به نظر میرسد شرکت Symantec راهی برای برطرف نمودن مشکل تایید امنیت SSL Certificateهای صادر شدهی این شرکت توسط گوگل پیدا نموده است که این فرآیند مبلغی حدود 1 میلیارد دلار هزینه دارد.
شرکتهای توسعهدهندهی مرورگر از جمله گوگل، نحوه صدور Certificateهای SSL صادر شده توسط Symantec را ابهام برانگیز خوانده و اعلام کردهاند که با ادامه شرایط فعلی از تایید آنها در آینده خودداری خواهند نمود؛ تهدیدی که در صورت عملی شدن میتواند به شرکت و مشتریان Symantec صدمه جدی وارد نموده و مالکان وبسایتهایی که از Certificateهای این شرکت استفاده میکنند را نگران سازد.
درحالحاضر Symantec کسبوکار خود در زمینه صدور Certificate به مبلغ 950 میلیون دلار همراه با 30 درصد از سهام یک شرکت کوچکتر را در اختیار DigiCert قرار داده است تا این شرکت با پیاده نمودن برنامههای خود در جهت اصلاح روندهای قبلی صدور Certificate به رفع بحرانهای باقیمانده بپردازد.
DigiCert در یک بیانیه خبری کوتاه ضمن اطلاعرسانی در زمینه این قرارداد مستقیما به موضوع اعتماد مرورگرها به Certificateهای Symantec پرداخت.
گوگل را میتوان بزرگترین منتقد Symantec در این خصوص به شمار آورد که طی دو سال گذشته همواره به روندهای این شرکت برای صدور Certificate انتقاد نموده و به این وسیله تلاش کرده است تا بر لزوم تامین امنیت و احراز هویت در ارتباطات میان وبسایتها و مرورگرها در بین سایر برنامههای کاربردی تاکید نماید.
چند ماه پیش گوگل شرکت Symantec را به صدور دستکم 30 هزار Certificate دارای نقص امنیتی متهم نمود که امکان پنهان شدن مهاجمان در پوشش وبسایتهای مجاز را به وجود میآورد.
Certificateهای Extended Validation یا به اختصار EV، از اهمیت ویژهای برخوردار میباشند و این ضرورت را ایجاد میکنند تا جهت احراز هویت درخواستکننده آن، تمهیدات بیشتری از سوی صادرکنندگان در نظر گرفته شود. این اقدامات به منظور فراهم نمودن اطمینان خاطر بیشتر برای بازدیدکنندگان وبسایتها میباشد. برای شرکتهایی که دارای این نوع Certificate میباشند، درکنار URL مربوط به سایت شرکت، هویت احرازشدهی شرکت (مثلا نام شرکت) نیز نمایش داده میشود و به این ترتیب این تصور در بازدیدکننده به وجود میآید که اطلاعات تبادل شده در این وبسایت امنیت لازم را دارا میباشند.
طبق اعلام W3Techs، شرکت DigiCert در مقایسه با Symantec از سهم کوچکی معادل 2/2 درصد در بازار صدور SSL Certificate برخوردار است، درحالیکه Symantec در این زمینه سهمی 14 درصدی دارد. Netcraft نیز سهم Symantec از Certificateهای سختگیرانهتر تایید اعتبار سازمانی را 30 درصد و سهم Certificateهای EV را برای این شرکت 40 درصد اعلام کرده است.
اما بر اساس شواهد موجود، DigiCert در حال گسترش است. این شرکت پیش از این حدود 225 کارمند در آمریکا داشته است که به گفتهی Symantec پس از معامله اخیر نیروی کاری شرکت مذکور به بیش از هزار نفر خواهد رسید.
مرورگرهای وب به صورت خودکار Certificateهای صادرشده از Symantec را قابلاعتماد ارزیابی میکنند، که این مساله مورد رضایت سازمانهاست؛ با این حال گوگل اخیرا در تلاش بوده است تا تعداد هرچه بیشتری از Certificateهای قدیمی صادرشدهی Symantec را از مرورگر Chrome حذف نماید که طی این روند، کاربرانِ Chrome هنگام بازدید از برخی وبسایتها با هشدارهای امنیتی مواجه میشوند.
گوگل درنظر دارد در سال جاری تعداد هرچه بیشتری از این Certificateها را ناامن اعلام نموده و در صورت استفاده از آنها پیام هشدار ارسال نماید.
Certificateهای SSL در صورتی که Revoke نشوند تا مدت زمانی معین دارای اعتبار میباشند. گوگل چند ماه پیش در معرفی برنامههای خود اعلام نمود که Certificateهای با اعتبار بیش از 33 ماه را در Chrome 59 که نسخه فعلی این مرورگر به حساب میآید، کنار خواهد گذاشت و در سال آینده و همراه با ارائهی نسخهی 64 مرورگر Chrome، مدت زمان اعتبار Certificateها به تنها 9 ماه محدود میگردد. این امر به منزلهی آن است که تمامی Certificateهای صادرشده پس از آن باید برای ادامه فعالیت با Chrome مورد ارزیابی و صدور مجدد قرار گیرند.
لازم به ذکر است که شرکتهای صادرکننده Certificate، از سمت چندین شرکت دیگر نیز برای حذف این Certificateها تحت فشار قرار دارند. سال گذشته موسسهی CA Security Council به منظور ارتقای استانداردها در زمینه صدور Certificate، الزامات جدیدی را به شرکتهای صادرکننده معرفی نمود.
Certificateها علاوه بر فراهم نمودن دسترسی ایمن به وبسایتها، میتوانند در سرورهای Identity و تجهیزات اینترنت اشیا (IoT) به منظور فراهم نمودن اتصال ایمن به سرویسهای Cloud Computing و همچنین رمزگذاری ترافیک برنامههای کاربردی در تلفنهای هوشمند استفاده شوند.
