گواهیهای دیجیتال که برای احراز هویت و برقراری ارتباط امن بین مرورگر کاربر و سرویسدهنده وب کاربرد دارن از شیوه حلقه اعتماد استفاده میکنن. این گواهیها توسط موسسههای مورد اطمینانی به اسم «مراجع صدور گواهی دیجیتال» یا “Certificate Authority” صادر میشن. این مراجع به دو شکل ریشه (root) و میانی یا واسط (intermediate) هستن. تفاوتون اینه که تعداد مراجع ریشه محدود هست و برای اعتماد به اینها نیازی نیست به یه مرجع دیگه مراجعه کرد. اما برای اعتماد به مراجع واسط باید بررسی بشه که آیا این مرجع واسط توسط یه مرجع ریشه مورد تایید قرار گرفته یا نه.
بذارید براتون این مثال رو بزنم. فرض کنید من برای دامنه freemind.ir میخوام یه گواهی دیجیتال بگیرم. من این گواهی رو از مرجع میانی MiyaniCA 1 میگیرم. این مرجع میانی هم خودش گواهی دیجیتالش رو از RishehCA 1 گرفته. حالا وقتی کسی تو مرورگرش میزنه سایت freemind.ir رو باز کنه، مرورگر اول گواهی سایت freemind.ir رو بررسی میکنه و متوجه میشه که توسط مرجع MiyaniCA 1 صادر شده. تو فهرست مراجع ریشه مورد اعتماد داخل مرورگر جستجو میکنه و پیداش نمیکنه. بعد بررسی میکنه میبینه توسط RishehCA 1 صادر شده. از اونجایی که این RishehCA 1 رو بین مراجع مورد اطمینانش داره دیگه حلقه رو ادامه نمیده. به MiyaniCA 1 اطمینان میکنه و در نتیجه به freemind.ir هم اطمینان میکنه و صفحه رو باز میکنه. توجه کنید که این فقط یه مثال ساده برای درک این حلقه اعتماد بود و در عمل جزئیات فنی پیچیدهتری داره.
حالا مشکل به وجود اومده اینه که مرجع صدور گواهی دیجیتال ریشه TurkTrust اومده برای دو تا موسسه به جای گواهی دیجیتال معمولی، گواهی دیجیتال مرجع میانی صادر کرده. یعنی اینکه این دو موسسه با داشتن یه گواهی با اعتبار مرجع میانی، امکان این رو داشتن که برای سایتهای دیگه گواهی دیجیتال جعلی صادر کنن، بدون اینکه کاربر و مرورگر متوجه جعلی بودن این گواهی بشن. این اتفاق در آگوست ۲۰۱۱ اتفاق افتاده و متاسفانه چند روز پیش کشف شده. یکی از این دو موسسه از این قضیه سوء استفاده کرده و اومده یه سری گواهی دیجیتال جعلی برای مجموعه دامنههای *.google.com صادر کرده. با این کار میتونه حملات فیشینگ، MITM و شنود محتوای ارتباطی بین کاربران و این سرویسهای گوگل انجام بده.
گوگل میگه ما اقدامات لازم رو برای کاربران کروم انجام دادیم، به زودی هم یه بهروزرسانی برای این مرورگر ارائه خواهیم داشت. موزیلا هم گفته که گواهیهای TurkTrust رو حذف کرده و روز ۸ ژانویه یه نسخه بهروزرسانی برای تمام مرورگرهای فایرفاکس عرضه خواهد کرد. پس یادتون باشه که حتما مرورگرهاتون رو به روز کنید تا به مشکل نخورید. :)