بتازگی مشکلی بر روی مرورگر Chrome کشف شده که در تمامی پلتفرمها از جمله Component در اندروید بنام WebView تاثیر گذاشته است.
اگر اخیرا در هنگام دسترسی به وبسایتهای Https بر روی کامپیوتر یا تلفن همراه اندروید خود دچار مشکل شدهاید، دلیل آن میتواند وجود این باگ در مرورگر Chrome باشد. این مشکل میتواند اعتبار Certificateهای SSL صادر شده توسط شرکت Symantec را به عنوان یکی از بزرگترین مراجع صادرکننده Certificate در سراسر جهان و همچنین Thawte و GeoTrust به عنوان دو نمونه از CAهای تحت کنترل Symantec را در معرض تهدید و آسیب قرار دهد.
Rick Andrews، یکی از مدیران فنی ارشد این شرکت اظهار داشت: این باگ در Chrome نسخه 53 ایجاد شده است اما WebView پلتفرم اندروید که از سوی برنامههای اندرویدی جهت نمایش محتوای وب به کار میروند را نیز در معرض آسیب قرار داده است.
وی افزود: کاربران برای رفع این مشکل در اندروید باید WebView و Chrome خود را ارتقا دهند. لازم به ذکر است که Developerها با استفاده از پلتفرم متن باز اندروید (AOSP) ملزم به بازنگری برنامههای خود به منظور اطمینان از قابلیت سازگاری آنها میباشند.
اگرچه WebView به عنوان یکی از Componentهای سیستم بوده و در اندروید Lollipop به وجود آمده است، با این حال امکان ارتقای آن از طریق Google Play Store نیز وجود دارد.
نسخه 55 از WebView در سیستم اندروید به تازگی عرضه شده است اما Chrome مربوط به اندروید همچنان همان نسخه 54 است که قبل از آن وارد بازار شده است.
شرکت گوگل در نسخه 54 از Chrome برای ویندوز، Mac، لینوکس و iOS و همچنین تبهای Chrome Custom و Chromium، تغییراتی را اعمال نموده است، بنابراین Certificateهای صادر شده توسط شرکت Symantec بیش از این دارای خطاهای مربوط به اعتبار نخواهند بود. همچنین وی تاکید کرد که به هرحال این مشکل در تمامی پلتفرمها به واسطه نسخه 55 Chrome برطرف شده است.
میتوان به عنوان نتیجه کلی این موضوع را مطرح نمود که تمامی کاربران که از مرورگر Chrome استفاده مینمایند باید به محض دسترسی به Chrome نسخه 55 برای پلتفرم خود، به این نسخه Update نمایند.
در واقع این مشکل به دنبال تصمیم اتخاذ شده توسط گوگل رخ داد که شرکت Symantec را وادار نمود تا تمامی Certificateهای صادر شدهی توسط CAهای این شرکت که پس از تاریخ 1 ژوئن می باشد را به صورت عمومی در Log مربوط به (Certificate Transparency (CT منتشر نماید.
این تصمیم پس از بازرسی داخلی از شرکت Symantec در مورد صدور غیرمجاز Certificateهای تمدید اعتبار یا به عبارتی (Extended Validation (EV ، برای Google.com اتخاذ شد که در هنگام بازرسی مشخص گردید که بیش از 150 Certificate تمدید اعتبار برای دامنهGoogle.com توسط شرکت Symantec و بدون اطلاع گوگل صادر شده بود. در آن زمان Symantec اظهار داشت که این Certificateها به صورت آزمایشی صادر شده و قرار نبوده که از شرکت خارج شوند.
به دلیل وابستگی CAها به Vendorهای مرورگر برای کسب اطمینان از Certificateهای اصلی در داخل محصولات خود، شرکتهایی همچون گوگل، Mozilla، مایکروسافت و Apple میتوانند در هنگام نقض قوانین صدور Certificate، آنها را مسئول بدانند. شرکت گوگل پس از بروز این رویداد در Symantec اقدام به ارائه مکانیسمی در Chrome نسخه 53 نمود که صرفا به گواهینامههای صادر شده توسط این شرکت پس از یکم ژوئن 2016 اعتماد نماید که این گواهیها همراه با Policyهای تعریف شده برای CT میباشد.
با این وجود مکانیسم دیگری نیز در این مرورگر ارائه شد که یک محدودیت 10 هفتهای را برای اعتبار دادههای CT در نظر میگرفت تا مانع فرسودگی اطلاعات شود. در نتیجه ترکیب این مکانیسم با فرآیند کنترل انطباق (CT (CT-Compliance Check برای Certificateهای صادر شده شرکت Symantec، خرابیهای ناخواسته حتی برای گواهیهای سازگار رخ خواهد داد.
