ناسازگاری بین Certificate‌های شرکت Symantec و مرورگر Chrome

0
199
Chrome - Bug- Symantec

بتازگی مشکلی بر روی مرورگر Chrome کشف شده که در تمامی پلتفرم‌ها از جمله Component در اندروید بنام WebView تاثیر گذاشته است.

اگر اخیرا در هنگام دسترسی به وب‌سایت‌های Https بر روی کامپیوتر یا تلفن همراه اندروید خود دچار مشکل شده‌اید، دلیل آن می‌تواند وجود این باگ در مرورگر Chrome باشد. این مشکل می‌تواند اعتبار Certificate‌های SSL صادر شده توسط شرکت Symantec را به عنوان یکی از بزرگترین مراجع صادرکننده Certificate در سراسر جهان و همچنین Thawte و GeoTrust به عنوان دو نمونه از CAهای تحت کنترل Symantec را در معرض تهدید و آسیب قرار دهد.

Rick Andrews، یکی از مدیران فنی ارشد این شرکت اظهار داشت: این باگ در Chrome نسخه ۵۳ ایجاد شده است اما WebView پلتفرم اندروید که از سوی برنامه‌های اندرویدی جهت نمایش محتوای وب به کار می‌روند را نیز در معرض آسیب قرار داده است.

وی افزود: کاربران برای رفع این مشکل در اندروید باید WebView و Chrome خود را ارتقا دهند. لازم به ذکر است که Developerها با استفاده از پلتفرم متن باز اندروید (AOSP) ملزم به بازنگری برنامه‌های خود به منظور اطمینان از قابلیت‌ سازگاری آنها می‌باشند.

اگرچه WebView به عنوان یکی از Component‌های سیستم بوده و در اندروید Lollipop به وجود آمده است، با این حال امکان ارتقای آن از طریق Google Play Store نیز وجود دارد.

نسخه ۵۵ از WebView در سیستم اندروید به تازگی عرضه شده است اما Chrome مربوط به اندروید همچنان همان نسخه ۵۴ است که قبل از آن وارد بازار شده است.

شرکت گوگل در نسخه ۵۴ از Chrome برای ویندوز، Mac، لینوکس و iOS و همچنین تب‌های Chrome Custom و Chromium، تغییراتی را اعمال نموده است، بنابراین Certificate‌های صادر شده توسط شرکت Symantec بیش از این دارای خطاهای مربوط به اعتبار نخواهند بود. همچنین وی تاکید کرد که به هرحال این مشکل در تمامی پلتفرم‌ها به واسطه نسخه ۵۵ Chrome برطرف شده است.

می‌توان به عنوان نتیجه کلی این موضوع را مطرح نمود که تمامی کاربران که از مرورگر Chrome استفاده می‌نمایند باید به محض دسترسی به Chrome نسخه ۵۵ برای پلتفرم خود، به این نسخه Update نمایند.

در واقع این مشکل به دنبال تصمیم اتخاذ شده توسط گوگل رخ داد که شرکت Symantec را وادار نمود تا تمامی Certificate‌های صادر شده‌ی توسط CAهای این شرکت که پس از تاریخ ۱ ژوئن می باشد را به صورت عمومی در Log مربوط به (Certificate Transparency (CT منتشر نماید.

این تصمیم پس از بازرسی داخلی از شرکت Symantec در مورد صدور غیرمجاز Certificate‌های تمدید اعتبار  یا به عبارتی (Extended Validation (EV ، برای Google.com اتخاذ شد که در هنگام بازرسی مشخص گردید که بیش از ۱۵۰ Certificate تمدید اعتبار برای دامنهGoogle.com  توسط شرکت Symantec و بدون اطلاع گوگل صادر شده بود. در آن زمان Symantec اظهار داشت که این Certificate‌ها به صورت آزمایشی صادر شده و قرار نبوده که از شرکت خارج شوند.

به دلیل وابستگی CAها به Vendorهای مرورگر برای کسب اطمینان از Certificate‌های اصلی در داخل محصولات خود، شرکت‌هایی همچون گوگل، Mozilla، مایکروسافت و Apple می‌توانند در هنگام نقض قوانین صدور Certificate، آنها را مسئول بدانند.‌ شرکت گوگل پس از بروز این رویداد در Symantec اقدام به ارائه مکانیسمی در Chrome نسخه ۵۳ نمود که صرفا به گواهی‌نامه‌های صادر شده توسط این شرکت پس از یکم ژوئن ۲۰۱۶ اعتماد نماید که این گواهی‌ها همراه با Policy‌های تعریف شده برای CT می‌باشد.

با این وجود مکانیسم دیگری نیز در این مرورگر ارائه شد که یک محدودیت ۱۰ هفته‌ای را برای اعتبار داده‌های CT در نظر می‌گرفت تا مانع فرسودگی اطلاعات شود. در نتیجه ترکیب این مکانیسم با فرآیند کنترل انطباق (CT (CT-Compliance Check برای Certificate‌های صادر شده شرکت Symantec، خرابی‌های ناخواسته حتی برای گواهی‌های سازگار رخ خواهد داد.

بدون دیدگاه

دیدگاهتان را بنویسید

*