بحران تمدید SSL در دوران قطع اینترنت، امنیت کاربران را به خطر انداخته است

حتما در روزهای قطع اینترنت برای لاگین به برخی از وب‌سایت‌ها با هشداری ایمنیی روی مرورگرتان مواجه شده‌اید. علت این مسئله به قطع بودن اینترنت باز می‌گردد.

سپس گفت‌وگوی دیجیاتو با یک کارشناس ایمنی شبکه را می‌خوانید که توضیح می‌دهد قطع اینترنت چطور باعث تمدید نشدن گواهی‌های SSL و در خطر قرار گرفتن ایمنی یوزران شده است.

اما پیش از آن به زبان ساده در مورد گواهی SSL توضیح خواهیم داد.

گواهی SSL چیست؟

گواهی SSL یک فایل دیجیتال است که باعث می‌شود ارتباط بین مرورگر شما و یک وب‌سایت امن و رمزگذاری‌شده باشد. وقتی سایتی گواهی SSL دارد، آدرس آن با https شروع می‌شود و معمولاً کنار آن یک علامت قفل دیده می‌شود.

کار اصلی SSL این است که اطلاعاتی مثل پسورد، اطلاعات شخصی یا شماره کارت بانکی را به‌صورت رمزنگاری‌شده فرستادن کند تا اگر کسی در مسیر ارتباط باشد، نتواند آن‌ها را بخواند یا تغییر دهد.

این گواهی‌ها توسط شرکت‌هایی به نام مرجع صدور گواهی (CA) صادر می‌شوند و مرورگرها به آن‌ها اعتماد دارند. به همین دلیل وقتی وارد یک سایت دارای SSL می‌شوید، مرورگر به شما هشدار ایمنیی نمی‌دهد.

اگر سایتی SSL نداشته باشد، مرورگر آن را ناامن تشخیص می‌دهد. به‌طور خلاصه، SSL برای حفظ ایمنی، حریم خصوصی و اعتماد یوزران در اینترنت باید.

قطع اینترنت تمدید گواهی SSL را دچار مشکل کرده است

«عرفان قلی‌زاده»، کارشناس ایمنی شبکه و مهندس DevOps در گفت‌وگو با دیجیاتو مشکلات ناشی از تمدید نشدن SSL وب‌سایت‌ها را دسته‌بندی کرده و می‌گوید:

مشکلات در چند دسته‌ هستند: اگر قطع اینترنت طولانی شود و از یک هفته بگذرد چند مشکل پیش می‌آید. یکی از مشکلات تمدید این گواهی‌ها است. سرتیفیکیت‌ها به دلیل ایمنی زمانی بین ۳ ماه تا یک سال دارند. اگر این زمان بگذرد یوزر برای اجازه دسترسی به وب‌سایت دچار مشکل می‌شود. در این صورت یا مجبور است به سرتیفیکیت منقضی‌شده اعتماد کند و به‌صورت غیر امن وارد سایت شود یا از بازدید سایت محروم شود.

او ادامه دادن می‌دهد:

مسئله دیگر CRL (Certificate Revocation List) است که لیستی از کسانی است که به هر دلیلی مانند نشت اطلاعات یا هر چیز دیگری تمایل دارند گواهی خود را کنسل کنند. لیست CRL لیست دامنه‌هایی است که گواهی برایشان منقضی شده است و هر کسی بخواهد زودهنگام SSL را از بین ببرد باید درخواست CRL بدهد، سرتیفیکیت قبلی را Revoke و کند و گواهی جدید را شروع کردن کردن کند. در شرایط قطع اینترنت اجازه دسترسی به این لیست وجود ندارد.

قلی‌زاده در مورد اختلال زمانی سخت‌افزارها نیز می‌گوید:

نوتیفیکیشندهای دیگری هم هست. یکی از آنها بحث NTP یا همان Network Time Protocol است که در زمان قطع اینترنت سرورها به مشکل می‌خورند. با این اتفاق دستگاه‌های سخت‌افزاری شبکه به مشکل می‌خورند و زمانی که زمان به مشکل بخورد چون TLS بر پایه زمان است، گواهی شما ممکن است معتبر باشد اما از کار بیفتد.

به‌گفته این کارشناس، ارائه‌دهندگان خدمات ابری که پیش از این می‌توانستند گواهی SSL صادر کنند نیز با قطع اینترنت دیتاسنترها به مشکل خورده‌اند.

ممکن است گواهی داخلی صادر شود

او در مورد مشکل دیگری که ممکن است در آینده رخ دهد نیز هشدار می‌دهد:

اگر قطع اینترنت بیشتر طول بکشد مشکل به‌روز نشدن مرورگرها و سیستم‌ عامل‌ها نیز به وجود می‌آید. با قطعی بیش از این هم ممکن است مانند روسیه و چین به یوزران سرتیفکیت‌هایی داخلی بدهند تا روی مرورگر یا سیستم عامل شروع کردن کردن کنند که عملا بحث بی‌طرفی شبکه اینترنت را زیر سوال می‌برد. ارائه‌دهنده این سرتیفیکیت‌ها در آن صورت می‌توانند به وسیله این گواهی‌ها به اطلاعات تبادل‌شده اجازه دسترسی داشته باشند. با قطع اینترنت یکی از نگرانی‌ها می‌تواند رفتن به این سمت باشد.