Mozilla: خطأ sec_error_unknown_issuer (الأفكار صاخبة)

هذا الصباح ، بعد فنجان ساخن من قهوة الشوكولاتة ، تبادرت الفكرة لتغيير متصفح Chrome المعتاد إلى Firefox. كان السبب في ذلك على الأرجح ليس القهوة ، ولكن التباطؤ غير الطبيعي لمتصفحي مؤخرًا. بعد الإطلاق الأول ، أقوم بإدخال "google.ru" غدًا في شريط العناوين وأرى الخطأ التالي:



المتصفح لا يعطي حتى الحق في تجاهل الخطأ. أول شيء فعلته كان اعتيادًا على التاريخ والوقت. بعد التأكد من تعيين معلمات الوقت على الكمبيوتر بشكل صحيح ، انتقل إلى مورد yandex.ru آخر:



كانت الأمور أفضل قليلاً هنا ، يعرض فايرفوكس بالفعل إضافة الشهادة إلى المستودع الموثوق به. هنا اضطررت إلى تشغيل الدماغ ، لأنه أستخدم بنشاط خدمة Yandex.Money وأي تسربات مهمة بالنسبة لي. بادئ ذي بدء ، قررت التحقق مما لا يعجب المتصفح تمامًا بشأن الشهادة:



لا توجد ثقة في الطرف الذي أصدر الشهادة. ومثل هذه الصورة على جميع الموارد حيث يتم استخدام اتصال HTTPS آمن.
الكثير من النظريات:
لاستخدام قناة اتصال مشفرة ، يستخدم متصفحك بروتوكول SSL (أو TLS) (يستخدمه HTTPS) ، والذي بدوره يستخدم شهادة مصادقة. تخزن هذه الشهادة معلومات لتشفير البيانات ولتحديد خادم WEB الذي تقوم بالوصول إليه. بالإضافة إلى جميع المعلومات الأخرى المخزنة في الشهادة (نوع التشفير ، والأسماء البديلة ، وما إلى ذلك) ، نحن مهتمون بمفتاح عام يحل المشكلة رقم 1 - التشفير في الشبكات المفتوحة ومعلومات حول المركز الذي أصدر هذه الشهادة ، والذي يحل المشكلة رقم 2 - الثقة في المفتاح العام.

سأذكر مع الأمثلة.

السيناريو 1:

1. تريد خدمة Yandex تنظيم قناة اتصال آمنة مع مستخدميها وتوليد زوج من المفاتيح (العامة والخاصة) لهذا الغرض.
2. بصفتي عميلًا لخدمة Yandex ، أتلقى منه مفتاحًا عامًا وأقوم بتشفير جميع بياناته به. في الوقت نفسه ، أنا متأكد من أنه فقط مالك المفتاح الخاص يمكنه قراءة البيانات ، في حالتنا ، المالك هو خدمة Yandex.
وبالتالي ، تحل خدمة Yandex مشكلة التشفير في الشبكات المفتوحة.

ولكن ماذا لو كان هناك فيروس طروادة معين بينك وبين خدمة Yandex (على سبيل المثال ، كخادم وكيل تمريري) ... ؟؟؟

السيناريو 2:

1. يتلقى حصان طروادة المفتاح العام من خدمة Yandex.
2. ينشئ حصان طروادة زوجًا من مفاتيحه وينقل الجزء المفتوح إليك نيابة عن خدمة Yandex.
3. كل الرسائل الموجهة إليك من قبل خدمة Yandex يتم اعتراضها وفك تشفيرها بواسطة Trojan ، ويقوم Trojan بدوره بتشفير هذه البيانات بالمفتاح من Yandex ونقلها إليه. وهنا تنشأ المشكلة 2 ، وهي مشكلة الثقة بالمفتاح العام .

يتم حل هذه المشكلة من قبل طرف ثالث موثوق به من قبل كل من خدمة Yandex والعميل. في هذه الحالة ، أشار السجل إلى شركة AtomPark Software Inc ، التي أصدرت نفس شهادة المصادقة لخدمة Yandex.

دعنا نعود إلى شهادتي ونتأكد من أننا نثق بطرف ثالث. في حقل الاسم الشائع (CN) للمجموعة الصادرة حسب إدخال AtomPark Software Inc. أول علامة ثقة لمرجع المصادقة هذا هو وجود شهادة الجذر الخاصة به في مخزن الثقة. في Mozille ، يمكن فتح هذه القائمة على النحو التالي: الإعدادات-> متقدم-> الشهادات-> عرض الشهادات-> المراجع المصدقة. لقد وجدت شهادة بالاسم:



للوهلة الأولى ، كل شيء على ما يرام. قررت التحقق من بصمات شهادات SHA1. تسلقت التسلسل الهرمي ورأيت ما يلي:



في التسلسل الهرمي للشهادة ، الشهادة الجذرية هي الشهادة نفسها (موقعة ذاتيًا).
للتأكد في النهاية من أن هذه الشهادة غير صالحة ، من متصفح Chrome أجرى التحقق عبر الإنترنت من الشهادة الحالية sslshopper.comوالتحقق من الأرقام التسلسلية:



الآن كان من الضروري العثور على هذا طروادة. كان كل شيء نظيفًا في إعدادات الوكيل ، ولم يعط برنامج مكافحة الفيروسات أي نتائج. دخلت في مراقبة الشبكة ولاحظت تطبيقًا معينًا كان نشطًا عندما



دخلت إلى خدمات الويب: كشف الرابط الأول على الإنترنت عن جميع الخرائط. اتضح أن إدارتنا أجرت مؤخرًا بعض التعديلات على سياسة حماية المعلومات السرية. تقرر تثبيت برنامج StaffCop لجميع الموظفين ، والذي يراقب أنشطة الموظفين. بعد تعطيل هذه الخدمة ، لم يتم حل مشاكل الشهادات فحسب ، بل أيضًا مع متصفح Chrome الرئيسي. على الرغم من الوصف الرائع ، في الواقع تم حل المشكلة بسرعة كبيرة ، وآمل أن تسلسل أفعالي سيساعد شخصًا ما.

وأخيرًا ، كيف يجب أن تبدو الشهادات "الصحيحة":

Source: https://habr.com/ru/post/ar385219/