گوگل در تلاش برای گسترش تواناییهای صدور گواهی و ایجاد پایه و اساس یک وبِ امنتر، در نهایت مرکز صدور گواهی ریشه مربوط به خودش را راهاندازی کرد.
در طی چند سال گذشته، ما مشاهده کردیم که گوگل مراحل زیادی را پشت سر گذاشت تا پشتیبانی تمام و کمال خود را از سایتهایی که از HTTPS پشتیبانی میکنند نشان دهد. برای مثال میتوان به موارد زیر اشاره کرد:
- دادن اولویتهای بیشتر به سایتهای HTTPS در ردهبندی جستجوی خود نسبت به دیگر سایتها.
- دادن هشدار به کاربران که تمامی صفحات HTTP امن نیستند.
- شروع یک صنعت گسترده (Certificate Transparency) با یک ابتکار و نوآوری که بهنوعی یک framework باز برای ورود به سیستم، بازرسی و نظارت گواهیهایی که مراکز صدور گواهی صادر میکردند.
بااینحال، گوگل بر روی صدور گواهی میانی (Google Internet Authority G2 – GIAG2) تکیه کرده است که توسط یک شخص ثالث صادر میشود که آخرین تأمینکنندگان آن GlobalSign و GeoTrust بودهاند که گواهیها را بر روی محصولات و سرویسهای گوگل مدیریت و راهاندازی میکردند.
گوگل در روز پنجشنبه (۲۶ ژانویه ۲۰۱۷) اعلام کرد که خودش گواهیهای مربوط به خود را میسازد و یک مرکز صدور گواهی ریشه مستقل به نام Google Trust Services به این شرکت اجازه میدهد که گواهیهای TLS/SSL خود را برای ایمنسازی ترافیک وب از طریق HTTPS بهجای اینکه به گواهیهای شخص ثالث تکیه کند، صادر کند.
Ryan Hurst که مدیر تولید گوگل است در وبلاگ خود در این زمینه مینویسد[۱]: “ازاینرو که ما نگاه روبهجلو به انقلاب در وب و همچنین محصولات خود داریم، این واضح است که HTTPS به عنوان یک فنآوری بنیادی در این راه به ما کمک خواهد کرد. به همین دلیل است که ما تصمیم گرفتیم تا تلاشهای خود را در زمینه صدور گواهی افزایش داده تا بتوانیم گواهیهای ریشه مربوط به خودمان را بهرهبرداری کنیم.”
Google Trust Services (GTS) که به تازگی تأسیس شده است گواهیها را از جانب گوگل صادر میکند.
مشابه دیگران، Google Trust Services نیز میتواند برای امضا کردن دیگر گواهیهای وابسته به منظور تصدیق هویت دیگر وبسایتها مورد استفاده قرار گیرد.
بااینحال، فرآیند وارد کردن مراکز صدور گواهی ریشه درون محصولات زمانبر است بنابراین گوگل دو مرکز صدور گواهی ریشه موجود را از GlobalSign: R2 and R4 خریده است.
توسعهدهندگان، که باید گواهیهای ریشه جدید برای سرویسهای خود دریافت کنند، برای دریافت جزئیات بیشتر در زمینه Google Trust Services (GTS) میتوانند به بیانیه رسمی گوگل که در این مورد منتشر شده است مراجعه کنند[۲].
منابع
[۱] https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html
[۳] http://thehackernews.com/2017/01/google-trust-services.html
الان توی کروم به سایت هایی که میریم که https نیستن اگر این سایت بخواد از شما رمز عبوری رو ذخیره کنه کنار ادرس بار مینویسه not secure