خیلی از افراد فکر میکنند که اگر وبسایتی دارای آیکون قفل سبز رنگ در کنار نام دامنه خود باشد دیگر با خیال راحت میتوانند به آن اطمینان کنند. در این مقاله متوجه میشوید که همیشه هم اینطور نیست و SSL رایگان هم یک سری معایب دارد. بنابراین اگر میخواهید در دام فیشینگ یا کلاهبرداری اینترنتی نیافتید، تا انتهای این مطلب همراه باشید. البته پیش از هر چیز باید با Let’s Encrypt آشنا شوید.
Let’s Encrypt
Let’s Encrypt یک گواهی رایگان بوده و با هدف کاهش موانع مالی، تکنولوژیکی و آموزشی برای برقراری ارتباط ایمن از طریق اینترنت عرضه شده است.
چند سالی است که Let’s Encrypt با کمک و همکاری غولهای تکنولوژی مانند Mozilla، Cisco و … سرویس CA را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و رایگان ایجاد کرده است. با کمک این گواهینامه، تا لحظه نگارش این مقاله سایتهای زیادی توانستهاند به صورت کاملا رایگان و بدون هیچ دردسری گواهی HTTPS دریافت کنند.
این سرویس با این ویژگیهای منحصربفرد به نظر میرسد که پیک سعادتی برای کاربران اینترنتی است. اما بیایید زود نتیجهگیری نکنیم؛ این سرویس معایبی هم دارد!
معایب Let’s Encrypt
با توجه به این که این سرویس رایگان است، کلاهبرداران هم میتوانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند! اما اگر برای شما این سوال پیش آمده که این عبارت به چه معناست، باید بگوییم که فیشینگ روشی برای جمع آوری اطلاعات شخصی افراد با استفاده از ایمیل ها و وب سایت های فریبنده و یکی از رایج ترین حملات سایبری است.
در این روش شخص کلاهبردار خود را به عنوان یک شرکت یا نهاد معتبر جا میزند و تا بتواند اطلاعات حساس کاربران مانند شماره کارت، نام کاربری و رمز عبور را از آنها بدزدد.
در دو عکس زیر صفحات Phishing سایت یک بانک را میبینید. عکس اول صفحه فیشینگ بدون گواهی و عکس دوم صفحه فیشینگ باگواهی است. وجود گواهی HTTPS (علامت قفل سبز رنگ) موجب میشود که کاربران به این وبسایت اعتماد کنند و اطلاعات محرمانه خود را به راحتی در اختیار آنها قرار دهند.
گواهینامههای رایگان معمولا حذف صفحات Phishing را وظیفه خود نمیدانند در واقع این کار را وظیفه فروشنده دامنه یا هاست و گاهی مرورگرها میدانند!
گواهینامه SSL معتبر
SSL مخفف Secure Sockets Layer است. از این پروتکل در اینترنت برای تامین امنیت دادههایی که در شبکه منتقل میشوند، استفاده میشود. برای مثال، دادههایی که بین مرورگر کاربر و وبسایتی که از آن بازدید میکنند.
SSL که گاهی از آن با عنوان TLS نام برده میشود، پروتکلی برای رمزگذاری ترافیک اینترنت و تایید هویت سرور است. هر وبسایتی با آدرس وب HTTPS از SSL/TLS استفاده میکند.
SSL با رمزگذاری انتقال داده بین مرورگر کاربر و سرورهای وبسایت، از دادهها در زمان تبادل در شبکه محافظت میکند. هنگامی که کاربر از وبسایت با پروتکل HTTPS بازدید میکند، ابتدا مرورگر وی معتبر بودن گواهی SSL وبسایت را تایید میکند.
در صورتی که همهی موارد معتبر بودند، مرورگر از کلید عمومی وبسایت برای رمزگذاری دادهها استفاده میکند تا دادههایی که نیاز است به سرور مورد نظر (وبسایت) ارسال شود، به صورت رمزنگاری شده ارسال شود. سپس این دادهها، در سرور وبسایت با استفاده از ترکیبی از کلید عمومی و کلید خصوصی، که فقط در اختیار مالک وبسایت است، رمزگشایی شده و مورد استفاده قرار میگیرد.
برای استفاده از ارتباط HTTPS نیاز به خرید ssl معتبر است، چرا که در صورت استفاده از گواهینامه غیرمعتبر، کاربران سایت شما در معرض حملات سایبری قرار خواهند گرفت.
گواهی نامه DV SSL
یکی از انواع SSL ، domain validation است. در فرآیند صدور گواهینامه DV SSL، تنها نام دامنه شما توسط شرکت صادر کننده، تایید و احراز خواهد شد. در واقع سازمان صادر کننده، طی فرآیندی مطمئن می شود که نام دامنهای که برای آن درخواست صدور گواهی نامه دریافت کرده است، حتماً در اختیار شخص درخواست دهنده قرار دارد. پس در این نوع گواهی نامه امنیتی، علاوه بر رمزنگاری ارتباط ها، نام دامنه شما هم احراز خواهد شد.
در این گواهینامه درخواستکننده گواهینامه باید به یکی از روشهای زیر مالکیت بر دامنه را تصدیق کند
- صادرکننده گواهی، ایمیلی به آدرس ایمیل که در DNS مشخص شده ارسال میکند و درخواستکننده باید به این ایمیل جواب دهد.
- صادرکننده گواهی، ایمیلی به آدرسهای ایمیل مشخص مانند admin@domain.com و یا webmaster@domain.com ارسال میکند و درخواست کننده باید به این ایمیل جواب دهد.
- درخواستکننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt اختصاصی برای دامنه بسازد.
- بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.
سخن پایانی
در این نوشتار سعی کردیم شما را از اهمیت گواهینامه نامههای معتبر SSL مطلع کنیم. چنانچه سوالی در این زمینه دارید با ما تماس بگیرید تا در اسرع وقت پاسخگوی شما باشیم.