مرگ تدریجی لایه حفاظتی وب

حتما در روزهای قطع اینترنت برای ورود به برخی از وب‌سایت‌ها با هشداری امنیتی روی مرورگرتان مواجه شده‌اید. علت این مسئله به قطع بودن اینترنت باز می‌گردد.

در ادامه گفت‌وگوی دیجیاتو با یک کارشناس امنیت شبکه را می‌خوانید که توضیح می‌دهد قطع اینترنت چطور باعث تمدید نشدن گواهی‌های SSL و در خطر قرار گرفتن امنیت کاربران شده است.

اما پیش از آن به زبان ساده در مورد گواهی SSL توضیح خواهیم داد.

گواهی SSL چیست؟
گواهی SSL یک فایل دیجیتال است که باعث می‌شود ارتباط بین مرورگر شما و یک وب‌سایت امن و رمزگذاری‌شده باشد. وقتی سایتی گواهی SSL دارد، آدرس آن با https شروع می‌شود و معمولاً کنار آن یک علامت قفل دیده می‌شود.

کار اصلی SSL این است که اطلاعاتی مثل رمز عبور، اطلاعات شخصی یا شماره کارت بانکی را به‌صورت رمزنگاری‌شده ارسال کند تا اگر کسی در مسیر ارتباط باشد، نتواند آن‌ها را بخواند یا تغییر دهد.

این گواهی‌ها توسط شرکت‌هایی به نام مرجع صدور گواهی (CA) صادر می‌شوند و مرورگرها به آن‌ها اعتماد دارند. به همین دلیل وقتی وارد یک سایت دارای SSL می‌شوید، مرورگر به شما هشدار امنیتی نمی‌دهد.

اگر سایتی SSL نداشته باشد، مرورگر آن را ناامن تشخیص می‌دهد. به‌طور خلاصه، SSL برای حفظ امنیت، حریم خصوصی و اعتماد کاربران در اینترنت ضروری است.

قطع اینترنت تمدید گواهی SSL را دچار مشکل کرده است
«عرفان قلی‌زاده»، کارشناس امنیت شبکه و مهندس DevOps در گفت‌وگو با دیجیاتو مشکلات ناشی از تمدید نشدن SSL وب‌سایت‌ها را دسته‌بندی کرده و می‌گوید:

مشکلات در چند دسته‌ هستند: اگر قطع اینترنت طولانی شود و از یک هفته بگذرد چند مشکل پیش می‌آید. یکی از مشکلات تمدید این گواهی‌ها است. سرتیفیکیت‌ها به دلیل امنیت زمانی بین ۳ ماه تا یک سال دارند. اگر این زمان بگذرد کاربر برای دسترسی به وب‌سایت دچار مشکل می‌شود. در این صورت یا مجبور است به سرتیفیکیت منقضی‌شده اعتماد کند و به‌صورت غیر امن وارد سایت شود یا از بازدید سایت محروم شود.

او ادامه می‌دهد:

مسئله دیگر CRL (Certificate Revocation List) است که لیستی از کسانی است که به هر دلیلی مانند نشت اطلاعات یا هر چیز دیگری تمایل دارند گواهی خود را لغو کنند. لیست CRL لیست دامنه‌هایی است که گواهی برایشان منقضی شده است و هر کسی بخواهد زودهنگام SSL را از بین ببرد باید درخواست CRL بدهد، سرتیفیکیت قبلی را Revoke و کند و گواهی جدید را نصب کند. در شرایط قطع اینترنت دسترسی به این لیست وجود ندارد.

قلی‌زاده در مورد اختلال زمانی سخت‌افزارها نیز می‌گوید:

پیامدهای دیگری هم وجود دارد. یکی از آنها بحث NTP یا همان Network Time Protocol است که در زمان قطع اینترنت سرورها به مشکل می‌خورند. با این اتفاق دستگاه‌های سخت‌افزاری شبکه به مشکل می‌خورند و زمانی که زمان به مشکل بخورد چون TLS بر پایه زمان است، گواهی شما ممکن است معتبر باشد اما از کار بیفتد.

به‌گفته این کارشناس، ارائه‌دهندگان خدمات ابری که پیش از این می‌توانستند گواهی SSL صادر کنند نیز با قطع اینترنت دیتاسنترها به مشکل خورده‌اند.

ممکن است گواهی داخلی صادر شود

او در مورد مشکل دیگری که ممکن است در آینده رخ دهد نیز هشدار می‌دهد:

اگر قطع اینترنت بیشتر طول بکشد مشکل به‌روز نشدن مرورگرها و سیستم‌ عامل‌ها نیز به وجود می‌آید. با قطعی بیش از این هم ممکن است مانند روسیه و چین به کاربران سرتیفکیت‌هایی داخلی بدهند تا روی مرورگر یا سیستم عامل نصب کنند که عملا بحث بی‌طرفی شبکه اینترنت را زیر سوال می‌برد. ارائه‌دهنده این سرتیفیکیت‌ها در آن صورت می‌توانند به وسیله این گواهی‌ها به اطلاعات تبادل‌شده دسترسی داشته باشند. با قطع اینترنت یکی از نگرانی‌ها می‌تواند رفتن به این سمت باشد.