۱۴۰۳-۰۹-۰۴

آیا فیشینگ در سایت‌ هایی که گواهی SSL دارند غیرممکن است؟!

چرا باید از گواهینامه امنیتی پولی استفاده کنیم؟

lets encrypt

قبلا در مقالات متعددی در خصوص لزوم استفاده از گواهینامه امنیتی SSL معتبر صحبت کرده ایم. اما با این حال بازهم افرادی هستند که بنابر دلایل متفاوت از SSL رایگان استفاده می کنند. با توجه به تعریفی که در خصوص امنیت سایت با استفاده از گواهینامه امنیتی وچود دارد، لازم است تا در خصوص گواهینامه های امنیتی و میزان اعتبار آن ها صحبت کنیم. آیا فیشینگ در سایت هایی از گواهی SSL دارند غیرممکن است؟ آیا استفاده از گواهینامه امنیتی موجب افزایش امنیت وب سایت و کاهش کلاه برداری های اینترنتی می شود؟

برای این که از معایب و خطراتی که ممکن است یک گواهینامه امنیتی SSL رایگان برای یک وب سایت به همراه داشته باشد، مطلع شوید، لازم است تا با گواهینامه های Lets Encrypt آشنا باشید.

جدید: نصب SSL در پلسک

Lets Encrypt چیست؟

Let’s Encrypt در اصل یک گواهی امنیتی رایگان متعلق به گروه تحقیقاتی امنیت اینترنت با نام ISRG است. تمرکز این گروه بر روی کاهش موانع تکنولوژیکی، مالی و آموزشی قرار دارد و سعی دارند امکان برقراری ارتباطی ایمن از طریق اینترنت را فراهم کنند. کاربرد گواهی Let’s Encrypt طی چند سال اخیر بیشتر شده و آن‌ها با همکاری شرکت‌های معتبری چون فیس بوک، سیسکو و موزیلا، سرویس CA را ایجاد کرده‌ اند که مخفف Certification Authority است.

این سرویس با هدف ارائه رایگان و آزاد گواهی HTTPS ایجاد شده است. سرویس CA به بسیاری از سایت ها کمک کرده تا گواهی HTTPS را بسیار راحت و بدون هیچ دردسری دریافت کنند. موضوعی که امکان شنود پیام‌ ها را برای دیگران سخت می‌کند و در نهایت باعث افزایش امنیت وب می‌شود. البته این تمام ماجرا نیست و این گواهی با مشکلاتی هم همراه است که در ادامه آنها را بررسی خواهیم کرد.

معایب گواهی امنیتی Lets Encrypt چیست؟

آیا فیشینگ در سایت هایی که SSL دارند غیر ممکن است؟

رایگان بودن این گواهی باعث شده که حتی کلاهبردار‌ های اینترنتی هم بتوانند از گواهی HTTPS برای سایت فیشینگ خود استفاده کنند. چون به وجود آورندگان گواهی LetsEncrypt و سایر CA ها معتقدند که مقابله با حملات فیشینگ باید در سطوح پایین‌تری انجام شود. به همین دلیل کارهای مربوط به حذف صفحات فیشینگ و یا بررسی دامنه‌ ها را وظیفه خود نمی‌دانند.

یعنی فروشندگان دامنه و سایت باید چنین سایت‌ های آلوده را شناسایی کرده و آنها را حذف کنند. و یا این‌که مرورگرها به چنین سایت‌ هایی اجازه نمایش را ندهند. اما علی رغم ساقط کردن وظیفه مقابله با سایت های فیشینگ، Let’s Encrypt از سرویس SafeBrowsing برای بررسی دامنه‌ ها استفاده می‌کند و به سایت‌ هایی با دامنه خطرناک اجازه دسترسی به خدمات را نمی‌دهد. البته راه‌های کلاهبرداری بسیار زیاد است و مطمئنا به تنهایی نمی‌توان از یک روش استفاده کرد.

چون امکان دارد که سایت‌ ها بعد از دریافت این گواهی، ماهیت فعالیت خود را تغییر دهند. پس بهترین راه برای مقابله با کلاهبرداران، آموزش کاربران سایت‌ های اینترنتی است. چون کاربران به سایت‌ هایی با علامت و قفل سبز رنگ اعتماد دارند و با اطمینان از آن‌ها استفاده می‌کنند. در حالی که این تصوری اشتباه است و داشتن چنین علامتی را نمی‌توان نشان بر مطمئن بودن یک سایت قرار داد.

به عنوان مثال، در تصاویر زیر صفحات فیشینگ سایت یک بانک را مشاهده می‌کنید. یکی از این تصاویر مربوط به صفحه فیشینگ بدون گواهی است و دیگری صفحه فیشینگ با گواهی رایگان. اکثر کاربران در نگاه اول به قفل سبز رنگ صفحه دقت کرده و به آن اطمینان می‌ کنند!

سایت های فیشینگ

سایت اصلی

صفحات فیشینگ

سایت فیشینگ

همانطور که در ۲ تصویر فوق مشاهده می کنید، تشخیص و تفاوت قائل شدن بین این دو سایت کار دشواری است و باید دقت زیادی به خرج دهید. داشتن قفل کنار نام دامنه، به تنهایی برای تشخیص فیشینگ نبودن یک سایت کافی نیست. در ادامه این مطلب و برای درک بهتر موضوع، یکی از انواع گواهینامه‌ های اس اس ال با نام گواهینامه DV را تعریف می کنیم.

گواهینامه DV چیست؟

نوع سخت گیرانه‌ ای از گواهینامه اس اس ال به نام Domain-validated certificate یا به طور مخفف، DV وجود دارد. گواهینامه‌ ای که موجودیت درخواست کننده گواهینامه را تنها با نام دامنه تایید می‌کند. چهار روش مختلف برای تصدیق مالکیت درخواست کننده بر دامنه وجود دارد که در ادامه آن‌ها را معرفی می‌کنیم.

۱ – فرد درخواست کننده گواهی باید برای دامنه، یک رکورد txt اختصاصی متناسب با درخواست صادر کننده بسازد.

۲ – درخواست کننده باید به ایمیل صادر کننده گواهی، جواب دهد. آدرس ایمیل مورد نظر همانی است که در DNS مشخص شده است.

۳ – متقاضی باید متناسب با درخواست صادر کننده گواهی، یک Cryptographic nonce منتشر کند.

۴ – درخواست کننده باید به ایمیل‌ هایی که صادر کننده به آدرس های [email protected] و یا [email protected] ارسال می‌کند، جواب دهد. این ایمیل‌ ها توسط صادرکننده گواهی ارسال می‌شود.

پس از اینکه درخواست کننده مالکیت خود بر دامنه درخواستی را به یکی از روش های بالا ثابت کرد، گواهی تایید برای دامنه مزبور صادر می‌شود. یعنی می‌توان گفت که گواهینامه DV تنها مالکیت بر دامنه را ثابت می‌کند. این گواهینامه عموما به صورت خودکار و توسط LetsEncrypt صادر می‌شود.

پس تنها می‌تواند مالکیت دامنه را ثابت کند و همچنان ریسک فیشینگ و تغییر محتویات سایت وجود دارد. به همین دلیل لازم است که کاربران اینترنتی به آدرس سایت مورد استفاده خود دقت کنند.

گواهینامه امنیتی

سخن آخر

در این مطلب از وبلاگ سرورپارس به بررسی گواهینامه های امنیتی Lets Encrypt پرداختیم. گفتیم که برای تامین امنیت وب سایت خود بهتر است از یک گواهینامه معتبر استفاده کنید. همچنین توچه داشته باشید که تمامی سایت هایی که از این گواهینامه استفاده می کنند، ریسک فیشینگ دارند. بنابراین باید تمهیدات دیگری نیز برای مراقبت از اطلاعات خود بیندیشید.

مطالب مرتبط:

اشتراک‌گذاری

یک نظر

    1. قره گزلو پاسخ

      سلام دوست عزیز
      بله ممکنه.
      برای امنیت وب سایت فاکتورهای زیادی وجود داره که باید به اونها توجه کرد و با توجه به این که خیلی از سایت ها از SSL رایگان و غیر معتبر استفاده میکنن، امکان فیشینگ وجود داره..

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *