تواناتک:
میدانید که عبارت "HTTPS" در ابتدای هر وبسایتی که باشد، نشان دهنده این
است که وبسایت مورد نظر از گواهینامه امنیتی "SSL" استفاده میکند که ضامن
امنیت و تأیید هویت است. بنابراین شما میفهمید که به وبسایتی که باید متصل
میشدید، وارد شدید و کسی نمیتواند شما را فریب دهد. اما این فقط یک
تئوری است، در عمل "SSL" در وبسایت، آنطور که تصور میکنید درست کار
نمیکند.
این به معنی این نیست که "HTTPS" و رمزگذاری "SSL" بیارزش هستند، همچنان که قطعاً بودن این ویژگیها بسیار بهتر از استفاده از وبسایت بدون رمزگذاری "HTTP" است. حتی در بدترین سناریوها، یک ارتباط مشکوک و مخرب "HTTPS" تازه به اندازه یک ارتباط "HTTP" ناامن خواهد بود.
۱. تعداد پرشمار صادر کنندگان گواهینامههای دیجیتال
در مرورگر شما لیستی از صادرکنندگان گواهینامههای معتبر و قابل اعتماد تعبیه شده است. مرورگرها تنها به گواهینامههایی اعتماد دارند که توسط این صادرکنندگان، امضا شده باشد. اگر از وبسایتی با آدرس "HTTPS" دیدن کنید، سرور این وبسایت، گواهینامه "SSL" را به شما نمایش میدهد و مرورگر شما چک میکند تا از صحت و اعتبار گواهینامه این وبسایت مطمئن شود. اگر گواهینامه توسط دامین دیگری امضا شده باشد و یا در لیست صادرکنندگان معتبر نباشد، مرورگر به شما یک هشدار جدی میدهد.
یکی از مهمترین مشکلات این است که تعداد صادرکنندگان گواهینامهها بسیار زیاد است. بنابراین، مشکل با یک صادرکننده گواهینامه روی همه تأثیر میگذارد. مثلاً شما میخواهید یک گواهینامه "SSL" برای دامین خودتان از "VeriSign" بگیرید، اما یک نفر دیگر نیز میتواند با فریب یک صادرکننده دیگر، یک گواهینامه دیگر برای دامین شما بگیرد. در نتیجه مشکلات آغاز میشود.
۲. صادرکنندگان گواهینامهها همیشه قابل اعتماد نیستند
مطالعات نشان میدهند که برخی از تولیدکنندگان گواهینامههای دیجیتال، کمترین تلاش و تستی هنگام صدور گواهینامه نمیکنند. آنها گواهینامههای "SSL" را برای آدرسهایی صادر میکنند که هرگز به این گواهینامه احتیاجی ندارند؛ مانند "localhost" که همیشه کامپیوتر لوکال را نمایش میدهد. در سال ۲۰۱۱، بنیاد مرز الکترونیک، بیش از ۲ هزار گواهینامه را برای "localhost" تشخیص داد که توسط صادکنندگان معتبر گواهینامههای دیجیتال امضا شده بودند.
اگر صادرکنندگان قابل اعتماد، گواهینامههای فراوانی را بدون تشخیص اینکه آدرسها معتبر هستند یا نه امضا کنند، بسیار طبیعی است که حدس بزنید چه اشتباهات فاحش دیگری نیز میکنند.
۳. صادرکنندگان گاهی مجبور میشوند گواهینامههای تقلبی امضا کنند
از آنجا که تعداد بسیاری صادرکننده در همه جای دنیا وجود دارد و هرکدام میتواند یک گواهینامه برای هر وبسایتی صادر کند، دولتها میتوانند صادرکنندگان را مجبور کنند تا گواهینامههای تقلبی برای وبسایتهای مورد نظر دولت، صادر کنند.
این مشکل اخیراً در فرانسه اتفاق افتاد، وقتی گوگل متوجه شد که برای سایت گوگل، یک گواهینامه تقلبی توسط صادرکنندهای فرانسوی به نام "ANSSI" امضا شده است. این صادرکننده به دولت فرانسه یا هرکس دیگری امکان داده است تا گوگل تقلبی را به جای گوگل واقعی جا بزند و از این طریق حملات دیجیتالی را به سادگی انجام دهد.
۴. ویژگی «امنیت رو به جلوی کامل»، همه جا استفاده نمیشود
بسیاری از وبسایتها از ویژگی «امنیت رو به جلوی کامل» استفاده نمیکنند، تکنیکی که شکستن رمزگذاریها را بسیار دشوار میکند. بدون این ویژگی، یک هکر میتواند حجم زیادی از اطلاعات رمز شده را به دست آورده و همه را یک جا و از طریق یک کلید، رمزشکنی کند اما با ویژگی «امنیت رو به جلوی کامل» کلیدهای رمزشکنی متنوع بوده و با یک کلید نمیتوان همه اطلاعات را رمزشکنی کرد.
میدانیم که دولتها اطلاعات رمزشده را دارند پس کافی است تا کلید را که سالها بعد توسط یک وبسایت استفاده میشود را به دست بیاورند و به همه چیز کاربران پی ببرند.
تعدد کلیدها در این ویژگی باعث میشود که تنها با لو رفتن یک کلید، حجم کمی از اطلاعات رمزشکنی شود. اما متأسفانه تعداد بسیار اندکی از وبسایتها از این ویژگی استفاده میکنند و به همین خاطر دولتها در رمزشکنی اطلاعات دست بالا را پیدا میکنند.
۵. حملات دیجیتالی استراق سمعی
متأسفانه حملات استراق سمعی از طریق "SSL" هنوز امکان پذیرند. در تئوری، وصل شدن به وای فای عمومی از طریق وبسایتهای با گواهینامه "SSL" باید امن باشد چرا که ارتباط از طریق "HTTPS" انجام شده و مطمئن هستید که به وبسایت مورد نظرتان وارد شدهاید اما در عمل اتفاق دیگری میافتد.
در عمل، وصل شدن به وای فای عمومی و رفتن به وبسایتهای "HTTPS" نیز کار خطرناکی میتواند باشد. روشهایی وجود دارد که میتواند حملات دیجیتالی استراق سمعی را حتی از این طریق انجام دهد. مثلاً هات اسپات (hotspot) وای فای، ممکن است به جای شما به وبسایت موردنظر شما وصل شود و اطلاعات را رد و بدل کند و در بین شما قرار گرفته و همه چیز را بفهمد. حتی میتواند "HTTPS" را دور زده و از طریق "HTTP" به جای شما به وبسایت وصل شود.
صد البته که "HTTPS" بیشتر مواقع جواب میدهد و خوب کار میکند. اما نکته اینجا است که "HTTPS" مشکلات جدی دارد و نباید با تصور امنیت صددرصد با آن برخورد شود. بسیاری از مردم به آن اعتماد صددرصد میکنند و از این مشکلات آگاه نیستند.
این به معنی این نیست که "HTTPS" و رمزگذاری "SSL" بیارزش هستند، همچنان که قطعاً بودن این ویژگیها بسیار بهتر از استفاده از وبسایت بدون رمزگذاری "HTTP" است. حتی در بدترین سناریوها، یک ارتباط مشکوک و مخرب "HTTPS" تازه به اندازه یک ارتباط "HTTP" ناامن خواهد بود.
۱. تعداد پرشمار صادر کنندگان گواهینامههای دیجیتال
در مرورگر شما لیستی از صادرکنندگان گواهینامههای معتبر و قابل اعتماد تعبیه شده است. مرورگرها تنها به گواهینامههایی اعتماد دارند که توسط این صادرکنندگان، امضا شده باشد. اگر از وبسایتی با آدرس "HTTPS" دیدن کنید، سرور این وبسایت، گواهینامه "SSL" را به شما نمایش میدهد و مرورگر شما چک میکند تا از صحت و اعتبار گواهینامه این وبسایت مطمئن شود. اگر گواهینامه توسط دامین دیگری امضا شده باشد و یا در لیست صادرکنندگان معتبر نباشد، مرورگر به شما یک هشدار جدی میدهد.
یکی از مهمترین مشکلات این است که تعداد صادرکنندگان گواهینامهها بسیار زیاد است. بنابراین، مشکل با یک صادرکننده گواهینامه روی همه تأثیر میگذارد. مثلاً شما میخواهید یک گواهینامه "SSL" برای دامین خودتان از "VeriSign" بگیرید، اما یک نفر دیگر نیز میتواند با فریب یک صادرکننده دیگر، یک گواهینامه دیگر برای دامین شما بگیرد. در نتیجه مشکلات آغاز میشود.
۲. صادرکنندگان گواهینامهها همیشه قابل اعتماد نیستند
مطالعات نشان میدهند که برخی از تولیدکنندگان گواهینامههای دیجیتال، کمترین تلاش و تستی هنگام صدور گواهینامه نمیکنند. آنها گواهینامههای "SSL" را برای آدرسهایی صادر میکنند که هرگز به این گواهینامه احتیاجی ندارند؛ مانند "localhost" که همیشه کامپیوتر لوکال را نمایش میدهد. در سال ۲۰۱۱، بنیاد مرز الکترونیک، بیش از ۲ هزار گواهینامه را برای "localhost" تشخیص داد که توسط صادکنندگان معتبر گواهینامههای دیجیتال امضا شده بودند.
اگر صادرکنندگان قابل اعتماد، گواهینامههای فراوانی را بدون تشخیص اینکه آدرسها معتبر هستند یا نه امضا کنند، بسیار طبیعی است که حدس بزنید چه اشتباهات فاحش دیگری نیز میکنند.
۳. صادرکنندگان گاهی مجبور میشوند گواهینامههای تقلبی امضا کنند
از آنجا که تعداد بسیاری صادرکننده در همه جای دنیا وجود دارد و هرکدام میتواند یک گواهینامه برای هر وبسایتی صادر کند، دولتها میتوانند صادرکنندگان را مجبور کنند تا گواهینامههای تقلبی برای وبسایتهای مورد نظر دولت، صادر کنند.
این مشکل اخیراً در فرانسه اتفاق افتاد، وقتی گوگل متوجه شد که برای سایت گوگل، یک گواهینامه تقلبی توسط صادرکنندهای فرانسوی به نام "ANSSI" امضا شده است. این صادرکننده به دولت فرانسه یا هرکس دیگری امکان داده است تا گوگل تقلبی را به جای گوگل واقعی جا بزند و از این طریق حملات دیجیتالی را به سادگی انجام دهد.
۴. ویژگی «امنیت رو به جلوی کامل»، همه جا استفاده نمیشود
بسیاری از وبسایتها از ویژگی «امنیت رو به جلوی کامل» استفاده نمیکنند، تکنیکی که شکستن رمزگذاریها را بسیار دشوار میکند. بدون این ویژگی، یک هکر میتواند حجم زیادی از اطلاعات رمز شده را به دست آورده و همه را یک جا و از طریق یک کلید، رمزشکنی کند اما با ویژگی «امنیت رو به جلوی کامل» کلیدهای رمزشکنی متنوع بوده و با یک کلید نمیتوان همه اطلاعات را رمزشکنی کرد.
میدانیم که دولتها اطلاعات رمزشده را دارند پس کافی است تا کلید را که سالها بعد توسط یک وبسایت استفاده میشود را به دست بیاورند و به همه چیز کاربران پی ببرند.
تعدد کلیدها در این ویژگی باعث میشود که تنها با لو رفتن یک کلید، حجم کمی از اطلاعات رمزشکنی شود. اما متأسفانه تعداد بسیار اندکی از وبسایتها از این ویژگی استفاده میکنند و به همین خاطر دولتها در رمزشکنی اطلاعات دست بالا را پیدا میکنند.
۵. حملات دیجیتالی استراق سمعی
متأسفانه حملات استراق سمعی از طریق "SSL" هنوز امکان پذیرند. در تئوری، وصل شدن به وای فای عمومی از طریق وبسایتهای با گواهینامه "SSL" باید امن باشد چرا که ارتباط از طریق "HTTPS" انجام شده و مطمئن هستید که به وبسایت مورد نظرتان وارد شدهاید اما در عمل اتفاق دیگری میافتد.
در عمل، وصل شدن به وای فای عمومی و رفتن به وبسایتهای "HTTPS" نیز کار خطرناکی میتواند باشد. روشهایی وجود دارد که میتواند حملات دیجیتالی استراق سمعی را حتی از این طریق انجام دهد. مثلاً هات اسپات (hotspot) وای فای، ممکن است به جای شما به وبسایت موردنظر شما وصل شود و اطلاعات را رد و بدل کند و در بین شما قرار گرفته و همه چیز را بفهمد. حتی میتواند "HTTPS" را دور زده و از طریق "HTTP" به جای شما به وبسایت وصل شود.
صد البته که "HTTPS" بیشتر مواقع جواب میدهد و خوب کار میکند. اما نکته اینجا است که "HTTPS" مشکلات جدی دارد و نباید با تصور امنیت صددرصد با آن برخورد شود. بسیاری از مردم به آن اعتماد صددرصد میکنند و از این مشکلات آگاه نیستند.
هیچ نظری موجود نیست:
ارسال یک نظر