صدور اشتباه گواهی‌های SSL‌ مربوط به دامنه‌های گیت‌هاب توسط یک مرجع چینی صدور گواهی‌های دیجیتال

یک بخش مرجع صدور گواهی‌های دیجیتال۱ چینی طی روزهای گذشته مرتکب یک اشتباه امنیتی بزرگ شده است. این مرجع با صدور گواهی‌های SSL مربوط به یک دامنه اصلی، راه را برای سوءاستفاده نفوذگران اینترنتی باز گذاشته است.

این بخش مرجع که WoSign نام دارد، یک گواهی اصلی مربوط به دامنه‌های گیت‌هاب را برای یک کاربر ناشناس گیت‌هاب صادر کرده است.

نکته‌ای که شاید در اینجا ذهن را مشغول کند، این است که چنین اقدامی چگونه ممکن است رخ دهد. اولین مسئله این است که سامانه قدیمی مدیریت گواهی‌های دیجیتال، از قدیمی‌ترین بخش‌های موجود در اینترنت امروزی است و پیش از این شکسته شده است. همچنین میلیون‌ها کاربر در سطح اینترنت بدون آگاهی از مسائل موجود، اقدام به استفاده از صدها مرجع صدور گواهی‌های دیجیتال کرده و از این طریق اقدام به خصوصی‌سازی و جامع‌سازی اطلاعات شخصی خود می‌کنند؛ اما از طرف دیگر، این مراجع توانایی صدور گواهی‌های SSL معتبر را برای هر دامنه دارند و این اتفاق حتی در هنگامی که یک کاربر یک گواهی را از یک مرجع صدور گواهی دیگر خریده باشد، باز هم مرجع دیگر آن را برای کاربر صادر می‌کند و این مشکل از بزرگ‌ترین معضلات موجود برای سامانه‌های صدور گواهی‌های دیجیتال است.

در مورد مرجع WoSign نیز باید گفت که این مرجع یک گواهی دو نسخه‌ای SSL مربوط به دامنه‌های گیت‌هاب را بدون اقدام به شناسایی مالک دامنه اصلی، صادر کرده است.

۲۲_۳

این اتفاق برای اولین بار توسط گرواس مارخام، برنامه‌نویس انگلیسی‌تبار شرکت موزیلا و طی اخبار امنیتی این شرکت اعلام شد. وی همچنین در این بخش اعلام کرده بود که این اتفاق در جولای ۲۰۱۵ رخ داده و تاکنون فاش نشده است.

مارخام در این خصوص بیان کرد: «در ژوئن ۲۰۱۵، مشکلی در بخش خدماتی و رایگان گواهی WoSign مشاهده شد که به کاربران اجازه می‌داد در صورت اثبات توانایی در کنترل یک زیر دامنه، یک گواهی را برای دامنه اصلی دریافت کنند.»

طبق گفته‌های مارخام، یک محقق امنیتی ناشناس به صورت تصادفی پی به این اشتباه امنیتی برد. اطلاعات حاکی از این است که این محقق در هنگام تلاش برای دریافت یک گواهی برای دامنه med.ucf.edu، به صورت تصادفی گواهی را برای دامنه www.ucf.edu درخواست کرده است و مرجع صدور گواهی WoSign نیز آن را صادر کرده و سپس گواهی مربوط به این وبگاه دانشگاهی را برای این محقق ناشناس ارسال کرده است.

این محقق سپس به منظور بررسی بیشتر این مسئله، همین فرآیند را برای دامنه اصلی گیت‌هاب با نشانی github.com انجام داد و به جای نشانی اصلی، github.io را ثبت کرد و توانایی خود برای کنترل این زیر دامنه کاربر محور را نیز اثبات کرد. این محقق سپس مشاهده کرد که مرجع WoSign اقدام به صدور گواهی مربوط به این زیر دامنه کرده است.

این محقق پس از مشاهده این اتفاقات، با ارسال گواهی صادرشده برای زیر دامنه گیت‌هاب به مرجع WoSign، مسئولان این مرجع را از این مشکل آگاه کرده است. این مرجع چینی نیز در جواب، اقدام به لغو گواهی گیت‌هاب صادرشده برای این محقق ناشناس کرده است.

سؤالی که در این خصوص مطرح می‌شود، این است که اکنون که این مرجع پی به خطای خود برده است، به چه دلیل اقدام به لغو دیگر گواهی‌های اشتباه نمی‌کند. در پاسخ به این سؤال باید گفت که این مرجع هیچ‌گونه بخش ردیابی را برای شناسایی این‌گونه گواهی‌ها نداشته و به هیچ طریقی نمی‌تواند با اقدام خودجوش برای شناسایی این گواهی‌ها، اقدام به لغو آن‌ها کند.

محقق ناشناسی که برای اولین بار پی به این اشکال برد، طی تماس با گوگل، اعلام کرد که گواهی ucf.edu هنوز پس از یک سال از شناسایی این اشکال، لغو نشده است.

سؤال دیگری که ممکن است در ذهن کاربران یا خوانندگان اخبار مربوط به این اشکال مطرح شود، این است که چگونه می‌توان بررسی کرد که یک گواهی جعلی مربوط به دامنه آن‌ها برای شخص دیگر، برای مثال یک نفوذگر، صادر نشده باشد. برای این منظور، بخش خدمات عمومی شفافیت گواهی۲ طراحی شده است که به افراد و شرکت‌ها این امکان را می‌دهد که بررسی کنند تاکنون چند گواهی دیجیتال امنیتی به صورت محرمانه برای دامنه آن‌ها صادر شده است.

بخش شفافیت گواهی مراجع صدور گواهی‌های دیجیتال را ملزم می‌کند که از طریق بخش ثبت رویداد نام برای گواهی ، به صورت علنی و عمومی، هر گونه صدور گواهی را اعلام کنند. مرجع WoSign پس از بروز اتفاقات و مشکلات مطرح‌شده، اقدام به استفاده از این بخش شفافیت گواهی کرده است. نکته مهم در این خصوص این است که بخش ثبت رویداد نام برای گواهی به کاربران این امکان را می‌دهد که با بررسی تمامی گواهی‌های دیجیتال صادرشده برای دامنه خود، از بروز هر گونه اشکال و سوءاستفاده به سرعت آگاه شوند. نکته دیگری که باید به آن توجه داشت این است که بخش‌های شفافیت گواهی، نمی‌توانند از صدور گواهی‌های جعلی توسط مرجع‌های صدور گواهی‌های دیجیتال جلوگیری کنند،‌ اما می‌توانند فرآیند شناسایی گواهی‌های جعلی را سرعت ببخشند.

در حال حاضر، شرکت‌های گوگل، Symantec ،DigiCert و چندین مرجع دیگر صدور گواهی‌های دیجیتال اقدام به استفاده از بخش‌های ثبت رویداد برای گواهی کرده‌اند.

کاربران در این خصوص می‌توانند برای امتحان و آشنایی، بخش ابزار جستجوی شفافیت گواهی شرکت گوگل و یا ابزار جستجوی شفافیت گواهی شرکت Comodo را بررسی کنند و تمامی گواهی‌های مربوط به دامنه خود را در بخش‌های ثبت وقایع مشاهده کنند. اگر کاربران در این بخش‌ها، یک گواهی جعلی را شناسایی کنند، می‌توانند با گزارش به مرجع صدور مربوطه، آن را از بروز این اقدام مخرب آگاه کنند.

۱. Certificate Authority (CA)
۲. Certificate Transparency (CT)

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]