قربانیان گواهینامه ssl بحثی است که خیلی از وب مستران با آن آشنا نیستند. آیا گواهینامه ssl می تواند به سایت شما ضرر برساند؟ در نگاه اول و در اکثر مقالات حوزه امنیت همواره استفاده از پروتکل https و تبادلات رمزگذاری شده اطلاعات در سطح اینترنتی پیشنهاد شده است. اما در این مقاله تیم پی سی اسکریپت تلاش دارد تا شما را با جنبه پنهانی از قربانیان گواهینامه های SSL رایگان Let’s Encrypt آشنا نماید.
آشنایی با قربانیان گواهینامه های SSL رایگان Let’s Encrypt
Let’s Encrypt یکی از ارائه دهنده های سرویس گواهینامه SSL رایگان، روز چهارشنبه ۱۴ اسفند سال 98 خبری تکاندهنده را اعلام کرد. بنا بر این اعلان، بیش از ۳ میلیون گواهینامه ارائه شده توسط این شرکت به اشتباه صادر شده و باید لغو (Revoke) شود. آیا شما نیز در زمره قربانیان گواهینامه ssl رایگان این شرکت می باشید؟!
Let’s Encrypt صادر کننده گواهینامه های رایگان فقط با تعداد ۱۳ کارمند مشغول به فعالیت صدور گواهینامه SSL برای تعداد زیادی از وب سایت ها میباشد. این گواهینامه ها که عموما به صورت سه ماهه صادر میشوند و رایگان هستند توجه کاربران زیادی را به خود جلب کرده اند. ولی رخ داد های امنیتی که در مورد این گواهینامه ها رخ میدهد نه تنها صاحبان سایت ها و کاربرانشان را به مخاطره می اندازد، این بار تمامی مالکین دیگر وب سایت ها را نیز تحت تاثیر قرار داد.
جزئیات به این نحو است که مشکلی در سرور نرم افزاری پروژه Let’s Encrypt جهت احراز هویت کاربر و دامنه در راستای صدور گواهینامه SSL وجود داشته که نتیجتا باعث شده برای تعداد زیادی کاربر گواهینامه صادر شود، بدون اینکه حتی درخواست صدور گواهینامه داده باشند. حال اینکه بر اساس قرارداد استاندارد امنیتی وضع شده CAA در سال ۲۰۱۷ گواهینامه بدون تایید مالک دامنه نبایستی صادر گردد.
بررسی ssl سایت:
شرکت Let’s Encrypt در مقاله ای که در ۱۹ فوریه ۲۰۲۰ در وبلاگ خود منتشر کرد، از این نکته پرده برداری کرد و تایید کرد که به علت این باگ امنیتی نرم افزاری برای تعداد زیادی وب سایت بدون مجوز گواهینامه SSL صادر کرده و اکنون مجبور خواهد شد که تعداد سه میلیون از گواهینامه های صادر شده خود را لغو کند. شایان ذکر است که این سه میلیون، شامل گواهینامه های دیگر کاربرانی که واقعا درخواست هم داده بودند میشود.
این شرکت همچنین سامانه ای آماده کرده که در آن میتوانید با وارد کردن دامنه خود متوجه شوید که آیا جز قربانیان گواهینامه ssl این شرکت بوده اید یا خیر.
