مؤخرا، وجدت Google أن مرجع الشهادة (CA) أصدرت شهادات مزورة لمجالات Google. يعتمد هذا على التنازل عن توفيره من خلال تسليم سلامة الطبقة (TLS) بالإضافة إلى HTTP آمنة (HTTPS)، مما يتيح لصاحب الشهادات المزورة للقيام بهجوم رجل في الوسط.
للتحقق من صحة أن موقع الويب الذي تقوم بالتحقق منه هو حقا يطالبه بالتأمين بأن متصفحك، يتأكد من أن الشهادة التي يوفرها الخادم الذي تم الوصول إليه تم توقيعه بواسطة Ca. عندما يطلب شخص ما شهادة من المرجع المصدق، يجب أن تؤكد هوية الشخص الذي يقدم الطلب. متصفحك، وكذلك نظام التشغيل، تحتوي على مجموعة من CAS الموثوق بها في نهاية المطاف (تسمى Root CAS). إذا تم إصدار الشهادة من أحدها، أو المرجع المصدق المتوسط الذي يثقون فيه، فسوف تعتمد على الاتصال. يسمى هذا الهيكل كله من تعتمد على سلسلة من الثقة.
مع شهادة مزورة، يمكنك إقناع عميل أن الخادم الخاص بك هو . يمكنك الاستفادة من هذا للجلوس بين اتصال العميل بالإضافة إلى خادم Google الفعلي، والتنصت على جلسةهم.
في هذه الحالة، قام كاليفورنيا المتوسطة بذلك. هذا مخيف، لأنه يقوض السلامة التي يعتمدها جميعنا على كل يوم لجميع المعاملات الآمنة على الإنترنت. شهادة تعليق هي أداة واحدة يمكن استخدامها لتحمل هذا النوع من الهجوم. يعمل من خلال ربط عقد بشهادة معينة. إذا كان يتغير، فلن يكون الاتصال موثوقا به.
الطبيعة المركزية ل TLS لا تعمل إذا لم تتمكن من الاعتماد على السلطات. لسوء الحظ، لا يمكننا ذلك.