LET’S ENCRYPT و مشکلات آن

آیا شما هم قربانی گواهینامه های SSL رایگان Let’s Encrypt شده اید؟

Lets Encrypt Free SSL

تمامی گواهینامه های SSL  وظایف یکسانی را انجام می دهند ، اما همه از نظر کیفیت برابر نیستند.به عنوان مثال, Let’s Encrypt گواهینامه های رایگان و با نصب آسان را با هدف ایجاد اتصالات وب ایمن در سطح جهانی عرضه می کند.ولی ما به هیچ وجه استفاده از گواهینامه های رایگان را توصیه نمی کنیم به خصوص برای سایت های فروشگاهی,دولتی و یا بانکی.نکته منفی این رویکرد این است که گواهینامه های رایگان اعتماد کافی را در احراز هویت آن ها به کاربر نمی دهد.در use-ssl ، ما تصمیم گرفته ایم که فقط و فقط گواهینامه های امنیتی معتبر ارائه دهیم.در این مقاله می خواهیم دلایل خود را به شما بگوییم.

همه گواهینامه های SSL یکسان نیستند

داشتن گواهینامه SSL ارتباط رمزگذاری شده بین مرورگر و سرور وب را فراهم می کند.خانواده پروتکل هایی که از قدیم این مورد را پشتیبانی می کند به عنوان SSL شناخته می شود اما امروزه تحت عنوان TLS از آن استفاده می شود.اتصال توسط TLS تضمین می کند که آن سرور متعلق به صاحب گواهینامه است.مرجع صدور گواهینامه (CA) گواهی را به صورت دیجیتال امضا می کند و به این ترتیب نشان می دهد که صحت آن را تأیید کرده است.

حتما می دانید که هر کسی می تواند خود یک گواهی را امضا کند.اینجوری اتصالات رمزگذاری شده را فعال می کند ، اما بدون امضای CA ، در حقیقت هیچ تضمینی برای مالک سایت و اینکه ادعا می کند چه کسی است وجود ندارد..

این نوع گواهینامه به عنوان “مجوز آزاد ، خودکار و باز عمل می کند.”و این امکان را به هر کسی می دهد که یک وب سایت امن و بدون هیچ هزینه و با تلاش کمی راه اندازی کند.این خیلی راحت و خوبه ، اما چهره های برجسته در صنعت فناوری, نگرانی های جدی در مورد گواهینامه های Lets Encrypt ابراز کرده اند.

مراحل تنظیم گواهینامه ساده است.مثلا چند دستور در یک سرور لینوکس کل کار را انجام می دهد.اما مشکل در مورد میزان تأیید اعتباریه که ارائه شده است.تنها اعتبار این است که متقاضی گواهینامه ,کنترل دامنه مورد نظر را خودش در اختیار داشته باشد.یعنی اگر شما یک گواهینامه را برای example.com دریافت می کنید ، باید حتما آن را از هاست example.com رجیستر کنید.در اینجا دیگر هیچ بررسی نمی کند که شما چه کسی هستید مهم این است که به هاست یا سرور خود دسترسی داشته باشید.این نوع گواهی به عنوان یک گواهی “اعتبار دامنه یا DV” شناخته می شود.LET’S ENCRYPT تنها CA ای نیست که صدور گواهینامه های DV را انجام می دهد ، اما تنها کسی است که هیچ هزینه ای برای آنها نمی گیرد.

گواهینامه رایگان ssl

گواهینامه ها و اعتماد به آن ها

داشتن گواهینامه SSL ، به ویژه گواهی دامنه معتبر تأییدشده ، به تنهایی یک سایت را قابل اعتماد نمی کند.باید به نام دامنه سایتی که مراجعه کرده اید دقت کنید.مثلا ممکن است دامنه آن شباهت بسیار زیادی به یک دامنه معروف داشته باشد.مثل: micros0ft.com.طبق گزارشات LET’S ENCRYPT ، تاکنون بیش از 14000 گواهی برای دامنه هایی که PayPal را جعل کرده اند صادر شده است.

.برخی از دامنه ها به کاربران امکان کنترل زیر دامنه ها را می دهند

mydomain.example.com

اینها می توانند برای زیر دامنه های خود نیز گواهینامه امنیتی داشته باشند.زیر دامنه گاهی ممکن است به یک دامنه متفاوت روی یک سرور مستقل که دامنه اصلی هیچ کنترلی روی آن ندارد ریدایرکت شود.

معتبرترین گواهینامه های SSL

معتبرترین گواهینامه های SSL گواهینامه های EV هستند.EV مخفف “extended validation-اعتبار طولانی” است و نشان می دهد که CA برای بررسی هویت متقاضی ، معیارهای خاصی را رعایت کرده است.این گواهینامه بررسی و تأیید شده و CA تأیید کرده است که سازمان متقاضی این کواهینامه به طور رسمی و قانونی وجود دارد.حتما تا به حال دیده اید,مرورگرها معمولاً گواهی EV را با نماد قفل سبز رنگ نشان می دهند.

متأسفانه ، اکثر مردم تفاوت های ظریف بین گواهینامه ها را تشخیص نمی دهند.یعنی فکر می کنند اگر یک قفل در آدرس بار مرورگر مشاهده کنند ، پس احتمالا سایت معتبر است.از آنجایی که Lets Encrypt حتی به پرداخت احتیاج ندارد ، تعداد ثبت و رجیستر گواهی در آن بسیار کم است.این مورد به قصد بررسی API مرورگر امن Google برای سایت های شناخته شده فیشینگ یا بدافزار طراحی شده.تا به حال گزارش هایی مربوط به سوء استفاده از گواهینامه های آن تایید شده است.وقتی گواهینامه ها رایگان باشند ، تنظیم آنها با دامنه های throwaway به راحتی امکان پذیر است.

دامنه throwaway: نام دامنه ثبت شده ای است که برای آزمایش موقت یک برنامه جدید یا برای هرزنامه استفاده می شود.در حالت هرزنامه ، دامنه ممکن است تنها یک ساعت دوام داشته باشد و دیگر از آن استفاده نشود.

امیدواریم با گذشت زمان ، کاربران اینترنت تفاوت بین یک سایت امن و یک سایت مشروع را بهتر درک کنند.وقتی اکثر سایتها یک قفل در نوار آدرس را نمایش می دهند ، مرورگرها نیاز به وضوح بیشتری در بین سطوح اعتبار سنجی دارند.سرانجام آنها ممکن است درباره سایتهایی که گواهینامه هایشان فقط اعتبار دامنه دارد هشدار دهند.

پس عادت خوب اینه که اگه شک داشتید روی نماد قفل یک سایت امن کلیک کنید.اونوقت باید اطلاعاتی در مورد میزان اعتبار گواهینامه سایت و سابقه آن سایت مشاهده کنید.البته برخی مرورگرها ، فقط “This site is secure” را نشان می دهند.

باز بودن و اعتماد به آن ها

Lets Encrypt سیاست خود را توضیح داده است.میگوید تعیین اینکه آیا یک سایت قابل اعتماد است یا خیر کار سختیه ، ولی بررسی اینکه آن سایت همچنان قابل اعتماد بماند دشوارتره.هدف اصلی این پروژه ایجاد هرچه بیشتر صفحات وبی است که از TLS استفاده کنند.این مورد به ناچار وب سایتهای سرکش-rogue websites را شامل می شود.

rogue websites:سایتهایی هستند که برای اهداف مخرب ایجاد شده اند که شامل سایت های تقلبی و مجرمان اینترنتی می شود.

به هر حال این سایتها وجود دارند. تنها تفاوت اینه که ممکن است برخی افراد وقتی نماد قفل را در آن ها می بینند به آنها اعتماد بیشتری کنند.پس حواستون باشه!

هر صادر کننده گواهینامه های اعتبار دامنه با این خطر روبرو است ، و حتی باید گفت سطح EV هم در برابر سایت های مخرب کاملاً ایمن نیست.یک گواهی امضا شده به تنهایی سند قطعی برای اثبات اعتماد یک سایت نیست و نمی تواند باشد.در واقع LET’S ENCRYPT نمی خواهد نقش سانسور را به عهده بگیرد ، و ما در این مورد ازش قدردانی می کنیم.:) در عین حال هم نمی خواهیم به وب سایت های نادرست ظاهر قانونی و رسمی بدهیم.

ما چندین گزینه برای خرید گواهینامه های SSL ارائه می دهیم.ارزان ترین و رایج ترین نوع گواهینامه نوع DV می باشد ولی این ها معتبر هستند و هزینه سالانه آن ها در اکثر مواقع مانع از صدور گواهینامه برای دامنه های throwaway می شود.به همین خاطر برای سطح اعتبار بیشتر ، ما گواهی Comodo و Certum را ارائه می دهیم.بهترین اعتبار با گواهینامه هایComodo EV,Comodo DVو Certum DV ما برای یک دامنه واحد یا برای چندین دامنه ارائه می شود.

امیدوارم این آموزش هم مورد پسند شما قرار گرفته باشه و با استفاده از اون با گواهینامه رایگان تا حدودی آشنا شده باشید. اگر در رابطه با این مقاله سوال و یا مشکلی داشتید در بخش دیدگاه‌ها اعلام کنید تا در کوتاه‌ترین زمان ممکن پاسخگوی شما باشم.

سربلند و پیروز باشید