضاف سليفي إن هذه الحوادث والحوادث السابقة دفعت جوجل إلى “عدم الثقة بعد الآن في سياسات إصدار الشهادات وممارسات شركة سيمانتك خلال السنوات القليلة الماضية”.
اعترضت سيمانتك بشدة على خطة جوجل وانتقدت نشرها. كما وصفت تصريحات غوغل حول الخلافات السابقة للشركة بأنها “مبالغ فيها ومضللة”.
وقالت الشركة في إحدى تدوينتاها يوم الجمعة “ان هذا العمل كان غير متوقع، ونعتقد أن التدوينة غير مسؤولة، ونأمل ألا يتم الاعتماد على الأمر لكسر الثقة وبناء الشك لدى مجتمع الإنترنت حول شهادات SSL/TLS الخاصة بنا.”
وقالت سيمانتك إن الادعاء بشأن الـ 30,000 شهادة غير صحيح وأن عدد الشهادات التي تم التأكد بأنها غير صحيحة وصل فقط لـ 127 شهادة، مع العلم أن هذه الشهادات غير المناسبة لم تؤد إلى أي ضرر من جانب المستهلك، مضيفةً أن العلاقة مع الشريك المسؤول عن الحادث قد تم إنهاؤها وأنه تم إيقاف برنامج RA بالكامل.
“في حين شهدت جميع هيئات الشهادات الرئيسية إصدار شهادات SSL/TLS غير مناسبة، إلا أن غوغل اختارت سيمانتك في مقترحها على الرغم من أن حادثة سوء الإصدار التي تم تحديدها في مدونة غوغل شملت العديد من العديد من الهيئات الأخرى”، على حد قول سيمانتك. ستعمل الشركة على تقليل أي اختلال محتمل بسبب اقتراح غوغل إذا ما تم تنفيذه، ولكن الأمر مفتوحٌ للنقاش مع غوغل والبحث عن حل متفق عليه بشكل متبادل.
وفي الوقت نفسه، فإن موزيلا والتي تدير برنامج شهادات جذرية خاص بها، تدرس أيضًا فرض عقوبات على شركة سيمانتك وقد تضطر إلى مع غوغل.
Google found a troubling number of bad SSL certificates issued by Symantec SSL bad meaning they had issued certs for google.com and other high profile domains, but they issued them to people who were not Google, etc. Symantec said they were just test certificates used by internal staff, and they never left their four walls. But the fact remained that the certs were valid and could potentially cause a lot of trouble.
Google took issue with the fact that the certs were issued at all, and accused Symantec of sloppy housekeeping. They said to Symantec, “You need to prove to the world that you can clean up your act or we’re going to stop trusting your certs.” Symantec basically replied, “Oh, stop being so dramatic,” and Google said, “Oh yeah? We’ll show you dramatic,” and issued notices giving the exact dates when they would stop trusting the Symantec certs.
موقع شركتنا
http://greenbackend.com/wordpress-hosting
المصدر
تفضيل
