توقف پشتیبانی از SHA-۱ و محروم شدن میلیون‌ها کاربر از دسترسی به وب‌گاه‌های رمزشده

میلیون‌ها کاربر ممکن است از دسترسی به وب‌گاه‌هایی که از پروتکل HTTPS استفاده می‌کنند، و تنها از گواهی‌نامه‌ی دیجیتال با الگوریتم SHA-۲ پشتیبانی می‌کنند، محروم باشند.
این هشدار توسط شرکت‌های فیسبوک و CloudFlar داده شده و در آن خاطرنشان گردیده است که توسعه‌دهندگان مرورگرها به سرعت از پشتیبانی فن‌آوری SHA-۱ به خاطر نقاط آسیب‌پذیر آن چشم پوشی می‌کنند، در حالی‌که کاربران هنوز آماده نیستند.
این دو شرکت به ارائه سازوکارهایی پرداخته‌اند تا از گواهی‌نامه‌‌ی قدیمی SHA-۱ در مرورگرهای قدیمی و همین‌طور در سامانه‌عامل‌هایی که از SHA-۲ جدید پشتیبانی نمی‌کنند در وب‌گاه خود پشتیبانی به عمل آورند. این گواهی‌نامه‌های قدیمی هنوز به صورت گسترده‌ای در بسیاری از نقاط جهان و بسیار از وب‌گاه‌ها استفاده می‌شوند.
سامانه‌عامل‌های قدیمی شامل نسخه‌های قدیمی ویندوز قبل از ویندوز XP سرویس پک ۳، نسخه‌های اندروید که قدیمی تر از نسخه ۲.۳ (Gingerbread) هستند و هر نرم‌افزاری که از نسخه‌ی OpenSSL ۰.۹.۸ برای ارتباطات رمزگذاری شده استفاده می‌کند؛‌ می‌شوند.
تاریخچه SHA-۱ (الگوریتم درهم‌سازی) به سال ۱۹۹۵ بر می‌گردد که در آن زمان به عنوان انتخاب پیش فرض برای امضای SSL/TLS مطرح شد تا زمانی که محققان در سال ۲۰۰۸ ثابت کردند گواهی‌نامه‌های امضا شده با MD۵ می‌توانند جعل شوند.
گواهی‌نامه SHA-۱ به لحاظ تئوری آسیب‌پذیر است، اما کاربرد حملاتی که به آن صورت می‌گیرد به قدرت محاسباتی مهاجم وابسته است. در سال ۲۰۱۲ رمزنگار معروف بروس اشنایر (Bruce Schneier) تخمین زد که یک حمله کاربردی علیه SHA-۱ می‌تواند هزینه‌ای بالغ بر ۷۰۰ میلیون دلار با استفاده از سرویس‌های محاسباتی فضای تجاری فضای ابری در سال ۲۰۱۵ و ۱۷۳ میلیون دلار در سال ۲۰۱۸ در بر داشته باشد، که می‌تواند در دسترسی مجرمان سایبری خطرناک قرار گیرد.
در نتیجه انجمن CA/Browser که گروهی از افراد متخصص و طراحان مرورگر هستند و آموزش‌ها و مطالبی در مورد انتشار و استفاده از گواهی‌نامه‌های دیجیتال انتشار می‌دهند، به این نتیجه رسیدند که این گواهی‌نامه‌های دیجیتال نباید از اول ژانویه سال ۲۰۱۶ به بعد به کار گرفته شوند. توسعه‌دهندگان مرورگرها نیز تصمیم گرفتند که از اول ژانویه سال ۲۰۱۷ گواهی‌نامه‌های موجود SHA-۱ را در دسته‌ی گواهی‌نامه‌های مورد تأیید خود قرار ندهند، حتی اگر به لحاظ فنی تاریخ انقضای آن‌ها بعد از سال ۲۰۱۷ باشد.
با این وجود در ماه اکتبر گروهی از محققان راهی جدید برای نفوذ به SHA-۱ پیدا کردند که هزینه حملات به آن را در زمانی کمتر از آنچه پیش بینی شده است، پایین می‌آورد. این موضوع موجب شد که برخی از توسعه‌دهنگان مرورگرها نظیر موزیلا و مایکروسافت زودتر از برنامه‌های قبلی خود پشتیبانی از گواهی‌نامه‌های SHA-۱ را در محصولات خود کنار بگذارند.
برای اینکه کاربرانی بتوانند به محتوای وب‌گاه‌ها دسترسی پیدا کنند، صاحبان ‌وب‌گاه‌های HTTPS که هنوز از گواهی‌نامه‌های SHA-۱ استفاده می‌کنند تحت فشار قرار گرفتند تا گواهی‌نامه‌های خود را با امضای دیجیتال SHA-۲ عرضه کنند.
هرچند محققان مرکز CloudFlar اشاره می‌کنند که تنها در حدود ۱.۶۹ درصد از کاربرانی که به خدمات HTTPS دسترسی دارند از مرورگرها و سامانه‌عامل‌هایی استفاده می‌کنند که توسط SHA-۲ پشتیبانی نمی‌شود.
مدیر عامل این شرکت، Matthew Prince، روز چهارشنبه در وبلاگ خود می‌گوید: «این میزان درصد زیادی نیست، اما در مجموع بالغ بر ۳۷ میلیون نفر می‌شود که بیشتر آن‌ها در بعضی از کشورهای فقیر، سرکوب‌گر و جنگ‌زده دنیا قرار دارند.»
بر طبق اطلاعات CloudFlar، ده کشور اول در این زمینه که کمترین میزان پشتیبانی از فن آوری SHA-۲ را دارند عبارتند از: چین (۶.۰۸ درصد)، کامرون (۵.۳۹ درصد)،‌ یمن (۵.۲۵ درصد)، سودان (۴.۶۹ درصد)، مصر (۴.۸۵ درصد)، لیبی (۴.۸۳ درصد)،‌ساحل عاج (۴.۶۷ درصد)،‌ نپال (۴.۵۲ درصد)، غنا (۴.۴۲ درصد) و نیجریه (۴.۳۲ درصد).
بیست و پنج کشور اول در این فهرست از کشورهای آفریقا، خاورمیانه، آسیا و آمریکای مرکزی و جنوبی هستند.
محققان شرکت CloudFlar می‌گویند: «به بیان دیگر پس از ۳۱ دسامبر بیشتر محتوای رمزنگاری‌شده‌ی وب از دسترس آسیب‌پذیرترین کاربران اینترنت که نیاز واقعی به رمزنگاری دارند دور خواهد ماند و متأسفانه اگر ما بخواهیم دو میلیارد نفر دیگر را برخط نگه داریم باید دستگاه‌های تلفن اندرویدی دست دوم را از دست آنها خارج کنیم، بنابراین این مشکل به این زودی حل نخواهد شد.»
فیسبوک هم مشکلی مشابه گزارش داده است، به این معنی که ۳ تا ۷ درصد از مرورگران مورد استفاده فعلی از امضای دیجیتال SHA-۲۵۶ که به نام SHA-۲ شناخته می‌شود، پشتیبانی نمی‌کنند.
روز چهارشنبه Alex Stamos مدیر ارشد امنیت فیس‌بوک گفت: «تعداد بسیار زیادی از این افراد در کشورهای در حال توسعه قرار دارند، و به احتمال زیاد در آن کشورها سیر پسرفت استفاده از فن آوری امن HTTPS وجود دارد زیرا که دولت‌ها، شرکت‌ها و NGOها تمایل دارند تا به جمعیت هدف خود دسترسی داشته باشند.»
فیسبوک این مشکل را با سازوکاری به این شکل حل کرده است که به مجوزها اجازه می‌دهد تا بر پایه مرورگر استفاده شده توسط کاربران تغییر پیدا کنند. در این شیوه، مرورگرهای جدید از مجوز SHA-۲ و مرورگرهای قدیمی از مجوزهای امضاء شده به وسیله گواهی‌نامه‌های SHA-۱ استفاده می‌کنند.
به این شکل طراحان مرورگرها می‌توانند طرح خود را مبنی بر عدم پشتیبانی از SHA-۱ از سال آینده پیگیری کنند، و در عین حال به ‌وب‌گاه‌ها اجازه می‌دهد تا خدمات خود را به کاربرانی که دستگاه‌های قدیمی و به‌روز‌رسانی نشده دارند، ادامه دهند.
فیسبوک کدهای تغییردهنده‌ی مجوز را بر اساس سازوکار متن‌باز با مجوز BSD به عنوان بخشی از یک پروژه بزرگ‌تر کتابخانه Proxygen HTTP ایجاد کرده است. و این بدان معناست که دیگر توسعه‌دهندگان نیز می‌توانند از آن در پروژه‌های خود و پروتکل TLS استفاده کنند.
شرکت CloudFlar که شبکه ارائه محتوا را برای بهینه کردن و محافظت از وب‌گاه‌های مشتریان خود اجرا می‌کند، بازگشت خودکار SHA-۱ را برای مشتریانی که هزینه پرداخت می‌کنند فعال کرده است. مشتریان تجاری و شرکت‌ها نیز در صورتی که بخواهند، می‌توانند این قابلیت را غیر فعال کنند و کاربران حرفه‌ای می‌توانند تا پایان سال همین کار را انجام دهند.
فیسبوک و CloudFlar تنها شرکت‌هایی نیستند که این اقدامات را انجام داده‌اند. شرکت تجارت الکترونیکِ چینی علی‌بابا نیز با بازگرداندن SHA-۱ در بسیاری از وب‌گاه‌های خود، به بسیاری از کاربران خود که از فقدان پشتیبانی از SHA-۲ رنج می‌بردند که بی‌تعجب تعداد آنها نیز کم نیست اجازه بازدید از وب‌گاه خود را می‌دهد.
فیسبوک و CloudFlar می‌خواهند که یک قدم جلوتر بروند. آنها از انجمن CA/B خواسته‌اند تا کلاسی از مجوزها را ایجاد کند که به عنوان گواهی‌نامه‌های اعتبار میراث (LV) به امضاهای SHA-۱ اجازه‌ی بقا بدهند.
چنین گواهی‌هایی می‌تواند پس از بازنشستگی SHA-۱ موجود صادر شود و این قابلیت را به سازمان‌ها بدهد، در حالی‌که از گواهی‌ها و پروتکل‌های جدید با مرورگرهای جدید استفاده می‌کنند، برای پشتیبانی از مرورگرهای قدیمی نیز از گواهی‌های LV استفاده کنند.

منبع: asis

درباره نماد امنیت وب

 “نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.