تثير شهادات الأمان الواضحة مسألة موثوقية طبقة المقابس الآمنة

كمستهلكين ، لقد تعلمنا أن نثق في رمز القفل الذي يظهر على شريط العناوين الخاص بمتصفحاتنا. لقد أخبرنا أنه علامة على أن تواصلنا مع موقع الويب آمن. لكن حادثة هذا الأسبوع التي تورطت فيها غوغل وشركة أمنية تركية تكذب هذه الفكرة.

كشفت الشركة ، تركستراست ، هذا الأسبوع أنها في أغسطس 2011 أصدرت بطريق الخطأ مفتاحين رئيسيين إلى "كيانين". تسمح المفاتيح الرئيسية ، التي يطلق عليها شهادات وسيطة ، الكيانات بإنشاء شهادات رقمية لأي نطاق على الإنترنت.

الشهادات الرقمية هي في الواقع مفاتيح تشفير تستخدم للتحقق من أن موقع الويب هو ما يقوله. على سبيل المثال ، تُثبت شهادة المصرف الذي تتعامل معه على متصفحك أنك تتحدث بالفعل إلى البنك الذي تتعامل معه عندما تقوم بالعمل المصرفي عبر الإنترنت.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

يتم استخدام الشهادات لتشفير المعلومات بينك وبين موقع الويب أيضًا. هذا ما يعني أن القفل الأخضر في شريط عنوان المتصفح الخاص بك. يتواصل المستعرض مع موقع الويب باستخدام طبقة مآخذ التوصيل الآمنة ، بعد التحقق من صحته.

أحد الأوغاد الذين يستخدمون الإنترنت والذين لديهم القدرة على اعتراض الاتصال بينك وبين موقع ويب موثوق به يمكن أن يخدع متصفحك ليصدق أنه يتواصل مع الموقع الموثوق به واختطاف اتصالاتك. هذا ما يسمى "رجل في الهجوم الأوسط" لأن اللص يجلس بينك وبين الموقع الموثوق به.

خطأ ثابت ، تستمر المشكلة

تم اكتشاف خطأ TurkTust بواسطة Google عشية عيد الميلاد من خلال ميزة موجودة في متصفح Chrome الخاص بها منصة ترفع إشارة حمراء إلى Google عندما يحاول شخص ما استخدام النظام الأساسي بشهادة غير مصرح بها.

بعد اكتشاف مشكلة الشهادة ، أخبرت Google TurkTrust عن الموقف ، وكذلك Microsoft وموزيلا ، اللذان قاما بتعديل جميع المنصات الخاصة بالمتصفح حظر الشهادات المارقة التي تم إنشاؤها بواسطة المرجع المصدق الوسيط.

هذه الشهادة هي مجرد أحدث علامة على أن النظام الحالي لإصدار الشهادات الرقمية يحتاج إلى الإصلاح. في مارس / آذار 2011 ، على سبيل المثال ، تم خرق شركة تابعة لسلطة إصدار الشهادة Comodo وتم إصدار تسع شهادات مزيفة.

في وقت لاحق من العام ، خرق المتسللون هيئة إصدار وثائق هولندية ، DigiNotar ، وأصدروا عشرات الشهادات الزائفة ، بما في ذلك شهادة جوجل. تداعيات هذا الحادث وضعت الشركة خارج نطاق العمل.

مطلوب: أمان الجيل التالي

تم عرض عدد من المقترحات لمعالجة مشاكل الأمان المحيطة بالشهادات.

هناك تقارب. يسمح للمتصفح بالحصول على رأي ثانٍ حول شهادة من مصدر يختاره المستخدم. وقال تشيت ويسنيوسكي ، وهو مستشار أمني في شركة سوفوس ، في مقابلة: "إنها فكرة رائعة ، ولكن بمجرد أن تحصل على شبكة من الشركات وكنت خلف وكيل أو خلف مترجم الشبكة ، يمكن أن تنكسر". > هناك DNSSEC. ويستخدم نظام حل تسمية المجال - النظام الذي يحول الأسماء الشائعة لمواقع الويب إلى أرقام - لإنشاء رابط موثوق بين المستخدم وموقع الويب. ليس فقط أن النظام ليس من السهل فهمه ، ولكن التطبيق قد يستغرق سنوات.

"المشكلة مع DNSSEC هي أنها تتطلب تطبيق تقنية جديدة وترقية منسقة للبنية التحتية قبل أن نتمكن من الاستفادة منها" ، قال Wisniewski. "مع معدلات التبني التي رأيناها حتى الآن ، هذا يعني أنه لن يكون لدينا حل في مكان لمدة 10 أو 15 عامًا. هذا ليس جيدًا بما يكفي."

المقترح أيضًا هو "تثبيت" تقنيتين - المفتاح العام ملحق لـ HTTP والتأكيدات الموثوق بها لمفاتيح الشهادات (TACK) ، والتي تكون متشابهة.

وهي تسمح لموقع ويب بتعديل رأس HTTP لتعريف جهات التصديق التي تثق بها. يقوم المستعرض بتخزين تلك المعلومات وإنشاء اتصال بموقع ويب فقط إذا تلقى شهادة موقعة من قبل مرجع مصدق موثوق به من قبل الموقع.

من المرجح أن يتم تبني مقترحات الإيقاع لمعالجة مشكلة الشهادة ، وفقاً لـ Wisniewski. وقال "يمكن تبنيها في وقت قصير". "يسمحون للأشخاص الذين يرغبون في الاستفادة من الأمان المتقدم للقيام بذلك على الفور ، ولكنه لا يكسر أي متصفح ويب حالي لم يتم تحديثه."

مهما كان صانعو برامج المتصفحون يعتمدون لمعالجة مشكلة الشهادة ، فإنهم يحتاجون إلى افعلها قريبا خلاف ذلك ، سوف تستمر snafus في التكاثر والثقة على الإنترنت قد تتضرر بشكل لا يمكن إصلاحه.