شفافیت گواهینامه و نقش آن در ردیابی گواهی‌های جعلی SSL

آیا می‌دانستید هنوز هم درهای پشتی بسیاری در رمزنگاری اینترنتی وجود دارند که بیش‌تر مردم درباره آن‌ها اطلاعی ندارند؟
گواهی‌‌های دیجیتال ستون اصلی اینترنت امن هستند که از اطلاعات و ارتباطات حساس محافظت کرده و سامانه‌‌ها و کاربران اینترنتی را تصدیق هویت می‌کنند.
مثلاً سامانه مدیریت گواهی دیجیتال۱ یکی از ضعیف‌ترین پیوندهاست که فقط بر اساس اعتماد کار کرده و تا کنون بارها شکسته شده ‌است.
برای تضمین یکپارچگی و محرمانگی داده‌ها، میلیاردها کاربر اینترنتی، کورکورانه بر سازمان‌های گواهی در اقصی نقاط دنیا متکی هستند.

بیایید نگاهی بیاندازیم به برخی عناوین خبری در این حوزه:‌
– اشکال ساختاری در سامانه مدیریت گواهی دیجیتال
– چرا سازمان‌های گواهی (CA) اعتماد خود را از دست داده‌اند؟
– چگونه شفافیت گواهی(CT) اشکالات سامانه گواهی SSL را برطرف می‌کند
– چگونه قانونی یا جعلی بودن گواهی‌های SSL مربوط به دامنه‌مان را متوجه شویم؟

در ابتدا باید درباره سازمان گواهی و نقش آن بدانید:
یک سازمان گواهی، سازمانی سوم شخص است که به عنوان مرکز مورد اعتمادی طراحی شده ‌است تا گواهی‌‌های SSL/TLS را اعتبارسنجی کنند.
از این دست سازمان‌ها تعداد زیادی در مرتبه‌ی صدها سازمان وجود دارد، که قدرت اعتبارسنجی گواهی‌های SSL‌ را برای هر دامنه از سوی شما دارند، حتی دامنه‌هایی که قبلاً از سوی یک CA دیگر خریداری شده‌اند.

زنجیره اعتماد SSL از بین رفته است!
سال گذشته گوگل کشف کرد که سیمانتک (یکی از سازمان‌های گواهی) به طور اشتباه گواهی مجددی را برای google.com به فرد دیگری داده ‌است. سیمانتک ادعا کرده بود این اشتباه سهواً رخ داده ‌است.
این نخستین باری نبود که قدرت یک سازمان گواهی مورد سوءاستفاده قرار می‌گرفت یا به اشتباه استفاده می‌شد تا حریم خصوصی میلیون‌ها کاربر اینترنت به خطر بیفتد.
در ماه مارس ۲۰۱۱، Comodo، یکی دیگر از سازمان‌های گواهی معروف، مورد حمله قرار گرفت تا گواهی‌های جعلی را برای دامنه‌های مهمی هم‌چون mail.google.com، addons.mozilla.org و login.yahoo.com تولید کند.
در همان سال، سازمان گواهی آلمانی با نام DigiNotar‌ نیز مورد سوءاستفاده قرار گرفت تا تعداد زیادی گواهی‌های جعلی ایجاد کند.
از آن‌جا که این زنجیره اعتماد شکسته شده ‌است، میلیون‌ها کاربر در معرض خطرات مرد میانی قرار گرفته‌اند.
به علاوه، پرونده‌های منتشر شده از سوی ادوارد اسنودن نشان می‌دهند که سازمان امنیت ملی آمریکا (NSA) تعداد زیادی از جلسات وب رمز شده HTTPS را شکسته و استراق سمع می‌کرده ‌است. این بدان معناست که، سازمان‌های گواهی به اصطلاح مورد اعتماد مظنون به کنترل شدن و یا همکاری با مقامات و سازمان‌های رده بالای دولتی هستند.
این تصور زیاد اشتباهی هم نیست، چرا که در گذشته‌ هم سازمان‌های دولتی و مهاجمان سایبری که از سوی دولت حمایت می‌شدند از سازمان‌های گواهی مورد اعتماد استفاده کرده‌اند تا گواهی‌‌های دیجیتال جعلی برای دامنه‌های معروف بسازند؛ بدین ترتیب می‌توانستند از کاربران این دامنه‌ها جاسوسی کنند.
مثال‌هایی از اتفاقاتی این چنینی که دولت‌‌ها در آن دست داشته‌اند:
– در سال ۲۰۱۱، گواهی‌های جعلی از سوی DigiNotar استفاده شدند تا حساب‌های کاربری جیمیل مربوط به تقریباً ۳۰۰ هزار کاربر ایرانی مورد نفوذ واقع شود.
– در اواخر سال ۲۰۱۳، گوگل کشف کرد که گواهی‌های دیجیتال جعلی برای دامنه‌هایش از سوی دولت فرانسه استفاده شده است تا حملات مرد میانی را ترتیب دهند.
– در اواسط سال ۲۰۱۴، گوگل رخدادی دیگر را کشف کرد؛ مرکز انفورماتیک ملی(NIC) در هند از گواهی‌های جعلی دیجیتال برای برخی از دامنه‌هایش استفاده کرده بود.
همانطور که می بینید دور زدن امنیت وب‌گاه‌های HTTPS که توسط سایر CA‌های حتی معروف محافظت می شوند کار چندان سختی نیست.
آیا تا به حال به این فکر کرده‌اید که ممکن است یک گواهی جعلی از دامنه‌تان به فرد دیگری داده شده‌ باشد، شاید به یک مجرم سایبری؟
شفافیت گواهی یا Certificate Transparency یک سرویس عمومی است که به افراد و شرکت‌ها امکان می‌دهد روال اعطای گواهی‌های امنیتی دیجیتال را زیر نظر داشته‌باشند.
در سال ۲۰۱۳، گوگل برنامه شفافیت گواهی را در قالب چارچوبی باز برای گزارش‌گیری، شنود و نظارت بر گواهی‌هایی ایجاد کرد که سازمان‌های گواهی ایجاد می‌کنند.

سامانه شفافیت گواهی چیست؟
چارچوب شفافیت گواهی شامل موارد زیر است:
– گزارش‌های گواهی
– نظارت های گواهی۲
– ممیزی‌های گواهی۳
شفافیت گواهی، سازمان‌های گواهی را ملزم می کند به طور عمومی هر گواهی دیجیتالی را که تولید می‌کنند اعلام کنند.
گزارش گواهی به کاربران امکان می‌دهد همه گواهی‌های دیجیتالی را که برای یک دامنه ارائه شده‌اند ببینند.
گزارش‌های گواهی سه ویژگی مهم دارند:
– رکوردهای گواهی‌ها تنها می‌توانند به گزارش‌ها افزوده شوند. امکان حذف ویا تغییر گزارش‌‌ها وجود ندارد
– گزارش‌های گواهی از یک روش رمزنگاری خاص با نام درهم‌سازی درختی Merkle استفاده می‌کنند تا از دستکاری‌های جلوگیری شود
– هر کسی می‌تواند در یک گزارش جست‌وجو کرده و یا تایید کند که یک گواهی SSL به طور صحیحی به گزارش اضافه شده ‌است یا خیر.
در شفافیت گواهی، گواهی دیجیتال یک برچسب زمانی گواهی امضا شده۴ دارد که ثابت می‌کند این گواهی پیش از آن‌که تولید شود در گزارش افزوده شده ‌است.
در حال حاضر گوگل، DidiCert‌، Symantec و چند سازمان گواهی‌ دیگر از گزارش‌‌های عمومی میزبانی می‌کنند.
اگرچه شفافیت گواهی مانع تولید گواهی‌های جعلی نمی شود اما فرآیند شناسایی گواهی‌های تقلبی را بسیار ساده‌تر کرده ‌است.
بدین ترتیب گواهی‌‌های دیجیتالی که سهواً و یا تعمداً به طور اشتباه تولید شده‌اند سریع‌تر شناسایی شده و نگرانی‌های امنیتی از جمله حملات مرد میانی تا حدی کاهش می یابد.
اوایل امسال، سامانه شفافیت گواهی و سامانه نظارتی به تیم امنیتی فیسبوک کمک کردند تا سریعاً گواهی‌های SSL تکراری را که برای زیر دامنه‌های fb.com تولید شده‌ بودند شناسایی کنند.
در این جریان، شرکت امنیتی Let’s Encrypt گواهی دیجیتالی تکراری را برای چند زیر دامنه fb.com تولید کرده‌ بود که سامانه نظارتی شفافیت گواهی متعلق به فیسبوک در کمتر از یک ساعت این گواهی‌ها را شناسایی کرد. اگرچه فیسبوک بعداً فهمید این گواهی‌‌ها در واقع از سوی یکی از فروشندگان میزبانی‌اش و بدون هماهنگی با تیم امنیتی این شرکت درخواست شده‌ است. این فروشنده برای مدیریت زیردامنه‌‌های fb.com به کار گرفته‌شده‌ بود.

ابزار مدیریت شفافیت گواهی فیسبوک چگونه کار می‌کند؟
این ابزار به طور پیوسته همه گزارش‌های شفافیت گواهی عمومی را بررسی کرده و هر زمان که یک سازمان گواهی، گواهی جدیدی را برای دامنه ریشه و یا زیر دامنه‌های فیسبوک تولید کنند هشدار می‌دهد.
در حال حاضر این سامانه نظارتی فقط برای دامنه‌های خود فیسبوک استفاده می‌شود، اما این شرکت تایید کرده‌ است به زودی سامانه نظارتی شفافیت گواهی‌اش را برای همه در دسترس قرار خواهد داد.
Comodo یک ابزار جست‌وجوی شفافیت گواهی راه‌اندازی کرده‌ است که همه گواهی‌های مربوط به یک دامنه را فهرست می‌کند. ابزار جست‌وجوی گوگل نیز همه گواهی‌های موجود در گزارش‌های شفافیت عمومی را که برای یک نام میزبان تولید شده‌اند می‌دهد.
هدف پروژه شفافیت گواهی، معرفی یک لایه اضافه در تایید است تا بدین ترتیب موجب کاهش اشکالات در ساختار سامانه گواهی SSL شود.
اگر گواهی تقلبی را برای دامنه‌تان پیدا کردید، مراتب را سریعاً به سازمان گواهی مربوطه اطلاع دهید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap