موزیلا مرجع چینی صدور گواهی‌نامه‌ی دیجیتال را کنار می‌گذارد

۱۸۹۸موزیلا قصد دارد یک مرجع صدور گواهی‌نامه‌ با اصلیت چینی را که WoSign نام دارد از فهرست برنامه‌های مورد اعتماد خود خارج کند.

موزیلا که نگران گواهی‌نامه‌ی صادره از سوی WoSign است، این مرجع چینی را به خرید یک CA یا مرجع صدور گواهی‌نامه‌ی دیگر، آن هم بدون اطلاع‌رسانی به دیگران متهم کرده است.

موزیلا می‌گوید که اعتماد خود را به توانایی WoSign و StartCom در فعالیت شایسته و صادقانه از دست داده است.

از سوابق غیردرخشان WoSign می‌توان به صدور مجوز گیت‌هاب برای یک دانشجو اشاره کرد.

گزارش محققان موزیلا پیرامون ناکارآمدی WoSign درباره‌ی مجوزهای SHA-۱ است. همه می‌دانیم که سال‌های سال است که ناامنی SHA-۱ به اثبات رسیده است، به همین خاطر تمامی مرورگرهای صاحب‌نام آن را کنار گذاشته‌اند.

موزیلا در قالب بخشی از فرآیند طرد این CA، با مجوزهای جدید SHA-۱ مانند یک مورد نامعتبر رفتار می‌کند، مگر این‌که مرجع مورد بحث فرآیند پذیرش این موضوع را تکمیل کند، ولی گزارش‌ها حاکی از آن‌اند که هم WoSign و هم StartCom این فرآیند را به نحوی تکمیل کرده‌اند که تاریخ‌ SHA-۱های جدید مربوط به گذشته به نظر برسند و این‌گونه تصور شود که آن‌ها پیش از ۱ ژانویه‌ی ۲۰۱۶ صادر شده‌اند.

WoSign متهم شده است که بدون افشای قضیه‌ی تغییر مالکیت، مرجع اسرائیلی StartCom را در اختیار گرفته است، این موضوع با بخش پنجم از سیاست‌های موزیلا مغایرت دارد.

هرچند که رسانه‌های مربوطه می‌گویند StartCom از WoSign مستقل باقی خواهد ماند، اما موزیلا متعقد است که مورد ذکرشده‌ی نخست ساختارهای مورد دوم برای صدور گواهی‌نامه استفاده می‌نماید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.