یادتان هست قبلاً در مقاله «SSL چیست» راجعبه انواع گواهینامههای SSL صحبت کردیم؟ امروز میخواهیم دربارۀ یکی از تصورات اشتباه دربارۀ SSL صحبت کنیم، اگر با مفهوم SSL آشنایی ندارید، حتماً مقاله مذکور را بخوانید.
خب؛ خیلیها فکر میکنند که اگر سایتی آیکون قفل سبز رنگ را داشت، امن است و امکان ندارد کلاهشان برداشته شود! در این مقاله متوجه میشوید که همیشه هم اینطور نیست و SSL رایگان هم یک سری معایب دارد.
ابتدا بیایید با Let’s Encrypt آشنا شویم.
Let’s Encrypt چیست؟
Let’s Encrypt یک گواهی رایگان است که توسط گروه تحقیقاتی امنیت اینترنت ISRG ارائه میشود. مأموریت ISRG کاهش موانع مالی، تکنولوژیکی و آموزشی برای برقراری ارتباط ایمن از طریق اینترنت است.
داخل پرانتز: در مقاله «SSL رایگان چیست؟» میتوانید دربارۀ انواع روشهای دریافت گواهی رایگان SSL بخوانید.
چند سالی است که Let’s Encrypt با کمک و همکاری شرکتها و بنیادهایی مانند موزیلا، سیسکو، فیسبوک و … سرویس CA (مخفف Certification Authority) را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و رایگان ایجاد کرده است. با کمک این CA، تا الان سایتهای زیادی توانستهاند به شکل رایگان و بدون هیچ دردسری گواهی HTTPS دریافت کنند.
این سرویس میتواند به امنتر کردن وب کمک کند و شنود پیامها را برای دیگران سخت کند. اما بیایید زود نتیجهگیری نکنیم؛ این سرویس معایبی هم دارد!
معایب Let’s Encrypt چیست؟
خبر بد این است که از آنجا که این سرویس رایگان است، کلاهبرداران هم میتوانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند!
در دو عکس زیر صفحات فیشینگ سایت یک بانک را میبینید. تصویر اول صفحه فیشینگ بدون گواهی و تصویر دوم صفحه فیشینگ با گواهی است. بیشتر کاربران وجود گواهی HTTPS (علامت قفل سبز رنگ) را دلیلی بر اصالت صفحه میدانند و به صفحات فیشینگ با این مشخصات اعتماد میکنند.
LetsEncrypt و سایر CA ها بررسی دامنه و حذف صفحات فیشینگ را وظیفه خود نمیدانند. در حقیقت CA ها معتقدند با حملات فیشینگ باید در سطوح پایینتر مقابله شود. به عنوان مثال فروشنده دامنه یا هاست باید سایتهای آلوده را شناسایی و حذف کند؛ یا مرورگرها نباید سایتهای آلوده را نمایش دهند.
با این وجود Let’s Encrypt با استفاده از سرویس SafeBrowsing دامنهها را بررسی میکند و به دامنههایی که به عنوان دامنههای خطرناک ثبت شدهاند خدمات نمیدهند.
صبر کنید! با اینکه این روش میتواند تا حدودی مشکلات امنیتی را کاهش دهد، اما همیشه هم کارگشا نیست!
سایتها میتوانند بعد از دریافت گواهی محتویات خود را تغییر دهند. بنابراین به نظر میرسد بهترین راه مقابله با این کلاهبرداریها آموزش کاربران است. عموم کاربران تصور میکنند علامت و قفل سبز رنگ کنار یک سایت درستی محتویات سایت را نیز تایید میکند، در صورتی که این تصور اشتباه است.
بهتر است برای درک بهتر این موضوع با گواهینامه DV (یکی از انواع گواهینامههای اس اس ال) آشنا شویم.
گواهینامه DV چیست؟
گواهینامه Domain-validated certificate که به صورت مخفف DV نامیده میشود، گواهینامهای است که موجودیت درخواستکننده گواهینامه را تنها با نام دامنه تایید میکند. در این گواهینامه درخواستکننده گواهینامه باید به یکی از روشهای زیر مالکیت بر دامنه را تصدیق کند: 👇
- صادرکننده گواهی، ایمیلی به آدرس ایمیل که در DNS مشخص شده ارسال میکند و درخواستکننده باید به این ایمیل جواب دهد.
- صادرکننده گواهی، ایمیلی به آدرسهای ایمیل مشخص مانند admin@domain.com و یا webmaster@domain.com ارسال میکند و درخواست کننده باید به این ایمیل جواب دهد.
- درخواستکننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt اختصاصی برای دامنه بسازد.
- بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.
در صورتی که درخواستکننده گواهی به یکی از روشهای بالا بتواند مالکیت بر دامنه را اثبات کند، صادرکننده برای این دامنه یک گواهی تایید صادر میکند. به بیان دیگر گواهی DV تنها مالکیت بر یک دامنه را اثبات میکند. گواهینامه DV عموما به صورت خودکار صادر میشود. LetsEncrypt گواهینامه DV صادر میکند در نتیجه تنها میتواند مالکیت دامنه را اثبات کند.
💡 بنابراین به نظر میرسد بهترین راه مقابله با حملات فیشینگ توجه بیشتر به آدرس سایتی است که بازدید میکنیم.
نکات پایانی برای کاربران
همانطور که گفتیم، بهترین راهحل جلوگیری از کلاهبرداری فیشینگ، این است که کاربران را از خطرات و نحوۀ تشخیص آن آگاه کنیم! بهنظرم، امروز بهترین فرصت برای این کار است. ما قبلاً مقالههایی را برای شما در ابن رابطه آماده کردهایم؛ پیشنهاد میکنم حتماً این مقالات را بخوانید و اگر مفید، به اشتراک بگذارید:
برای بالا بردن امنیت وبسایت و فراهم کردن تجربهای خوب برای کاربران، همین امروز به فکر تهیه یک گواهی SSL معتبر باشید.
خرید گواهینامه SSL پشتیبانی : ۳۱۷۷۶-۰۵۱
6 دیدگاه. دیدگاه تازه ای بنویسید
سلام من هنگام فعال سازی ssl شرکت lets encrypt از دایرکت ادمین به ارور زیر بر میخورم مشکل از کجاست؟
Requesting new certificate order…
Processing authorization for http://www.bisro.ir...
Waiting for domain verification…
Trying again…
1..2..3..4..5..
Challenge status: invalid. Challenge error: “type”: “http-01”, “status”: “invalid”, “error”: { “type”: “urn:ietf:params:acme:error:connection”, “detail”: “Fetching http://www.bisro.ir/.well-known/acme-challenge/eoZp8dFUkBYj0lVp5vvxduwrRd3h619rzS75TG-2WmM: Timeout during connect (likely firewall problem)”, “status”: 400 . Exiting…
سلام
در گام اول بررسی کنید که dns های دامنه صحیح بوده و بروز شده است.
در گام دوم پینگ دامنه از داخل سرور را بررسی کنید که ip اصلی سرور را نمایش دهد.
در گام سوم دستورات زیر را در سرور اجرا کنید:
cd /usr/local/directadmin/custombuild
./build update
./build letsencrypt
عالی متشکر
ممنون از نظرتون
سلام،مطلب بسیار مفید بود
متاسفانه این تصور اشتباه هنوز هم بین مردم رواج داره
واقعا ssl دلیل بر معتبر بودن سایت نیست
مثلا ممکنه یه نفر از یه سایت ساز رایگان که خودشssl داره سایت زده باشه مثل همین سایت ساز خارجی google sites که کلی توش سایت کلاه برداری هست و ssl هم داره پس ربطی نداره
ممنون که به مردم اطلاع رسانی میکنید.
سلام دوست عزیز
کاملاً درسته؛ ممنون که وقت گذاشتید و نظرتون رو بیان کردید