اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

حذف تدریجی Certificate‌ های دارای کلید 1024 بیتی

حذف تدریجی Certificate‌ های دارای کلید 1024 بیتی

به دارندگان وب‌سایت‌ها توصیهمی‌شود تا Certificate‌ های SSL با کلید‌های 1024 بیتی را با Certificateهای دارای کلید 2048 بیتی جایگزین نمایند.

صاحبان وب‌سایت‌ها باید در‌نظر داشته باشند که در آینده‌ای نزدیک، آن دسته از Certificate‌ هایی که دارای Root CAهای قدیمی با کلیدهای 1024 بیتی می‌باشند، در برخی از محصولات Mozilla از جمله مرورگر پرطرفدار Firefox نامعتبر اعلام خواهند شد.

این اقدام به عنوان بخشی از تلاش‌های این شرکت در طی یک سال گذشته جهت اِعمال فشار به شرکت‌های صادرکننده‌ی (Certificate‌ (CA‌ ها و مشتریان آنها برای توقف استفاده از Certificate‌ های 1024 بیتی صورت می‌گیرد؛ لازم به ذکر است که نگرانی‌های برانگیخته شده از عدم امنیت رمزنگاری در Certificate های ذکرشده را باید پیشرفت‌های صورت‌گرفته در توان محاسباتی دانست.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


تیم امنیت شرکت Mozilla اخیرا اعلام نمود: این تغییرات به شرط آنکه Certificate‌ های مربوط به سایت و Certificate‌های صادرشده برای Root CAها از کلیدهای 2048 بیتی یا بالاتر استفاده نمایند، تاثیری بر مدیران وب‌سایت‌های مبتنی بر SSL نخواهد داشت؛ اما در صورتیکه SSL Certificate دارای کلید 1024 بیتی بوده و یا از سوی یک CA سرور که دارای Certificate با کلید 1024 بیتی بوده صادر شده باشد، دریافت SSL Certificate جدید و به‌روزرسانی Certificate‌های ضرورت می‌یابد.

همچنین Certificate‌های 2048 بیتی که از Intermediate CA Certificateهای دارای کلیدهای 1024 بیتی برای تایید اعتبار خود استفاده می‌کنند، در صورتی که بر روی وب سرورها Intermediate Certificateها را به Certificateهای دارای کلید 2048 بیتی به‌روزرسانی نکنند، تحت تاثیر شرایط جدید قرار خواهند گرفت.

لازم به ذکر است که هر شرکت صادرکننده‌ Certificate از یک یا چند Root Certificate برای صدور Certificateهای SSL استفاده می‌کند که به منظور تایید اعتبار Certificate‌‌های SSL  در وب‌سایت‌ها به کار گرفته شده و بر طبق چند توافقنامه‌‌ی اصولی در تعدادی از سیستم‌عامل‌ها، مرورگرهای متداول و برخی محصولات دیگر ارائه می‌گردند.

Mozilla در‌حال‌حاضر در نسخه‌ی بتای Firefox 36، 5 مورد از Certificateهای دارای کلید 1024 بیتی که متعلق به شرکت‌های Verizon و Symantec بود را حذف نموده است. Certificate‌هایی که در لیست حذف قرار دارند شامل GTE CyberTrust Global Root ، Thawte Server CA ، Thawte Premium Server CA، Class 3 Public Primary Certification Authority – G2 و Equifax Secure eBusiness CA-1 می‌گردد.

این سیاست‌گذاری به معنای آن است که Firefox 36 و نسخه‌های بعدی آن از این پس Certificate‌های SSL را که توسط هریک از این Root CA‌ها ایجاد شده باشد ناامن دانسته و هنگام مواجهه با این Certificate‌ها پیامی مبنی بر عدم امنیت سایت مورد بازدید می‌دهد.

Mozilla در یک سال گذشته نیز اقدام به حذف هشت Certificate CA با کلید 1024 بیتی درFirefox 32  نموده‌است که به Entrust، SECOM، GoDaddy، EMC/RSA، VeriSign (در‌‌حال‌‌حاضر Symantec) و NetLock تعلق داشته‌اند.

انتظار می‌رود که مرحله‌ی سوم و نهایی این روند نیز در نیمه‌ی اول امسال انجام گرفته و منجر به حذف دو Equifax Root Certificate دیگر از Symantec گردد. با این حال گزارش اخیر سیستم Bug Tracking شرکت Mozilla از کاربرد وسیع یکی از این دو Certificate حکایت دارد.

پکیج آموزشی VMware NSX شرکت APK