سبد خرید

نمایش خلاصه ای از خرید هایی که شما انجام خواهید داد

سبد خرید خالی می باشد
مبلغ کل
0
تسویه حساب

Let’s Encrypt و مقابله با حملات فیشینگ
حميد  شریفی
حميد شریفی
تعداد کل دانلود ها : 599280
تعداد کل مطالب : 1195

Let’s Encrypt و مقابله با حملات فیشینگ

تعداد دانلود:
0
تعداد بازدید:
1572
تاریخ:
۱۳۹۵-۱۲-۱۶
دسته بندی:

هشتگ ها :

#

چند سالی است که Let’s Encrypt با کمک و همکاری شرکت‌ها و بنیادهایی مانند موزیلا، سیسکو، فیسبوک و … سرویس CA را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و باز و رایگان ایجاد کرده است. با کمک این CA سایت‌هایی زیادی توانسته‌اند به رایگان و آسانی گواهی HTTPS دریافت کنند.
این سرویس می‌تواند به امن‌تر کردن وب کمک کند و شنود پیام‌ها را برای دیگران سخت کند. اما گویا این سرویس می‌تواند معایبی نیز داشته باشد! از آنجا که این سرویس رایگان است کلاه‌برداران می‌توانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند.
در دو عکس زیر صفحات فیشینگ سایت یک بانک را می‌بینید. تصویر اول  صفحه فیشینگ بدون گواهی و تصویر دوم صفحه فیشینگ با گواهی است. بیشتر کاربران وجود گواهی HTTPS (علامت قفل سبز رنگ) را دلیلی بر اصالت صفحه می‌دانند و به صفحات فیشینگ با این مشخصات اعتماد می‌کنند.

                                                    صفحه ورود بانک با گواهینامه ssl معتبر

 

                                                 صفحه فیشینگ ورود به بانک با گواهینامه ssl

یکی از روش‌های مقابله با این حملات بررسی دامنه است. LetsEncrypt و سایر CA ها بررسی دامنه و حذف صفحات آلوده و فیشینگ را وظیفه خود نمی‌دانند. در حقیقت CA ها معتقدند با حملات فیشینگ باید در سطوح پایین‌تر مقابله شود (به عنوان مثال فروشنده دامنه یا هاست باید سایت‌های آلوده را شناسایی و حذف کند و یا مرورگرها نباید سایت‌هایی آلوده را نمایش دهند. با این وجود  LetsEncrypt با استفاده از سرویس SafeBrowsing دامنه‌ها را بررسی می‌کنند و به دامنه‌هایی که به عنوان دامنه‌های خطرناک ثبت شده‌اند خدمات نمی‌دهند.
با اینکه این روش می‌تواند تا حدودی مشکلات امنیتی را کاهش دهد اما همیشه کارگشا نیست، سایت‌ها می‌توانند بعد از دریافت گواهی محتویات خود را تغییر دهند. بنابراین به نظر می‌رسد بهترین راه مقابله با این حملات آموزش کاربران است. عموم کاربران تصور می‌کنند علامت و قفل سبز رنگ کنار یک سایت درستی محتویات سایت را نیز تایید می‌کند در صورتی که این تصور اشتباه است. بهتر است برای درک بهتر این موضوع با گواهی‌نامه DV آشنا شویم.

گواهی‌نامه DV: گواهی‌نامه Domain-validated certificate  که به صورت مخفف DV نامیده می‌شود  گواهی‌نامه‌ای است که موجودیت درخواست‌کننده گواهی‌نامه را تنها با نام دامنه تایید می‌کند. در این گواهی‌نامه درخواست‌کننده گواهی‌نامه باید به یکی از روش‌های زیر مالکیت بر دامنه را تصدیق کند.
۱- صادرکننده گواهی  ایمیلی به آدرس ایمیل که در DNS مشخص شده ارسال می‌کند و درخواست کننده باید به این ایمیل جواب دهد.
۲- صادر کننده گواهی ایمیلی به آدرس‌های ایمیل مشخص مانند admin@domain.com و یا webmaster@domain.com ارسال می‌کند و درخواست کننده باید به این ایمیل جواب دهد.
۳- درخواست کننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt  اختصاصی برای دامنه بسازد.
۴- بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.

در صورتی که درخواست‌کننده گواهی به یکی از روش‌های بالا بتواند مالکیت بر دامنه را اثبات کند صادر کننده برای این دامنه یک گواهی تایید صادر می‌کند. به بیان دیگر گواهی DV تنها مالکیت بر یک دامنه را اثبات می‌کند. گواهی‌نامه DV عموما به صورت خودکار صادر می‌شود. LetsEncrypt گواهی‌نامه DV  صادر می‌کند در نتیجه تنها می‌تواند مالکیت دامنه را اثبات کند.

بنابراین به نظر می‌رسد بهترین راه مقابله با حملات فیشینگ توجه بیشتر به آدرس سایتی است که بازدید می‌کنیم.

محصولات مشابه فروشی
هشتگ ها :

این محصول بدون نظر می باشد شما میتوانید اولین نظر را ثبت کنید

ارسال نظر

آخرین های مشابه مشاهده بیشتر

  • تلفن : 04136383693
  • پیامک : 500020606688
  • آدرس : آذربایجان شرقی، تبریز، شهرک مصلی، خیابان راجی، راجی 4، کوچه بیست هشتم، قطعه 1339، طبقه چهارم

ملت وب در سال 1393 فعالیت خود را در چهار بخش قالب های آماده، طراحی لوگو، طراحی سایت، طراحی بنر آغاز کرده است، که در مدت بسیار کم با تلاش های بی وقفه خود و همکاران توانسته بزرگترین وب سایت ارائه دهنده قالب های با کیفیت در ایران باشد رمز موفقیت شرکت ملت وب پشتیبانی بی دریغ از کاربران خود می باشد ما موقعیت خود را مدیون مشتریان وفادار خود هستیم پس همیشه همراهشان خواهیم بود .

  • logo-samandehi