Let’s Encrypt و مقابله با حملات فیشینگ

چند سالی است که Let’s Encrypt با کمک و همکاری شرکت‌ها و بنیادهایی مانند موزیلا، سیسکو، فیسبوک و … سرویس CA را با هدف ارائه رایگان گواهی HTTPS به صورت آزاد و باز و رایگان ایجاد کرده است. با کمک این CA سایت‌هایی زیادی توانسته‌اند به رایگان و آسانی گواهی HTTPS دریافت کنند.
این سرویس می‌تواند به امن‌تر کردن وب کمک کند و شنود پیام‌ها را برای دیگران سخت کند. اما گویا این سرویس می‌تواند معایبی نیز داشته باشد! از آنجا که این سرویس رایگان است کلاه‌برداران می‌توانند به راحتی یک سایت فیشینگ با گواهی HTTPS داشته باشند.
در دو عکس زیر صفحات فیشینگ سایت یک بانک را می‌بینید. تصویر اول  صفحه فیشینگ بدون گواهی و تصویر دوم صفحه فیشینگ با گواهی است. بیشتر کاربران وجود گواهی HTTPS (علامت قفل سبز رنگ) را دلیلی بر اصالت صفحه می‌دانند و به صفحات فیشینگ با این مشخصات اعتماد می‌کنند.

                                                    صفحه ورود بانک با گواهینامه ssl معتبر

                                                 صفحه فیشینگ ورود به بانک با گواهینامه ssl

یکی از روش‌های مقابله با این حملات بررسی دامنه است. LetsEncrypt و سایر CA ها بررسی دامنه و حذف صفحات آلوده و فیشینگ را وظیفه خود نمی‌دانند. در حقیقت CA ها معتقدند با حملات فیشینگ باید در سطوح پایین‌تر مقابله شود (به عنوان مثال فروشنده دامنه یا هاست باید سایت‌های آلوده را شناسایی و حذف کند و یا مرورگرها نباید سایت‌هایی آلوده را نمایش دهند. با این وجود  LetsEncrypt با استفاده از سرویس SafeBrowsing دامنه‌ها را بررسی می‌کنند و به دامنه‌هایی که به عنوان دامنه‌های خطرناک ثبت شده‌اند خدمات نمی‌دهند.
با اینکه این روش می‌تواند تا حدودی مشکلات امنیتی را کاهش دهد اما همیشه کارگشا نیست، سایت‌ها می‌توانند بعد از دریافت گواهی محتویات خود را تغییر دهند. بنابراین به نظر می‌رسد بهترین راه مقابله با این حملات آموزش کاربران است. عموم کاربران تصور می‌کنند علامت و قفل سبز رنگ کنار یک سایت درستی محتویات سایت را نیز تایید می‌کند در صورتی که این تصور اشتباه است. بهتر است برای درک بهتر این موضوع با گواهی‌نامه DV آشنا شویم.

گواهی‌نامه DV: گواهی‌نامه Domain-validated certificate  که به صورت مخفف DV نامیده می‌شود  گواهی‌نامه‌ای است که موجودیت درخواست‌کننده گواهی‌نامه را تنها با نام دامنه تایید می‌کند. در این گواهی‌نامه درخواست‌کننده گواهی‌نامه باید به یکی از روش‌های زیر مالکیت بر دامنه را تصدیق کند.
۱- صادرکننده گواهی  ایمیلی به آدرس ایمیل که در DNS مشخص شده ارسال می‌کند و درخواست کننده باید به این ایمیل جواب دهد.
۲- صادر کننده گواهی ایمیلی به آدرس‌های ایمیل مشخص مانند admin@domain.com و یا webmaster@domain.com ارسال می‌کند و درخواست کننده باید به این ایمیل جواب دهد.
۳- درخواست کننده باید بنا به درخواست صادرکننده گواهی یک رکورد txt  اختصاصی برای دامنه بسازد.
۴- بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.

در صورتی که درخواست‌کننده گواهی به یکی از روش‌های بالا بتواند مالکیت بر دامنه را اثبات کند صادر کننده برای این دامنه یک گواهی تایید صادر می‌کند. به بیان دیگر گواهی DV تنها مالکیت بر یک دامنه را اثبات می‌کند. گواهی‌نامه DV عموما به صورت خودکار صادر می‌شود. LetsEncrypt گواهی‌نامه DV  صادر می‌کند در نتیجه تنها می‌تواند مالکیت دامنه را اثبات کند.

بنابراین به نظر می‌رسد بهترین راه مقابله با حملات فیشینگ توجه بیشتر به آدرس سایتی است که بازدید می‌کنیم.