مثل جوجل ، قرر موزيلا أن يعاقب الوكالة الصينية على شهادة الكارثة

تعتزم مؤسسة موزيلا رفض الشهادات الرقمية الجديدة الصادرة عن مركز معلومات شبكة الإنترنت الصينية (CNNIC) في منتجاتها ، ولكنها ستستمر في الثقة بالشهادات الموجودة بالفعل.

ستتبع الخطوة قرار مماثل تم الإعلان عنه يوم الأربعاء من قبل جوجل وهو نتيجة CNNIC ، وهي سلطة شهادات (CA) موثوق بها في معظم المتصفحات وأنظمة التشغيل ، وإصدار شهادة وسيط غير مقيد لشركة مصرية تسمى MCS Holdings

ترث شهادات وسيط قوة إصدار سلطة إصدار الشهادات ويمكن استخدامها لإصدار شهادات موثوق بها لأسماء النطاقات المملوكة لمؤسسات أخرى.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من Wi-Fi الخاص بك ndows PC]

أصدرت CNNIC الشهادة الوسيطة لشركة MCS Holdings بموجب اتفاقية ستستخدمها الشركة لاختبار الخدمات السحابية الجديدة التي كانت تقوم بتطويرها. ومع ذلك ، يُزعم أنه نظرًا لخطأ بشري ، تم تثبيت الشهادة في جهاز جدار ناري لديه إمكانات فحص حركة مرور HTTPS (HTTP Secure).

استخدمه الجهاز تلقائيًا لإنشاء شهادات لأسماء النطاقات التي تملكها Google في عملية اعتراض بروتوكول HTTPS حركة المرور بين كمبيوتر MCS Holdings داخلي وخدمات Google. أصبحت Google على دراية بالشهادات غير المصرح بها لخصائص الويب الخاصة بها بسبب وجود ميزة في Chrome تم الإبلاغ عنها للشركة.

بعد تحليل الحادث ، أثبتت Mozilla أن CNNIC انتهكت العديد من السياسات من خلال إصدار الشهادة المتوسطة إلى MCS Holdings في المكان الأول. تتضمن السياسات متطلبات خط الأساس (BRs) لإصدار وإدارة شهادات موثوقة من قبل الجمهور تم تطويرها بواسطة CA / Browser Forum ، و Inclusion Certificate في CA Certificate Inclusion Policy and Cisco ، وإعلان ممارسات إدارة الشهادة (CPS) ، مطلوب CA للنشر.

يتطلب BRs و Mozilla سياسة الشهادات المتوسطة إما مقيد تقنيًا - بحيث يمكن استخدامها فقط لإصدار شهادات لأسماء نطاقات معينة - أو غير مقيدة ولكن يتم الإفصاح عنها علنًا وتسجيلها كشهادات جذر. الشهادة التي أصدرتها CNNIC لم تستوفِ أيًا من تلك المتطلبات.

لم تعلن Mozilla بعد قرارًا نهائيًا ، ولكن تم تحديد عقوبات CNNIC المحتملة في اقتراح مقدم للتعليق على قائمة بريدية Mozilla من قبل Richard Barnes ، هندسة التشفير في المؤسسة مدير. حتى الآن ، تلقى الاقتراح تعليقات إيجابية ، ولكن لا تزال هناك حاجة إلى تسوية بعض التفاصيل ، ربما خلال اليومين المقبلين.

بخلاف Google ، التي قررت إزالة شهادات جذر CNNIC من منتجاتها ، تخطط Mozilla للمغادرة ومع ذلك ، فإن المنظمة ترغب في وضع قيود في مكانها بحيث لا يمكن الوثوق إلا بالشهادات الصادرة قبل تاريخ "العتبة".

وهذا يعني بشكل فعال أن شهادات CNNIC التي صدرت بعد ذلك التاريخ ، والتي لم يتم الإعلان عنها حتى الآن ، لن يتم الوثوق بها من قبل منتجات Firefox و Thunderbird ومنتجات Mozilla الأخرى.

سترفع Mozilla القيود في حالة ذهاب CNNIC مرة أخرى من خلال العملية المطلوبة لـ CA للحصول على شهادات الجذر المتضمنة في برنامج موزيلا الجذري - وهي عملية تتضمن التحقق ويمكن أن يستغرق حوالي عام. إذا فشل تطبيق CNNIC ، ستتم إزالة شهادات الجذر الموجودة الخاصة به تمامًا.

لمنع CNNIC من إصدار شهادات جديدة مع تاريخ إنشاء تم تعيينه في الماضي - "مؤرخة" الشهادات - التي من شأنها تجاوز قيود Mozilla ، المنظمة خطط لطرح CNNIC للحصول على قائمة كاملة من الشهادات التي أصدرتها حتى الآن. يمكن أيضًا الحصول على قائمة مثل Google ، التي أشار إعلانها يوم الأربعاء أن الشركة لديها بالفعل واحدة

"لمساعدة العملاء المتأثرين بهذا القرار ، لفترة محدودة سنسمح للشهادات الحالية الخاصة بـ CNNIC بالاستمرار في وضع علامة على موثوقيتها في Chrome ، من خلال استخدام القائمة البيضاء التي يتم الكشف عنها بشكل عام" ، كما قال Google في مشاركة مدونة.

In ومن الناحية العملية ، سيكون لخطط موزيلا و Google نفس التأثير: حيث أن منتجاتها ستقوم برفض الشهادات الجديدة الصادرة عن CNNIC إلى أن تمر السلطة الصينية بعملية إعادة إثبات الاعتماد. وستواصل الشركتان الثقة في الخروج من شهادات CNNIC حتى يتمكن المستخدمون من الوصول إلى المواقع باستخدام تلك الشهادات ، ولكن ربما لفترات زمنية مختلفة.

في بيان نشر على موقعها على الإنترنت الخميس ، وصفت CNNIC قرار جوجل بأنه "غير مقبول وغير مفهومة".

CNNIC هي وكالة تعمل تحت إشراف وزارة صناعة المعلومات الصينية. إلى جانب إصدار الشهادات الرقمية ، تشمل مسؤولياته إدارة نطاق المستوى الأعلى cc وتعيين عناوين بروتوكول الإنترنت (IP) في البلد.