เมื่อเร็ว ๆ นี้ Google พบว่าผู้มีอำนาจประกาศนียบัตร (CA) ออกใบรับรองปลอมแปลงสำหรับโดเมน Google การประนีประนอมนี้ขึ้นอยู่กับการจัดหาโดยการส่งมอบเลเยอร์ความปลอดภัย (TLS) รวมถึง Safe HTTP (HTTPS) ซึ่งทำให้ผู้ถือใบรับรองฟอร์จสามารถทำการโจมตีแบบแมนนิดหน่อย
เพื่อตรวจสอบความถูกต้องของเว็บไซต์ที่คุณกำลังตรวจสอบเป็นจริง ๆ ที่พวกเขาประกันการเรียกร้องเบราว์เซอร์ของคุณทำให้แน่ใจว่าใบรับรองที่จัดทำโดยเซิร์ฟเวอร์ที่คุณเข้าใช้งานถูกลงนามโดย CA ที่เชื่อถือได้ เมื่อมีคนร้องขอใบรับรองจากแคลิฟอร์เนียพวกเขาจะต้องยืนยันตัวตนของบุคคลที่ทำการร้องขอ เบราว์เซอร์ของคุณรวมถึงระบบปฏิบัติการมีชุดของ CAS ที่เชื่อถือได้ในที่สุด (เรียกว่ารูท CAS) หากใบรับรองออกโดยหนึ่งในนั้นหรือแคลิฟอร์เนียระดับกลางที่พวกเขาเชื่อถือคุณจะขึ้นอยู่กับการเชื่อมต่อ โครงสร้างทั้งหมดของการขึ้นอยู่กับเรียกว่าห่วงโซ่แห่งความไว้วางใจ
ด้วยใบรับรองการปลอมแปลงคุณสามารถโน้มน้าวลูกค้าว่าเซิร์ฟเวอร์ของคุณ จริงๆ คุณสามารถใช้สิ่งนี้เพื่อนั่งระหว่างการเชื่อมต่อของลูกค้ารวมถึงเซิร์ฟเวอร์ Google จริงการดักฟังเซสชันของพวกเขา
ในกรณีนี้แคลิฟอร์เนียระดับกลางทำเช่นนั้น นี่น่ากลัวเพราะมันทำลายความปลอดภัยที่เราทุกคนขึ้นอยู่กับทุกวันสำหรับการทำธุรกรรมที่ปลอดภัยบนอินเทอร์เน็ต Pinning ใบรับรองเป็นเครื่องมือหนึ่งที่สามารถใช้งานได้เพื่อทนต่อการโจมตีประเภทนี้ มันทำงานโดยเชื่อมโยงการถือครองด้วยใบรับรองที่แน่นอน หากมีการเปลี่ยนแปลงการเชื่อมต่อจะไม่เชื่อถือได้
ลักษณะส่วนกลางของ TLS ไม่ทำงานหากคุณไม่สามารถพึ่งพาเจ้าหน้าที่ได้ น่าเสียดายที่เราทำไม่ได้