مدیر یک موسسه صدور گواهی HTTPS به نام Trustico با ارسال اطلاعات مرتبط به گواهی 23 هزار سایت در یک ایمیل، امنیت آنها را به خطر انداخته است.

پیش از این همه سایت ها برای انتقال داده‌ از سرور به مرورگر از پروتکل HTTP استفاده می کردند که در آن داده ها رمزنگاری نشده و از امنیت کافی برخوردار نیستند. در سال های اخیر پروتکل دیگری به نام HTTPS توسعه پیدا کرد که به لطف رمزنگاری داده ها، امنیت بیشتری را فراهم می آورد.

گوگل به منظور افزایش امنیت سایت ها اعلام کرد که وب سایت های دارای HTTPS در نتایج جستجو از رتبه های بالاتری برخودار خواهند بود و پس از آن وب مسترها به سمت خرید این نوع پروتکل رمزنگاری شده رفتند. در این پروتکل دو کلید عمومی و خصوصی وجود دارد که مورد اول برای شروع رمزنگاری به مرورگر ارسال شده و کلید خصوصی نیز در اختیار ادمین سایت قرار دارد.

فرد مظنون به انتشار 23 هزار کلید خصوصی از طریق ایمیل، مدیر کمپانی Trustico است که گواهی صادر شده از طرف «Comodo» و «»DigiCert» را به فروش می رساند.
https
کلیدهای مذکور به همراه درخواستی مبنی بر باطل کردن آنها به «جرمی راولی»، معاون اجرایی ارشد DigiCert ارسال شده است. با این حال وی با تاکید بر اینکه شواهدی مبنی بر ناامن بودن کلیدهای مذکور وجود ندارد، از باطل کردن آنها سرباز زده است.

دبیر کل Trustico در حالی اقدام به ارسال این ایمیل ها کرده که اصلا نباید آنها را در اختیار داشته باشد و این مساله سوالاتی را در رابطه با چگونگی دستیابی به آنها ایجاد کرده است.

انتشار عمومی این کلیدها می تواند منجر به ایجاد صفحات مشابه با سایت اصلی شود که علاوه بر شباهت ظاهری از بستر HTTPS نیز استفاده می کنند.

با این حال این شرکت مدعی شده که هدف از باطل کردن آنها، برنامه های گوگل برای حذف تائیدیه های سمانتیک از کروم بوده است. Trustico قبلا گواهینامه های صادر شده از طرف سیمانتک را به فروش می رساند اما پس از اینکه مشخص شد سیمانتک از قوانین تخطی کرده DigiCert کسب و کار صدور گواهینامه آنها را خریداری کرد.

«رایان اسلیوی» از مهندسان کروم در این باره گفته است:

برخی فکر می کنند صدور گواهی HTTPS مثل فروش اسنیپر راحت است و به همین خاطر شاهد افزایش تعداد شرکت های شخص ثالث در این زمینه هستیم که کلیدهای خصوصی را خود تولید کرده و حتی از سایت ها می خواهند کلیدهایشان را در اختیار آنها قرار دهند.

منبع:gizmodo