یادتان هست قبلاً در مقاله «SSL چیست» راجع‌به انواع گواهی‌نامه‌های SSL صحبت کردیم؟ امروز می‌خواهیم دربارۀ یکی از تصورات اشتباه دربارۀ SSL صحبت کنیم، اگر با مفهوم SSL آشنایی ندارید، حتماً مقاله مذکور را بخوانید.

خب؛ خیلی‌ها فکر می‌کنند که اگر سایتی آیکون قفل سبز رنگ را داشت، امن است و امکان ندارد کلاه‌شان برداشته شود! در این مقاله متوجه می‌شوید که همیشه هم اینطور نیست و SSL رایگان هم یک سری معایب دارد.

ابتدا بیایید با Let’s Encrypt آشنا شویم.

Let’s Encrypt چیست؟

Let’s Encrypt یک گواهی رایگان است که توسط گروه تحقیقاتی امنیت اینترنت ISRG ارائه می‌شود. مأموریت ISRG کاهش موانع مالی، تکنولوژیکی و آموزشی برای برقراری ارتباط ایمن از طریق اینترنت است.

داخل پرانتز: در مقاله «SSL رایگان چیست؟» می‌توانید دربارۀ انواع روش‌های دریافت گواهی رایگان SSL بخوانید.

چند سالی است که Let’s Encrypt با کمک و همکاری شرکت‌ها و بنیادهایی مانند موزیلا، سیسکو، فیسبوک و … سرویس CA (مخفف Certification Authority) را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و رایگان ایجاد کرده است. با کمک این CA، تا الان سایت‌های زیادی توانسته‌اند به شکل رایگان و بدون هیچ دردسری گواهی HTTPS دریافت کنند.
این سرویس می‌تواند به امن‌تر کردن وب کمک کند و شنود پیام‌ها را برای دیگران سخت کند. اما بیایید زود نتیجه‌گیری نکنیم؛ این سرویس معایبی هم دارد!

معایب Let’s Encrypt چیست؟

خبر بد این است که از آنجا که این سرویس رایگان است، کلاه‌برداران هم می‌توانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند!

در دو عکس زیر صفحات فیشینگ سایت یک بانک را می‌بینید. تصویر اول  صفحه فیشینگ بدون گواهی و تصویر دوم صفحه فیشینگ با گواهی است. بیشتر کاربران وجود گواهی HTTPS (علامت قفل سبز رنگ) را دلیلی بر اصالت صفحه می‌دانند و به صفحات فیشینگ با این مشخصات اعتماد می‌کنند.

LetsEncrypt و سایر CA ها بررسی دامنه و حذف صفحات فیشینگ را وظیفه خود نمی‌دانند. در حقیقت CA ها معتقدند با حملات فیشینگ باید در سطوح پایین‌تر مقابله شود. به عنوان مثال فروشنده دامنه یا هاست باید سایت‌های آلوده را شناسایی و حذف کند؛ یا مرورگرها نباید سایت‌های آلوده را نمایش دهند.

با این وجود Let’s Encrypt با استفاده از سرویس SafeBrowsing دامنه‌ها را بررسی می‌کند و به دامنه‌هایی که به عنوان دامنه‌های خطرناک ثبت شده‌اند خدمات نمی‌دهند.

صبر کنید! با اینکه این روش می‌تواند تا حدودی مشکلات امنیتی را کاهش دهد، اما همیشه هم کارگشا نیست!

سایت‌ها می‌توانند بعد از دریافت گواهی محتویات خود را تغییر دهند. بنابراین به نظر می‌رسد بهترین راه مقابله با این کلاه‌برداری‌ها آموزش کاربران است. عموم کاربران تصور می‌کنند علامت و قفل سبز رنگ کنار یک سایت درستی محتویات سایت را نیز تایید می‌کند، در صورتی که این تصور اشتباه است.

بهتر است برای درک بهتر این موضوع با گواهی‌نامه DV (یکی از انواع گواهینامه‌های اس اس ال) آشنا شویم.

گواهینامه DV چیست؟

گواهی‌نامه Domain-validated certificate که به صورت مخفف DV نامیده می‌شود، گواهی‌نامه‌ای است که موجودیت درخواست‌کننده گواهینامه را تنها با نام دامنه تایید می‌کند. در این گواهی‌نامه درخواست‌کننده گواهی‌نامه باید به یکی از روش‌های زیر مالکیت بر دامنه را تصدیق کند: 👇

1. صادرکننده گواهی، ایمیلی به آدرس ایمیل که در DNS مشخص شده ارسال می‌کند و درخواست‌کننده باید به این ایمیل جواب دهد.
2. صادرکننده گواهی، ایمیلی به آدرس‌های ایمیل مشخص مانند admin@domain.com و یا webmaster@domain.com ارسال می‌کند و درخواست کننده باید به این ایمیل جواب دهد.
3. درخواست‌کننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt اختصاصی برای دامنه بسازد.
4. بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.

در صورتی که درخواست‌کننده گواهی به یکی از روش‌های بالا بتواند مالکیت بر دامنه را اثبات کند، صادرکننده برای این دامنه یک گواهی تایید صادر می‌کند. به بیان دیگر گواهی DV تنها مالکیت بر یک دامنه را اثبات می‌کند. گواهی‌نامه DV عموما به صورت خودکار صادر می‌شود. LetsEncrypt گواهی‌نامه DV صادر می‌کند در نتیجه تنها می‌تواند مالکیت دامنه را اثبات کند.

💡 بنابراین به نظر می‌رسد بهترین راه مقابله با حملات فیشینگ توجه بیشتر به آدرس سایتی است که بازدید می‌کنیم.

نکات پایانی برای کاربران

همانطور که گفتیم، بهترین راه‌حل جلوگیری از کلاهبرداری فیشینگ، این است که کاربران را از خطرات و نحوۀ تشخیص آن آگاه کنیم! به‌نظرم، امروز بهترین فرصت برای این کار است. ما قبلاً مقاله‌هایی را برای شما در ابن رابطه آماده کرده‌ایم؛