مر أكثر من سنة كاملة على اتهام شركة غوغل لشركة Symantec بإنشاء آلاف من شهادات الأمان المزورة ، بل هذه القصة لم تتوقف عند مجرد الاتهامات ، ولكن غوغل استمرت في اتخاذ إجراءات مثل وقف الثقة بها ، وفي 16 أكتوبر و مع وصول Chrome 70 سيتم إغلاق المرحلة الأخيرة من هذه العملية.
وهذا يعني أن الآلاف من مواقع الويب التي لا تزال تستخدم شهادات الأمان التي أصدرتها شركة Symanctec قبل حزيران 2016 سيتم فصلها. لن يتم حظرها على هذا النحو من قبل غوغل كروم ، ولكن سيتم ملؤها بالتحذيرات والنوافذ المنبثقة التي تمنع التنقل بينها ، وتحذر المستخدم من أنها ليست مواقع ويب آمنة.
هذه ليست مشكلة Chrome 70 ولا حتى المعايير الحديثة المتبعة ، بل إنها مشكلة شركة Symantec التي تصدر شهادات غير صالحة واالتي تؤثر على خصوصية وأمان المستخدمين ، حيث هناك الكثير من المواقع كما أظهر الباحث الأمني "سكوت هيلم" والتي قدرها بحوالي 1139 موقعًا ضمن أكثر المئات زيارة وفقًا لتصنيفات اليكسا لا تزال تحتفظ بهذه الشهادات الأمنية القديمة.
حتى المؤسسات الحكومية مثل البنك الفيدرالي الهندي ، وموقع فيراري على الإنترنت ،وغيرها الكثير لم يغيروا شهاداتهم رغم أن لديهم أكثر من عام كمهلة للقيام بذلك.
إذا لم تفهم ما الذي يعنيه كل هذا ، فإن شهادة الأمان الرقمي تشبه شهادة DNI المستخدمة في التحقق من هوية المستخدم أو تشفير الاتصالات ، يجب أن يثق المتصفح في الشهادة الرقمية للاتصال للتأكد من أنك الشخص الذي يريد الدخول إلى موقع ويب معين ، مثل البنك الذي تتعامل معه. إذا كان المتصفح لا يثق في شهادة أمان الويب ، لن يتم الاتصال أو ستظهر لك عدة تنبيهات لمنعك من مواصلة التصفح مثل هذا.
تثبت شهادات الأمان سلامة موقع الويب الذي تزوره وتضمن عدم تعديل الصفحة من قِبل أي مهاجم. تحصل معظم المواقع على شهادات من جهة تصديق مثل Symantec ، ومنذ إصدار كروم 66 ، توقفت غوغل بالفعل عن الثقة في بعض شهادات Symantec ، لكن الآن مع قدوم كروم 70 سيتم معاقبة هذه المواقع ، وجاء ذلك بعد أن اكتشفت غوغل أن هذه المؤسسات سمحت لمنظمات غير موثوقة بإصدار الشهادات دون إجراء التقييمات اللازمة ، ولذلك اضطرت العديد من المؤسسات التي كانت لديها شهادات بالفعل إلى دفع ثمن الشهادات الجديدة لكن بقي الكثير منها لم يقوم بأي خطوة من هذا القبيل .
وهذا يعني أن الآلاف من مواقع الويب التي لا تزال تستخدم شهادات الأمان التي أصدرتها شركة Symanctec قبل حزيران 2016 سيتم فصلها. لن يتم حظرها على هذا النحو من قبل غوغل كروم ، ولكن سيتم ملؤها بالتحذيرات والنوافذ المنبثقة التي تمنع التنقل بينها ، وتحذر المستخدم من أنها ليست مواقع ويب آمنة.
هذه ليست مشكلة Chrome 70 ولا حتى المعايير الحديثة المتبعة ، بل إنها مشكلة شركة Symantec التي تصدر شهادات غير صالحة واالتي تؤثر على خصوصية وأمان المستخدمين ، حيث هناك الكثير من المواقع كما أظهر الباحث الأمني "سكوت هيلم" والتي قدرها بحوالي 1139 موقعًا ضمن أكثر المئات زيارة وفقًا لتصنيفات اليكسا لا تزال تحتفظ بهذه الشهادات الأمنية القديمة.
حتى المؤسسات الحكومية مثل البنك الفيدرالي الهندي ، وموقع فيراري على الإنترنت ،وغيرها الكثير لم يغيروا شهاداتهم رغم أن لديهم أكثر من عام كمهلة للقيام بذلك.
إذا لم تفهم ما الذي يعنيه كل هذا ، فإن شهادة الأمان الرقمي تشبه شهادة DNI المستخدمة في التحقق من هوية المستخدم أو تشفير الاتصالات ، يجب أن يثق المتصفح في الشهادة الرقمية للاتصال للتأكد من أنك الشخص الذي يريد الدخول إلى موقع ويب معين ، مثل البنك الذي تتعامل معه. إذا كان المتصفح لا يثق في شهادة أمان الويب ، لن يتم الاتصال أو ستظهر لك عدة تنبيهات لمنعك من مواصلة التصفح مثل هذا.
تثبت شهادات الأمان سلامة موقع الويب الذي تزوره وتضمن عدم تعديل الصفحة من قِبل أي مهاجم. تحصل معظم المواقع على شهادات من جهة تصديق مثل Symantec ، ومنذ إصدار كروم 66 ، توقفت غوغل بالفعل عن الثقة في بعض شهادات Symantec ، لكن الآن مع قدوم كروم 70 سيتم معاقبة هذه المواقع ، وجاء ذلك بعد أن اكتشفت غوغل أن هذه المؤسسات سمحت لمنظمات غير موثوقة بإصدار الشهادات دون إجراء التقييمات اللازمة ، ولذلك اضطرت العديد من المؤسسات التي كانت لديها شهادات بالفعل إلى دفع ثمن الشهادات الجديدة لكن بقي الكثير منها لم يقوم بأي خطوة من هذا القبيل .
ليست هناك تعليقات:
إرسال تعليق