ارائه‌ی گواهی‌نامه‌های SSL رایگان به کاربران سرویس وب آمازون

شرکت آمازون در اواخر هفته‌ی گذشته اعلام کرد که یک مدیریت گواهی‌نامه را برای تسریع در روند امنیت بخشیدن به گواهی‌نامه‌های SSL/TLS برای مشتریان با اضافه کردن HTTPS به وب‌گاه‌‌ها و نرم‌افزارهای خود، راه‌اندازی می‌کند.
این حرکت کمتر از یک سال پس از آن صورت می‌گیرد که آمازون به پروژه‌های موزیلا و متن‌باز اندروید اعمال شد تا اجازه‌ی گواهی ریشه را پیدا کند.
جف بار رئیس بازاریابی خدمات شبکه‌ی آمازون، این حرکت را هفته‌ی قبل در پست وبلاگ خود مورد بحث قرار داد. بار ادعا می‌کند که این مدیریت به ارائه گواهی‌نامه‌های SSL که توسط مجوز گواهی‌نامه‌های آمازون CA و خدمات معتبر آمازون ATS تأیید شده‌اند به صورت رایگان می‌پردازد. اکنون تنها مشتریانی که از خدمات شبکه‌یlastic Load Balancing و یا شبکه‌های تحویل محتوای CloudFront آمازون استفاده می‌کنند، می‌توانند این گواهی‌نامه‌ها را اعمال کنند.
بار می‌نویسد: «هنگامی که به بحث تعمیرات می‌رسیم علاوه بر تأمین، آمازون به پیاده‌سازی و تجدید گواهی‌نامه‌های این شرکت اقدام می‌کند.»
شرکت آمازون در این مورد ادعا می‌کند که در آینده از دیگر خدمات AWS و انواع دیگری از اعتبارنامه‌های دامنه پشتیبانی خواهد کرد. در حالی‌که انتظار می‌رود که این حرکت در سطح جهانی اتفاق بیافتد، در حال حاضر این مدیریت تنها در منطقه شرق ایالات متحده‌ی آمریکا‌ در دسترسی است.
این حرکت در واقع قدمی از «ابتکار عمل در رمزگذاری» یا Let’sEncrypt initiative می‌باشد، که یک مرجع گواهی‌نامه است و بنیاد Electronic Frontier، موزیلا و چند شرکت فن‌آوری دیگر در سال گذشته آن را آغاز کردند.
هدف این ائتلاف این بود که از سختی‌ها و مشکلاتی که معمولاً در ارتباط با کسب یک گواهی‌نامه‌ی امن موجود است، دوری کنند: هزینه‌های گزاف و مشکلات فنی که معمولاً در اجرای آن رخ می‌دهد. این ابتکار در ماه گذشته وارد مرحله‌ی بتا شد و بر خلاف آمازون به همه اجازه می‌دهد که کارگزاری را راه‌اندازی کنند تا گواهی‌نامه‌های HTTPS را در و‌ب‌گاه خود استقرار داده و اجرا کنند.
CloudFlare چند هفته قبل یک اقدام مشابه انجام داد، و گواهی‌نامه‌های SSL را برای مشتریان خود ارائه کرد و ارتباطات HTTPS را برای بیشتر دامنه‌های خود پذیرفت.
برخی از کارشناسان هشدار می‌دهند تاخت و تاز آمازون به سمت گواهی‌نامه‌ها می‌تواند بیشتر آسیب‌زا باشد تا مفید.
مانند هر کدام از موارد مرجع‌های گواهی‌نامه، صدور گواهی‌نامه‌ها از سوی آمازون می‌تواند در نهایت منجر به این شود که از آن برای محافظت از وب‌گاه‌‌هایی استفاده شود که برای انجام حملات مخرب مورد استفاده قرار می‌گیرند.
کوین بوکک، معاون راه‌برد امنیت و هوش تهدید در Venafi معتقد است که زمان زیادی طول نخواهد کشید که مهاجمان با استفاده از این گواهی‌نامه‌های آمازون بتوانند حملاتی را که صورت می‌دهند پنهان کنند.
بوکک روز سه‌شنبه گفته است: «آنچه که در اینجا بسیار مهم است این است که شرکت‌ها به خطر استفاده از گواهی‌نامه‌های رایگانی که مجرمان سایبری علاقه به استفاده از آن‌ها دارند، واقف باشند.»
در حالی‌که گواهی‌نامه‌های AWS ممکن است برای ساخت برنامه‌های سریع خوب باشد، اما موضع بوکک این است که آن‌ها نمی‌توانند در سطح امنیت کلاس شرکت‌ها قرار گیرند، آن‌طور که برخی از شرکت‌ها به دنبال آن هستند.
بوکک می‌گوید:‌ «جان کلام این است که تنها زمان فرصتی خواهد داد که ما ببینیم مجرمان سایبری به اعمال نفوذ در این گواهی‌نامه‌های رایگان AWS برای مخفی کردن ترافیک‌های رمزنگاری شده خواهند پرداخت و خود را در پس آن‌ها پنهان می‌سازند تا به شکلی نامحسوس به سرقت اطلاعات حساس بپردازند.»
در اوایل این ماه مهاجمان از یک وب‌گاه که با گواهی «ابتکار عمل در رمزگذاری» یا Let’sEncrypt initiative امضاء شده بود استفاده کردند تا از یک زیردامنه‌ی خود که برای کمک به حملات آلوده‌سازی استفاده می‌شد، محافظت کنند.
در آن حادثه، مهاجمان از دامنه‌های سایه برای ایجاد زیردامنه‌ها تحت یک دامنه‌ی مجاز استفاده کرده‌اند. این همان روشی است که مهاجمان پشت بسته‌ی نفوذی Angler در سال گذشته به کار گرفتند تا قربانیان را برای حمله به وب‌گاه‌‌ها و پیاده‌سازی محموله‌های مخرب در آن‌ها تغییر مسیر دهند. از آنجا که گواهی «ابتکار عمل در رمزگذاری» به طور خودکار ترافیک زیردامنه را محافظت می‌کند، این کار به استتار حمله‌ی آن‌ها کمک می‌کرد.
مسئولان «ابتکار عمل در رمزگذاری» تاکنون روشن ساخته‌اند که آن‌ها باور ندارند CAها باید در خط مقدم مقابله با فیشینگ و بدافزارها قرار گیرند.
جُش آس، مدیر اجرایی گروهی تحقیقات امنیت اینترنت که سازمانی است که بر «ابتکار عمل در رمزگذاری» نظارت می‌کند، نوشته است که او باور ندارد که CAها دید کافی را بر محتوای موجود وب‌گاه دارند و آن‌ها در وضعیتی قرار ندارند که بتوانند عملیات‌هایی علیه بدافزارها و فیشینگ انجام دهند.‌
در راهنمای کاربری مدیریت گواهی‌نامه‌ی خدمات شبکه‌ی آمازون که در یک پرونده‌ی PDF در هفته‌ی گذشته انتشار یافته است، این شرکت روشن ساخته است که ممکن است در صورتی که دامنه شامل بدافزار و یا محتوای فیشینگ باشد، درخواست ACM در آن پاسخ داده نشود، اما اعلام نکرده است که چگونه این قابلیت را هنگام گشت‌زنی در وب‌گاه‌‌هایی که این گواهی‌نامه‌های رایگان را دریافت کرده‌اند، فعال خواهد کرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap