گوگل کاهش دوره مجوزهای HTTPS به یک سال را پیشنهاد داد
گوگل قصد دارد عمر مجوزهای SSL را از دورهی کنونی دوساله به کمی بیشتر از یک سال کاهش دهد. مجوزهای مذکور برای حفظ امنیت ترافیک رمزنگاریشدهی HTTPS استفاده میشوند. رایان اسلیوی، نمایندهی گوگل در جلسهی F2F انجمن CA/B در تسالونیکی یونان، طرح مذکور را ارائه کرد. انجمن CA/B سازمان صنعتی غیررسمی است که شرکتهای ذینفع در فرایندهای اهدای مجوز SSL در آن شرکت دارند. CA برای شرکتهایی است که مجوز را اهدا میکنند و B نیز برای شرکتهای توسعهدهندهی مرورگر استفاده میشود.
پیشنهادی که گوگل ازطریق نمایندهاش در جلسهی ماه ژوئیه ارائه کرد، مارس ۲۰۲۰ را بهعنوان زمان اجرای طرح پیشنهاد میدهد. طبق متن پیشنهاد، از آن زمان دورهی زمانی اعتبار مجوزهای SSL به ۳۹۷ روز (در حدود یک سال و یک ماه) کاهش پیدا میکند. شایان ذکر است درحالحاضر مجوزهای مذکور تا ۸۲۵ روز (حدود دو سال و سه ماه) اعتبار دارند. البته، در جلسهی انجمن برای تأیید یا رد دورهی پیشنهادی رأیگیری نشد؛ اما اکثر شرکتهای عرضهکنندهی مرورگر، موافقت نسبی خود را با دورهی زمانی جدید اعلام کردند.
شرکتهای ارائهکنندهی SSL با پیشنهاد گوگل چندان موافق نبودند. توسعهدهندههای مرورگر در ۱۵ سال گذشته، دورهی زمانی مجوزهای SSL را در نوبتهای متعدد کاهش دادهاند؛ یعنی از هشت به پنج و سپس سه و دو سال رسید. آخرین تغییر در عمر مجوزهای SSL در مارس ۲۰۱۸ رخ داد. در آن زمان توسعهدهندههای مرورگر تصمیم گرفتند عمر مجوزها را از سه سال به یک سال کاهش دهند که با مخالفت ارائهکنندههای مجوز روی دو سال دورهی زمانی بهتوافق رسیدند. اکنون و پس از گذشت دو سال از آخرین تغییر در دورهی اعتبار مجوزهای SSL، ارائهکنندهها تصور میکنند توسعهدهندههای مرورگر بدون توجه به رأیگیری سال ۲۰۱۸، بهنوعی در تغییر دورههای زمانی زورگویی میکنند.
تیموتی هولبیک، نمایندهی DigiCert در انجمن CA/B برای نشاندادن موقعیت و نظر شرکتش دربارهی طرح جدید، به پستی وبلاگی اشاره کرد. نظر او و تیمش دربارهی کاهش دورهی زمانی کاملا برخلاف نظر گوگل است. هولبیک در بخشی از پست مذکور نوشت:
چه مزیت امنیتی برای توجیه هزینههای این تغییر وجود دارد؟ کاملا روشن است که نمیتوان مزیتی برای تغییر دورهی زمانی متذکر شد. این تغییر تأثیری روی وبسایتهای مخرب نمیگذارد؛ چون آنها برای مدت بسیار کوتاهی فعالیت میکنند که به چند هفته و چند روز محدود میشود. پس از آن دورهی کوتاه، دامنهی وبسایت به فهرستهای سیاه سرویسهای امنیتی افزوده میشود و مجرمان سایبری دامنهی جدیدی خواهند خرید.
مدیر اجرایی DigiCert درادامهی توضیحات خود میگوید کاهش دورهی زمانی مجوزها، تنها موجب افزایش هزینه برای مشتریان آنها میشود. مشتریان همان صاحبان وبسایت هستند که برای مجوزهای SSL هزینه پرداخت میکنند. با کاهش دورهی زمانی، وظایف نیروی انسانی آنها برای بهروز نگهداشتن مجوزها و خدمات نگهداری در زمان انقضا نیز بیشتر میشود. البته، هولبیک اعتقاد دارد عمر کم مجوزها انتقال را در زمان تغییر قوانین آسانتر میکند؛ اما استانداردها نباید با چنین سرعت و دورهی زمانی کوتاهی تغییر کنند.
شاید کاهش مدت اعتبار مجوز SSL تأثیر زیادی بر امنیت فضای وب نگذارد
اسکات هلم، از محققان امنیتی، در پاسخ به پست وبلاگی هولبیک در توییتر نوشته بود مزایای امنیتی کاهش اعتبار زمانی مجوزهای SSL، به وبسایتهای بدافزازی و فیشینگ ارتباط ندارد. از دیدگاه او، کاهش دورهی زمانی به رفع مشکلات ابطال مجوز SSL منجر میشود. او اعتقاد دارد فرایند ابطال اکنون بهخوبی انجام نمیشود و مجوزهای SSL تا سالها پس از سوءاستفاده هنوز به حیات خود ادامه میدهند. به همین دلیل، او در سال ۲۰۱۸ هم از طرفداران کاهش دورهی زمانی مجوزها بود؛ چون اعتقاد داشت کاهش دوره موجب حل مشکل مجوزهای مخرب میشود و آنها را با سرعت بیشتری از فضای وب پاک میکند.
Sectigo بزرگترین شرکت ارائهکنندهی مجوزهای SSL محسوب میشود که قبلا بهنام Comodo فعالیت میکرد. آنها برخلاف دیگران بازخورد مثبتتری به تغییر احتمالی دورهی زمانی مجوزها داشتند. شرکت از پیشنهاد جدید برای تبلیغات بیشتر ابزارهای خودکارسازی تمدید مجوز SSL استفاده کرد. درواقع، آنها برخلاف DigiCert بهجای رویارویی عمومی با توسعهدهندههای مرورگر، احتمال تأیید نهایی پیشنهاد را زیاد دانستند و از آن برای معرفی ابزارها و محصولات خود استفاده کردند.
درگیری مذکور میان ارائهکنندههای مجوز SSL و توسعهدهندههای مرورگر از سالها پیش و در پشتصحنهی تغییرات امنیتی دنیای وب وجود داشته است. وبلاگ HashedOut متمرکز بر اخبار HTTPS ادعا میکند پیشنهاد جدید بیش از همه نشان میدهد کدام بازیگران فرمانروایی حوزهی HTTPS را دراختیار دارند. در پست این وبلاگ دربارهی پیشنهاد جدید گوگل میخوانیم:
اگر شرکتهای CA با پیشنهاد جدید مخالفت کنند، احتمالا مرورگرها اقدامی یکطرفه انجام میدهند و تغییر را بهاجبار نهایی میکنند. چنین اقدامی بیسابقه نیست؛ اما بههرحال تاکنون در موضوعی اینقدر مشترک و نیازمند همکاری رخ نداده است. اگر چنین اتفاقی رخ دهد، باید از خود بپرسیم وجود انجمن CA/B چه دلیل و توجیهی دارد؟ چون در وضعیت مذکور، مرورگرها همهی موارد را تصویب میکنند و وجود دیگران هیچ توجیهی ندارد.
DigiCert پس از مطرحشدن پیشنهاد در انجمن CA/B فرایند نظرسنجی را بهصورت ناشناس در بین کاربران خود اجرا کرد تا تأثیر کوتاهکردن دورهی اعتبار SSL را بر شرایط کاری آنها بررسی کند. اگر کاربران از تغییرات احتمالی شکایت کنند، قطعا شرکت مذکور از نتایج نظرسنجی برای مخالفت با پیشنهاد گوگل استفاده خواهد کرد.
نظرات