مشکل تایید Certificateهای شرکت Symantec توسط گوگل

به نظر می‌رسد شرکت Symantec راهی برای برطرف نمودن مشکل تایید امنیت SSL Certificateهای صادر شده‌ی این شرکت توسط گوگل پیدا نموده است که این فرآیند مبلغی حدود 1 میلیارد دلار هزینه دارد.

شرکت‌های توسعه‌دهنده‌ی‌ مرورگر از جمله گوگل، نحوه صدور Certificate‌های SSL صادر شده توسط Symantec را ابهام برانگیز خوانده و اعلام کرده‌اند که با ادامه شرایط فعلی از تایید آنها در آینده خودداری خواهند نمود؛ تهدیدی که در صورت عملی‌ شدن می‌تواند به شرکت و مشتریان Symantec صدمه جدی وارد نموده و مالکان وب‌سایت‌هایی که از Certificate‌های این شرکت استفاده می‌کنند را نگران سازد.

در‌حال‌حاضر Symantec کسب‌و‌کار خود در زمینه صدور Certificate به مبلغ 950 میلیون دلار همراه با 30 درصد از سهام یک شرکت کوچکتر را در اختیار DigiCert قرار داده است تا این شرکت با پیاده نمودن برنامه‌های خود در جهت اصلاح روندهای قبلی صدور Certificate به رفع بحران‌های باقیمانده بپردازد.

DigiCert در یک بیانیه خبری کوتاه ضمن اطلاع‌رسانی در زمینه این قرارداد مستقیما به موضوع اعتماد مرورگرها به Certificate‌های Symantec پرداخت.

گوگل را می‌توان بزرگ‌ترین منتقد Symantec در این خصوص به شمار آورد که طی دو سال گذشته همواره به روندهای این شرکت برای صدور Certificate‌ انتقاد نموده و به این وسیله تلاش کرده است تا بر لزوم تامین امنیت و احراز هویت در ارتباطات میان وب‌سایت‌ها و مرورگرها در بین سایر برنامه‌های کاربردی تاکید نماید.

چند ماه پیش گوگل شرکت Symantec را به صدور دست‌کم 30 هزار Certificate‌ دارای نقص امنیتی متهم نمود که امکان پنهان شدن مهاجمان در پوشش وب‌سایت‌های مجاز را به وجود می‌آورد.

Certificate‌های Extended Validation یا به اختصار EV، از اهمیت ویژه‌ای برخوردار می‌باشند و این ضرورت را ایجاد می‌کنند تا جهت احراز هویت درخواست‌کننده آن، تمهیدات بیشتری از سوی صادرکنندگان در نظر گرفته شود. این اقدامات به منظور فراهم نمودن اطمینان خاطر بیشتر برای بازدیدکنندگان وب‌سایت‌ها می‌باشد. برای شرکت‌هایی که دارای این نوع Certificate می‌باشند، درکنار URL مربوط به سایت شرکت، هویت احراز‌شده‌ی شرکت (مثلا نام شرکت) نیز نمایش داده می‌شود و به این ترتیب این تصور در بازدیدکننده به وجود می‌آید که اطلاعات تبادل شده در این وبسایت امنیت لازم را دارا می‌باشند.

طبق اعلام W3Techs، شرکت DigiCert در مقایسه با Symantec  از سهم کوچکی معادل 2/2 درصد در بازار صدور SSL Certificate برخوردار است، در‌حالیکه Symantec در این زمینه سهمی 14 درصدی دارد. Netcraft نیز سهم Symantec از Certificate‌های سخت‌گیرانه‌تر تایید اعتبار سازمانی را 30 درصد و سهم Certificate‌های EV را برای این شرکت 40 درصد اعلام کرده است.

اما بر اساس شواهد موجود، DigiCert در ‌حال گسترش است. این شرکت پیش از این حدود 225 کارمند در آمریکا داشته است که به گفته‌ی Symantec پس از معامله‌ اخیر نیروی کاری شرکت مذکور به بیش از هزار نفر خواهد رسید.

مرورگرهای وب به صورت خودکار Certificate‌های صادرشده از Symantec را قابل‌اعتماد ارزیابی می‌کنند، که این مساله مورد رضایت سازمان‌هاست؛ با این حال گوگل اخیرا در تلاش بوده است تا تعداد هرچه بیشتری از Certificate‌های قدیمی صادرشده‌ی Symantec را از مرورگر Chrome حذف نماید که طی این روند، کاربرانِ Chrome هنگام بازدید از برخی وب‌سایت‌ها با هشدارهای امنیتی مواجه می‌شوند.

گوگل درنظر دارد در سال جاری تعداد هرچه بیشتری از این Certificate‌ها را ناامن اعلام نموده و در صورت استفاده از آنها پیام هشدار ارسال نماید.

Certificate‌های SSL در صورتی که Revoke نشوند تا مدت زمانی معین دارای اعتبار می‌باشند. گوگل چند ماه پیش در معرفی برنامه‌های خود اعلام نمود که Certificate‌های با اعتبار بیش از 33 ماه را در Chrome 59 که نسخه فعلی این مرورگر به حساب می‌آید، کنار خواهد گذاشت و در سال آینده و همراه با ارائه‌ی نسخه‌ی 64 مرورگر Chrome، مدت زمان اعتبار Certificateها به تنها 9 ماه محدود می‌گردد. این امر به منزله‌ی آن است که تمامی Certificate‌های صادرشده پس از آن باید برای ادامه فعالیت با Chrome  مورد ارزیابی و صدور مجدد قرار گیرند.

لازم به ذکر است که شرکت‌های صادرکننده Certificate،‌ از سمت چندین شرکت‌ دیگر نیز برای حذف ‌این Certificateها تحت فشار قرار دارند. سال گذشته موسسه‌ی CA Security Council به منظور ارتقای استانداردها در زمینه صدور Certificate، الزامات جدیدی را به شرکت‌های صادرکننده معرفی نمود.

Certificate‌ها علاوه بر فراهم نمودن دسترسی ایمن به وب‌سایت‌ها، می‌توانند در سرورهای Identity و تجهیزات اینترنت اشیا (IoT) به منظور فراهم نمودن اتصال‌ ایمن به سرویس‌های Cloud Computing و همچنین رمزگذاری ترافیک برنامه‌های کاربردی در تلفن‌های هوشمند استفاده شوند.