درود؛ مدتی قبل بود که مقاله ای با عنوان تفاوت اس اس ال ssl رایگان و غیر رایگان در سایت منتشر کردیم و اس اس ال رایگان و غیر رایگان را مقایسه کردیم. اما امروز عنوان مقاله ما باگ امنیتی گواهینامه ssl اس اس ال رایگان است که بسیار قابل توجه و مورد اهمیت است. زیرا یکی از مهم ترین دلایل استفاده از گواهیامه SSL، افزایش امنیت داده های سایت است.
در صورتی که این گواهینامه اس اس ال رایگان واقعاً شامل باگ امنیتی باشد، اصلاً ارزش استفاده ندارد. به همین خاطر به شما پیشنهاد می کنید در صورتی که نیاز به خرید گواهی نامه اس اس ال SSL ارزان دارید، بر روی لینک کلیک کرده و اگر تمایل دارید تا از باگ امنیتی Ssl رایگان مطلع شوید، تا آخر با ما همراه باشید.
سایت Let’s Encrypt یک منبع معتبر برای ارائه مقاله ها و آموزش ها در مورد گواهینامه های رایگان SSL است. این سایت در تاریخ دهم اسفند سال 1389 خبری را منتشر کرد با این عنوان که در رکورد CAA گواهینامه های ssl رایگان Let’s Encrypt باگ امنیتی خطرناکی وجود دارد. برای قابل فهم بودن این موضوع ابتدا به تعریف رکورد CAA می پردازیم.
آنچه در این مقاله می خوانید :
رکورد CAA چیست؟
رکورد مخصوص دامنه که مخفف آن عبارت Certification Authority Authorization است، همان CAA است. برای اینکه یک سایت بتواند از گواهینامه اس اس ال ssl استفاده کند، این رکورد می گوید که این دامنه می تواند از SSL استفاده کند یا خیر. این رکورد همچنین اعلام می کند که کدام شرکت می تواند برای دامنه گواهینامه SSL صادر کند.
پس از اینکه رکورد CAA دامنه اجازه صادر کردن SSL را به یک شرکت داد، از طریق کد CA اقدام به تایید ارسال گواهینامه SSL میکند. از طریق CA یک دامنه تایید می شود و گواهینامه اس اس ال صادر می شود. در صورتی که این رکورد وجود نداشته باشد، هر گواهینامه از طریق CA می تواند برای آن دامنه صادر شود.
سایت و شرکت Let’s Encrypt نرم افزار تولید کد CA به نام Boulder دارد. وظیفه چک کردن رکورد Certification Authority Authorization و صدور گواهینامه SSL بر عهده این نرم افزار است. خیلی از کاربران بعد از این رکورد CAA آنها چک شد، اس اس ال آنها صادر شده و برای آنها ارسال می شود. شرکت Let’s Encrypt اعتبار درستی این قضیه CAA را 30 روزه در نظر میگیرد. این بدان معنی است که دیگر در این 30 روز امکان بررسی مجدد آن وجود ندارد.
باگ امنیتی گواهینامه اس اس ال SSL رایگان
اما مشکل اصلی از سمت ایجاد رکوردهای CAA بود. یعنی وقتی درخواست یک گواهینامه شامل N دامنه باشد و نیازمند تایید مجدد Certification Authority Authorization باشد، برنامه Boulder یک دامنه را انتخاب کرده و آن را N بار چک می کند. عملاً چیزی که اتفاق می افتد این است که اگر یک دامنه توسط درخواست دهنده در زمان X تایید گردد و رکورد های CAA برای آن دامنه امکان صدور گواهینامه اس اس ال را بدهد، آن درخواست کننده می تواند گواهینامه دیگری شامل آن دامنه تا زمان X + 30 روز صادر کند.
این درحالی است که اگر حتی شخص دیگری بعد از آن رکورد های CAA دیگری برای آن دامنه که توسط Lets encrypt برای صدور گواهینامه مجاز نباشد، نصب کرده باشد.
مشکل امنیتی اس اس ال SSL رایگان
ایراد این است که صدور گواهینامه اس اس ال رایگان، مجاز شناخته نشود. این باعث می شود که برای سایت از لحاظ امنیتی مشکل ایجاد شود. به این صورت هر فردی می تواند با یک درخواست ساده CA، چندین گواهینامه اس اس ال رایگان که ممکن حتی غیر مجاز هم باشد، برای خود صادر کند. البته این مورد بنظر پس از انتشار خبر حل شد و خیلی از شرکت هایی که SSL رایگان صادر می کردند، مجدد گواهینامه های اس اس ال رایگان را برای کاربران خود نصب کردند.
در نظر داشته باشید که شرکت ارائه دهنده گواهینامه های SSL رایگان که شرکت Let’s Encrypt است، یک شرکت مردمی است که تمام فعالیت های افزایش امنیت سایت را در جهان بصورت رایگان انجام می دهد. منظور این است که ممکن است هر اتفاق و مشکل دیگری هم برای این مدل SSL های رایگان ایجاد شود که ما بخشی از مشکلاتی که برای آن ایجاد می شود را در تفاوت اس اس ال رایگان و غیر رایگان، توضیح داده ایم.
اس اس ال رایگان و یا غیر رایگان؟
بهتر است که اگر برای امنیت سایت خود اهمیت ویژه ای قائل هستید، ریسک کردن در موارد حساس امنیتی را کنار گذاشته و قبل از هر فعالیت حرفه ای در دنیای وب، امنیت سایت خود را افزایش دهید. امنیت هم صرفاً نصب گواهینامه اس اس ال هم نیست که آن را نصب نمایید. اگر تمایل دارید خدمات افزایش امنیت وردپرس را مشاهده نمایید.
