مرورگر سافاری وب‌سایت‌های دارای گواهینامه امنیتی قدیمی را مسدود می‌کند

اپل اعلام کرده که از اول سپتامبر سال میلادی جاری، مرورگر سافاری سایت‌هایی را که از عمر گواهی امنیتی آن‌ها بیش از ۳۹۸ روز (یا ۱۳ ماه) گذشته باشد، با خطای امنیتی به کاربر نمایش می‌دهد.

اپل در چهل‌ونهمین گردهمایی اعضای کنسرسیوم داوطلبانه‌ای از شرکت‌هایی که گواهی امنیتی یا گواهی SSL/TSL برای وب‌سایت‌ها ارائه می‌کنند، خبر از این برنامه و زمان اجرای آن داد.

سایت‌هایی که از پروتکل HTTPS استفاده می‌کنند همه از گواهینامه‌های امنیتی‌ای بهره می‌برند که اطلاعات رد و بدل شده بین سایت و بازدیدکننده یا کاربر آن را با رمزنگاری داده‌ها محافظت می‌کند. بدین‌ترتیب اطلاعات رمزنگاری شده بین مرورگر کاربر و سایت مقصد تنها در مبدا و مقصد قابل رمزگشایی هستند و چیزی جز اطلاعات رمزنگاری شده و ناخوانا در اختیار کسی که در بین راه مشغول شنود داده‌ها است، قرار نمی‌گیرد. 

http vs https

برای مثال اگر شما در صفحه‌ای با فرم ورود که آدرس آن فاقد HTTPS (یا علامت قفل بسته شده) است اطلاعات لاگین خود را وارد کنید، این اطلاعات بدون رمزنگاری از مرورگر شما به سایت مقصد منتقل شده و در بین راه برای کسی که مشغول شنود است، خوانا هستند.

این تصمیم اپل منجر به کاهش تعداد گواهینامه‌های امنیتی طولانی‌مدت می‌شود که احتمال شنودشان از سوی هکرها یا دولت‌ها بیشتر است

بازه زمانی طولانی‌تر برای گواهینامه‌های امنیتی به‌صورت بالقوه می‌تواند ریسک لو رفتن آن و دسترسی حمله‌کنندگان اینترنتی و هکرها به کلید رمزنگاری و نهایتا دستیابی به اطلاعات کاربران آن وب‌سایت در بین راه را افزایش دهد. 

این تصمیم اپل منجر به کاهش تعداد گواهینامه‌های امنیتی طولانی‌مدت می‌شود که احتمال شنودشان از سوی هکرها یا دولت‌ها بیشتر است. به گزارش سایت The Register در حال حاضر سایت‌های مطرحی همچون سایت مایکروسافت و گیت‌هاب از گواهینامه‌های امنیتی دو ساله استفاده می‌کنند. طبق سیاست جدید اپل سایت‌هایی همچون نمونه‌های یاد شده حداکثر تا قبل از آغاز سپتامبر ۲۰۲۰ ملزم به تغییر گواهینامه امنیتی خود هستند. البته تولیدکنندگان سایر مرورگرهای مطرح (از جمله موزیلا، گوگل و مایکروسافت) نیز باید به این حرکت اپل بپیوندند تا سایت‌های بیشتری ملزم به تعویض گواهی امنیتی خود شوند.

در صورت مراجعه به سایتی که به‌رغم برخورداری از HTTPS گواهی امنیتی آن به هر دلیلی از سوی مرورگری مثل سافاری با عدم تأیید روبه‌رو شود، پیغامی شبیه به تصویر زیر در این مرورگر نمایش داده می‌شود.

سافاری خطا

شرکت‌هایی که گواهینامه‌های امنیتی را منتشر می‌کردند، در اوایل کار این گواهینامه‌ها را با اعتبار پنج ساله در اختیار درخواست‌کنندگان قرار می‌دادند که در سال ۲۰۱۷ دوره اعتبار با توافق اعضا به ۸۲۵ روز رسید.

معنی کاهش این دورهٔ زمانی برای کاربران وب‌سایت‌ها این است که سایتی که در حال مرور آن هستند از آخرین استانداردهای رمزنگاری و امنیتی برای محافظت از اطلاعات و حریم شخصی آن‌ها بهره می‌برد.

از طرفی توسعه‌دهندگان و مدیران سایت‌ها باید زمان و توجه بیشتری را به مدیریت گواهینامه‌های امنیتی وب‌سایت(های) خود اختصاص دهند.

در این میان برخی مجموعه‌ها مانند Let's Encrypt که گواهی‌های امنیتی رایگان را برای افزایش امنیت کاربران اینترنتی و صاحبان سایت‌ها عرضه می‌کند، از ابزارهایی برای تمدید خودکار گواهینامه‌های امنیتی استفاده می‌کند. با این وجود، کاهش دوره اعتبار این گواهینامه‌های امنیتی که اپل آغازگر آن شده است، می‌تواند در کنار افزایش ضریب اعتماد کاربران به امنیت وب‌سایت‌های مد نظرشان، نگه‌داری از سایت‌های شخصی، شرکتی و سازمانی را اندکی مشکل‌تر کند.

منبع TNW 9to5mac

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید