This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

شهادة السلطة التركية screwup يؤدي إلى التمثيل جوجل حاولت

Filed Under: Apple Safari, Featured, Firefox, Google, Google Chrome, Internet Explorer, Privacy, Vulnerability, Web Browsers

كسر قفل باب المجاملة من Shutterstock بعض الأيام أنا أشعر مثل الاسطوانة المشروخة التي تحافظ على تكرار في نفس القصة . ميمي تكرار اليوم؟ تجسست شهادة الهيئة بإصدار الشهادات مما يؤدي إلى مستخدمي Google يجري عليها.

جوجل أول من رصد المشكلة، وذلك باستخدام كروم شهادة تعلق ، على ديسمبر 24th، وفقا لبلوق وظيفة بعنوان "تعزيز الأمن الشهادة الرقمية".

هذا العنوان هو قليلا مضللة، وهذا الإعلام لم يكن في كل شيء عن تعزيز سلامة استباقي الشهادات الرقمية، وأكثر بدلا من التطهير حتى من حادث كبير.

وقد نبهت غير معروف المستخدم جوجل كروم لجوجل على شهادة موقعة حسب الأصول التي لا تنتمي في الواقع إلى Google.

كان شخص محاولة تنفيذ هجوم رجل في داخل المتوسطة ضد هذا المستخدم الاتصالات الآمنة المخصصة لجوجل.

ونحن لا نعرف من أين حدث هذا، ولكن لا يهم كثيرا من الناحية الفنية. هذا يعني إما شهادة صادرة السلطة شهادات لشخص لا ينبغي أن يكون لهم أو الانتقاص منها و.

ما أعتقد أنه يعني ما قلت من قبل: لا يمكننا الوثوق السلطة الحالية القائمة شهادة SSL / TLS النظام. يتم تقسيم ذلك، وأنا لا أعتقد أنه يمكن إصلاح بسهولة.

TurkTrust شعار SSL بدا جوجل في سلسلة التوقيع على شهادة وتحديد * وهمية. صدر google.com شهادة من قبل هيئة شهادة المتوسطة الذي كسب سلطتها من TURKTRUST CA التركية.

بدا هذا غريبا وشهادة متوسطة في واقع الأمر كان غريبا جدا. لم يكن من المفترض أنها موجودة.

بعد الإبلاغ عن الحادث، اكتشفت TURKTRUST أنها أصدرت بطريق الخطأ شهادتين المتوسطة بدلا من شهادات موقع طبيعي في أغسطس 2011، بما في ذلك تلك المستخدمة للتوقيع على شهادة وهمية جوجل.

بالضبط ما هي شهادة المتوسطة؟ دون أن يوضح كامل عملية شهادة SSL / TLS، شهادة المتوسطة هي في جوهرها المفتاح الرئيسي التي يمكن أن تخلق شهادات عن أي اسم المجال.

ويمكن استخدام هذه الشهادات لتمثيل أي موقع إلى أي متصفح دون تنبيه المستخدم النهائي أن كل شيء خاطئ. لا يزال الحصول على قفل، لا يزال يظهر كل شيء صحيحا.

عندما كنت تثق في القفل في المتصفح لتكون مؤشرا على الأمن، وأنت لا يثق فقط ~ 150 المراجع المصدقة الموثوقة من قبل موزيلا ومايكروسوفت وجوجل.

EFF SSL المرصد وفقا ل مرصد EFF في SSL ، واجه مستخدمي فايرفوكس على ويندوز MS عينات في عام 2010 1482 التوقيع السلطات المختلفة (بما في ذلك الشهادات المتوسطة)، وكلها للمستخدم العادي أن ثقة عمياء.

كنت أثق أنه لا يوجد واحد منهم قد قرر تتواطأ مع شخص يريد للتجسس على حركة المرور الخاصة بك، فإن أيا منها لديه فيروس أو قد اخترق، ويجري إرغام أي منهم من قبل الحكومة لمساعدة مع عملية تنصت .

مهم.

ذلك مرة أخرى نذهب من خلال عملية إلغاء هذه الشهادات والبت في مدى الثقة في المستقبل لوضع TURKTRUST.

وقد تم حجب جوجل شهادات موقعة من الشهادات الصادرة سوء المتوسطة للمستخدمين كروم منذ 26 ديسمبر. في وقت لاحق من هذا الشهر أنها سوف تلغي القدرة على شهادات موقعة من TURKTRUST أن يظهر أن يكون التحقق من الصحة الموسع (تسليط الضوء الاخضر في شريط العنوان).

مايكروسوفت أصدرت الاستشارية اليوم إلغاء جميع الشهادات التي وقعتها الشهادات المتوسطة لجميع الإصدارات المعتمدة من Windows. ويندوز 8/Server المستخدمين 2012/RT الحصول على هذا التحديث تلقائيا؛ تلك التي تستخدم الإصدارات القديمة من ويندوز سوف تحتاج إلى استخدام Windows Update.

موزيلا شعار أصدرت موزيلا على بيان واعلان انهم سوف إبطال شهادات اثنين المتوسطة الثلاثاء المقبل يناير 8th (التوقيت الباسيفيكي المفترض) مع الإصدار التالي من فايرفوكس.

سوف موزيلا أيضا إلغاء مؤقتا شهادة TURKTRUST الجذر تماما، في انتظار مزيد من المراجعة.

أوبرا لم تصدر تعليقا، على الرغم من يمكن للمستخدمين يدويا إزالة TURKTRUST من قائمة السلطات الجذر الموثوق بها إذا اختاروا.

التفاح، كما هو الحال دائما، لم يعلق على عندما أو إذا كانت ستتخذ إجراءات لحماية المستخدمين وسفاري دائرة الرقابة الداخلية ضد أي تداعيات هذه الشهادات.

هو حقا الوقت أن ننتقل من هذا النظام، 20 عاما نفذت بشكل سيئ. ما إذا كان هو المفتاح العام ملحق التدبيس للHTTP ، التقارب ، الموثوق بها لمفاتيح التأكيدات شهادة ( المسمار ) أو TLS-DNSSEC ، لدينا لاختيار شيء والبدء في تنفيذها.

فإنه لا يحتاج إلى أن يكون مثالي لمكافحة ما لدينا. لقد كان متعة بحجة مزايا ونقاط الضعف في هذه المقترحات لمدة عشر سنوات في المؤتمرات. حان الوقت أن نصل إلى العمل.

كسر قفل باب المجاملة صورة Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.