آیا فیشینگ در سایت‌هایی که گواهی SSL دارند غیرممکن است؟!!

6 دیدگاه
دسته بندی: آموزش, امنیت
Let’s Encrypt و مقابله با حملات فیشینگ

یادتان هست قبلاً در مقاله «SSL چیست» راجع‌به انواع گواهی‌نامه‌های SSL صحبت کردیم؟ امروز می‌خواهیم دربارۀ یکی از تصورات اشتباه دربارۀ SSL صحبت کنیم، اگر با مفهوم SSL آشنایی ندارید، حتماً مقاله مذکور را بخوانید.

خب؛ خیلی‌ها فکر می‌کنند که اگر سایتی آیکون قفل سبز رنگ را داشت، امن است و امکان ندارد کلاه‌شان برداشته شود! در این مقاله متوجه می‌شوید که همیشه هم اینطور نیست و SSL رایگان هم یک سری معایب دارد.

ابتدا بیایید با Let’s Encrypt آشنا شویم.

Let’s Encrypt چیست؟

Let’s Encrypt یک گواهی رایگان است که توسط گروه تحقیقاتی امنیت اینترنت ISRG ارائه می‌شود. مأموریت ISRG کاهش موانع مالی، تکنولوژیکی و آموزشی برای برقراری ارتباط ایمن از طریق اینترنت است.

داخل پرانتز: در مقاله «SSL رایگان چیست؟» می‌توانید دربارۀ انواع روش‌های دریافت گواهی رایگان SSL بخوانید.Let’s Encrypt

چند سالی است که Let’s Encrypt با کمک و همکاری شرکت‌ها و بنیادهایی مانند موزیلا، سیسکو، فیسبوک و … سرویس CA (مخفف Certification Authority) را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و رایگان ایجاد کرده است. با کمک این CA، تا الان سایت‌های زیادی توانسته‌اند به شکل رایگان و بدون هیچ دردسری گواهی HTTPS دریافت کنند.
این سرویس می‌تواند به امن‌تر کردن وب کمک کند و شنود پیام‌ها را برای دیگران سخت کند. اما بیایید زود نتیجه‌گیری نکنیم؛ این سرویس معایبی هم دارد!

معایب Let’s Encrypt چیست؟

خبر بد این است که از آنجا که این سرویس رایگان است، کلاه‌برداران هم می‌توانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند!

در دو عکس زیر صفحات فیشینگ سایت یک بانک را می‌بینید. تصویر اول  صفحه فیشینگ بدون گواهی و تصویر دوم صفحه فیشینگ با گواهی است. بیشتر کاربران وجود گواهی HTTPS (علامت قفل سبز رنگ) را دلیلی بر اصالت صفحه می‌دانند و به صفحات فیشینگ با این مشخصات اعتماد می‌کنند.

صفحه ورود بانک با گواهینامه SSL معتبر
صفحه فیشینگ ورود به بانک با گواهینامه SSL

LetsEncrypt و سایر CA ها بررسی دامنه و حذف صفحات فیشینگ را وظیفه خود نمی‌دانند. در حقیقت CA ها معتقدند با حملات فیشینگ باید در سطوح پایین‌تر مقابله شود. به عنوان مثال فروشنده دامنه یا هاست باید سایت‌های آلوده را شناسایی و حذف کند؛ یا مرورگرها نباید سایت‌های آلوده را نمایش دهند.

با این وجود Let’s Encrypt با استفاده از سرویس SafeBrowsing دامنه‌ها را بررسی می‌کند و به دامنه‌هایی که به عنوان دامنه‌های خطرناک ثبت شده‌اند خدمات نمی‌دهند.

صبر کنید! با اینکه این روش می‌تواند تا حدودی مشکلات امنیتی را کاهش دهد، اما همیشه هم کارگشا نیست!

سایت‌ها می‌توانند بعد از دریافت گواهی محتویات خود را تغییر دهند. بنابراین به نظر می‌رسد بهترین راه مقابله با این کلاه‌برداری‌ها آموزش کاربران است. عموم کاربران تصور می‌کنند علامت و قفل سبز رنگ کنار یک سایت درستی محتویات سایت را نیز تایید می‌کند، در صورتی که این تصور اشتباه است.

بهتر است برای درک بهتر این موضوع با گواهی‌نامه DV (یکی از انواع گواهینامه‌های اس اس ال) آشنا شویم.

گواهینامه DV چیست؟

گواهی‌نامه Domain-validated certificate که به صورت مخفف DV نامیده می‌شود، گواهی‌نامه‌ای است که موجودیت درخواست‌کننده گواهینامه را تنها با نام دامنه تایید می‌کند. در این گواهی‌نامه درخواست‌کننده گواهی‌نامه باید به یکی از روش‌های زیر مالکیت بر دامنه را تصدیق کند: 👇

  1. صادرکننده گواهی، ایمیلی به آدرس ایمیل که در DNS مشخص شده ارسال می‌کند و درخواست‌کننده باید به این ایمیل جواب دهد.
  2. صادرکننده گواهی، ایمیلی به آدرس‌های ایمیل مشخص مانند admin@domain.com و یا webmaster@domain.com ارسال می‌کند و درخواست کننده باید به این ایمیل جواب دهد.
  3. درخواست‌کننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt اختصاصی برای دامنه بسازد.
  4. بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.

در صورتی که درخواست‌کننده گواهی به یکی از روش‌های بالا بتواند مالکیت بر دامنه را اثبات کند، صادرکننده برای این دامنه یک گواهی تایید صادر می‌کند. به بیان دیگر گواهی DV تنها مالکیت بر یک دامنه را اثبات می‌کند. گواهی‌نامه DV عموما به صورت خودکار صادر می‌شود. LetsEncrypt گواهی‌نامه DV صادر می‌کند در نتیجه تنها می‌تواند مالکیت دامنه را اثبات کند.

💡 بنابراین به نظر می‌رسد بهترین راه مقابله با حملات فیشینگ توجه بیشتر به آدرس سایتی است که بازدید می‌کنیم.

نکات پایانی برای کاربران

همانطور که گفتیم، بهترین راه‌حل جلوگیری از کلاهبرداری فیشینگ، این است که کاربران را از خطرات و نحوۀ تشخیص آن آگاه کنیم! به‌نظرم، امروز بهترین فرصت برای این کار است. ما قبلاً مقاله‌هایی را برای شما در ابن رابطه آماده کرده‌ایم؛ پیشنهاد می‌کنم حتماً این مقالات را بخوانید و اگر مفید، به اشتراک بگذارید:

برای بالا بردن امنیت وب‌سایت و فراهم کردن تجربه‌ای خوب برای کاربران، همین امروز به فکر تهیه یک گواهی SSL معتبر باشید.

خرید گواهینامه SSL        پشتیبانی : ۳۱۷۷۶-۰۵۱
3/5 - (4 امتیاز)

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نصب وردپرس روی پلسک

نصب وردپرس روی پلسک

0
  زمانی که صحبت از کنترل پنل‌های هاستینگ وب می‌شود، ابزار پلسک (Plesk) یکی از بهترین گزینه‌ها برای کسب‌وکارهای کوچک و بزرگ به حساب می‌آید.…
بلاک کردن آی پی در htaccess

آموزش بلاک کردن آی پی در فایل htaccess

0
بلاک کردن آی پی در فایل htaccess، درِ ورود سایتتان را روی مهمانان پردردسرِ ناخوانده‌ می‌بندد. اگر می‌خواهید کنترل ترافیک ورودی به سایتتان را به…

نظرات کاربران

6 دیدگاه. دیدگاه تازه ای بنویسید

  • امیر شاه امیری
    1 خرداد 1398 17:16

    سلام من هنگام فعال سازی ssl شرکت lets encrypt از دایرکت ادمین به ارور زیر بر میخورم مشکل از کجاست؟

    Requesting new certificate order…
    Processing authorization for http://www.bisro.ir...
    Waiting for domain verification…
    Trying again…
    1..2..3..4..5..
    Challenge status: invalid. Challenge error: “type”: “http-01”, “status”: “invalid”, “error”: { “type”: “urn:ietf:params:acme:error:connection”, “detail”: “Fetching http://www.bisro.ir/.well-known/acme-challenge/eoZp8dFUkBYj0lVp5vvxduwrRd3h619rzS75TG-2WmM: Timeout during connect (likely firewall problem)”, “status”: 400 . Exiting…

    پاسخ
    • سلام
      در گام اول بررسی کنید که dns های دامنه صحیح بوده و بروز شده است.
      در گام دوم پینگ دامنه از داخل سرور را بررسی کنید که ip اصلی سرور را نمایش دهد.
      در گام سوم دستورات زیر را در سرور اجرا کنید:
      cd /usr/local/directadmin/custombuild
      ./build update
      ./build letsencrypt

      پاسخ
  • اسماعیل
    4 شهریور 1400 03:32

    عالی متشکر

    پاسخ
  • سلام،مطلب بسیار مفید بود
    متاسفانه این تصور اشتباه هنوز هم بین مردم رواج داره
    واقعا ssl دلیل بر معتبر بودن سایت نیست
    مثلا ممکنه یه نفر از یه سایت ساز رایگان که خودشssl داره سایت زده باشه مثل همین سایت ساز خارجی google sites که کلی توش سایت کلاه برداری هست و ssl هم داره پس ربطی نداره
    ممنون که به مردم اطلاع رسانی میکنید.

    پاسخ
    • سمیرا سرباز
      30 بهمن 1400 10:35

      سلام دوست عزیز
      کاملاً درسته؛ ممنون که وقت گذاشتید و نظرتون رو بیان کردید

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست