خیلی از افراد فکر می‌کنند که اگر وب‌سایتی دارای آیکون قفل سبز رنگ در کنار نام دامنه خود باشد دیگر با خیال راحت می‌توانند به آن اطمینان کنند. در این مقاله متوجه می‌شوید که همیشه هم اینطور نیست و SSL رایگان هم یک سری معایب دارد. بنابراین اگر می‌‌خواهید در دام فیشینگ یا کلاهبرداری اینترنتی نیافتید، تا انتهای این مطلب همراه باشید. البته پیش از هر چیز باید با Let’s Encrypt آشنا شوید.

Let’s Encrypt

Let’s Encrypt یک گواهی رایگان بوده و با هدف کاهش موانع مالی، تکنولوژیکی و آموزشی برای برقراری ارتباط ایمن از طریق اینترنت عرضه شده است.

چند سالی است که Let’s Encrypt  با کمک و همکاری غول‌های تکنولوژی مانند Mozilla،  Cisco و … سرویس CA  را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و رایگان ایجاد کرده است. با کمک این گواهینامه، تا لحظه نگارش این مقاله سایت‌های زیادی توانسته‌اند به صورت کاملا رایگان و بدون هیچ دردسری گواهی HTTPS دریافت کنند.
این سرویس با این ویژگی‌های منحصربفرد به نظر می‌رسد که پیک سعادتی برای کاربران اینترنتی است. اما بیایید زود نتیجه‌گیری نکنیم؛ این سرویس معایبی هم دارد!

معایب Let’s Encrypt

با توجه به این که این سرویس رایگان است، کلاه‌برداران هم می‌توانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند! اما اگر برای شما این سوال پیش آمده که این عبارت به چه معناست، باید بگوییم که فیشینگ روشی برای جمع آوری اطلاعات شخصی افراد با استفاده از ایمیل ها و وب سایت های فریبنده و  یکی از رایج ترین حملات سایبری است.

در این روش شخص کلاهبردار خود را به عنوان یک شرکت یا نهاد معتبر جا می‌زند و تا بتواند اطلاعات حساس کاربران مانند شماره کارت، نام کاربری و رمز عبور را از آن‌ها بدزدد.

در دو عکس زیر صفحات Phishing سایت یک بانک را می‌بینید. عکس اول  صفحه فیشینگ بدون گواهی و عکس دوم صفحه فیشینگ با‌گواهی است. وجود گواهی HTTPS (علامت قفل سبز رنگ) موجب می‌شود که کاربران به این وب‌سایت اعتماد کنند و اطلاعات محرمانه خود را به راحتی در اختیار آن‌ها قرار دهند.

معایب Let’s Encrypt

معایب Let’s Encrypt

گواهینامه‌های رایگان معمولا حذف صفحات Phishing را وظیفه خود نمی‌دانند در واقع این کار را وظیفه فروشنده دامنه یا هاست و گاهی مرورگرها می‌دانند!

گواهی‌نامه SSL  معتبر

SSL  مخفف Secure Sockets Layer است. از این پروتکل در اینترنت برای تامین امنیت داده‌هایی که در شبکه منتقل می‌شوند، استفاده می‌شود. برای مثال، داده‌هایی که بین مرورگر کاربر و وب‌سایتی که از آن بازدید می‌کنند.

SSL که گاهی از آن با عنوان TLS نام برده می‌شود، پروتکلی برای رمزگذاری ترافیک اینترنت و تایید هویت سرور است. هر وب‌سایتی با آدرس وب HTTPS از SSL/TLS استفاده می‌کند.

SSL  با رمزگذاری انتقال داده بین مرورگر کاربر و سرورهای وب‌سایت، از داده‌ها در زمان تبادل در شبکه محافظت می‌کند. هنگامی که کاربر از وب‌سایت با پروتکل HTTPS بازدید می‌کند، ابتدا مرورگر وی معتبر بودن گواهی SSL وب‌سایت را تایید می‌کند.

در صورتی که همه‌ی موارد معتبر بودند، مرورگر از کلید عمومی وب‌سایت برای رمزگذاری داده‌ها استفاده می‌کند تا داده‌هایی که نیاز است به سرور مورد نظر (وب‌سایت) ارسال شود، به صورت رمزنگاری شده ارسال شود. سپس این داده‌ها، در سرور وب‌سایت با استفاده از ترکیبی از کلید عمومی و کلید خصوصی، که فقط در اختیار مالک وب‌سایت است، رمزگشایی شده و مورد استفاده قرار می‌گیرد.

برای استفاده از ارتباط HTTPS نیاز به خرید ssl معتبر است، چرا که در صورت استفاده از گواهینامه غیرمعتبر، کاربران سایت شما در معرض حملات سایبری قرار خواهند گرفت.

آیا با وجود گواهینامه SSL باز هم امکان کلاهبرداری وجود دارد؟

گواهی نامه DV SSL

یکی از انواع SSL ، domain validation است. در فرآیند صدور گواهینامه  DV SSL، تنها نام دامنه شما توسط شرکت صادر کننده، تایید و احراز خواهد شد. در واقع سازمان صادر کننده، طی فرآیندی مطمئن می شود که نام دامنه‌ای که برای آن درخواست صدور گواهی نامه دریافت کرده است، حتماً در اختیار شخص درخواست دهنده قرار دارد. پس در این نوع گواهی نامه امنیتی، علاوه بر رمزنگاری ارتباط ها، نام دامنه شما هم احراز خواهد شد.

در این گواهی‌نامه درخواست‌کننده گواهی‌نامه باید به یکی از روش‌های زیر مالکیت بر دامنه را تصدیق کند

  1. صادرکننده گواهی، ایمیلی به آدرس ایمیل که در DNS  مشخص شده ارسال می‌کند و درخواست‌کننده باید به این ایمیل جواب دهد.
  2. صادرکننده گواهی، ایمیلی به آدرس‌های ایمیل مشخص مانند admin@domain.com  و یا webmaster@domain.com  ارسال می‌کند و درخواست کننده باید به این ایمیل جواب دهد.
  3. درخواست‌کننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt اختصاصی برای دامنه بسازد.
  4. بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.

سخن پایانی

در این نوشتار سعی کردیم شما را از اهمیت گواهینامه‌ نامه‌های معتبر SSL مطلع کنیم. چنانچه سوالی در این زمینه دارید با ما تماس بگیرید تا در اسرع وقت پاسخگوی شما باشیم.