مرورگر سافاری وبسایتهای دارای گواهینامه امنیتی قدیمی را مسدود میکند
اپل در چهلونهمین گردهمایی اعضای کنسرسیوم داوطلبانهای از شرکتهایی که گواهی امنیتی یا گواهی SSL/TSL برای وبسایتها ارائه میکنند، خبر از این برنامه و زمان اجرای آن داد.
سایتهایی که از پروتکل HTTPS استفاده میکنند همه از گواهینامههای امنیتیای بهره میبرند که اطلاعات رد و بدل شده بین سایت و بازدیدکننده یا کاربر آن را با رمزنگاری دادهها محافظت میکند. بدینترتیب اطلاعات رمزنگاری شده بین مرورگر کاربر و سایت مقصد تنها در مبدا و مقصد قابل رمزگشایی هستند و چیزی جز اطلاعات رمزنگاری شده و ناخوانا در اختیار کسی که در بین راه مشغول شنود دادهها است، قرار نمیگیرد.
برای مثال اگر شما در صفحهای با فرم ورود که آدرس آن فاقد HTTPS (یا علامت قفل بسته شده) است اطلاعات لاگین خود را وارد کنید، این اطلاعات بدون رمزنگاری از مرورگر شما به سایت مقصد منتقل شده و در بین راه برای کسی که مشغول شنود است، خوانا هستند.
این تصمیم اپل منجر به کاهش تعداد گواهینامههای امنیتی طولانیمدت میشود که احتمال شنودشان از سوی هکرها یا دولتها بیشتر است
بازه زمانی طولانیتر برای گواهینامههای امنیتی بهصورت بالقوه میتواند ریسک لو رفتن آن و دسترسی حملهکنندگان اینترنتی و هکرها به کلید رمزنگاری و نهایتا دستیابی به اطلاعات کاربران آن وبسایت در بین راه را افزایش دهد.
این تصمیم اپل منجر به کاهش تعداد گواهینامههای امنیتی طولانیمدت میشود که احتمال شنودشان از سوی هکرها یا دولتها بیشتر است. به گزارش سایت The Register در حال حاضر سایتهای مطرحی همچون سایت مایکروسافت و گیتهاب از گواهینامههای امنیتی دو ساله استفاده میکنند. طبق سیاست جدید اپل سایتهایی همچون نمونههای یاد شده حداکثر تا قبل از آغاز سپتامبر ۲۰۲۰ ملزم به تغییر گواهینامه امنیتی خود هستند. البته تولیدکنندگان سایر مرورگرهای مطرح (از جمله موزیلا، گوگل و مایکروسافت) نیز باید به این حرکت اپل بپیوندند تا سایتهای بیشتری ملزم به تعویض گواهی امنیتی خود شوند.
در صورت مراجعه به سایتی که بهرغم برخورداری از HTTPS گواهی امنیتی آن به هر دلیلی از سوی مرورگری مثل سافاری با عدم تأیید روبهرو شود، پیغامی شبیه به تصویر زیر در این مرورگر نمایش داده میشود.
شرکتهایی که گواهینامههای امنیتی را منتشر میکردند، در اوایل کار این گواهینامهها را با اعتبار پنج ساله در اختیار درخواستکنندگان قرار میدادند که در سال ۲۰۱۷ دوره اعتبار با توافق اعضا به ۸۲۵ روز رسید.
معنی کاهش این دورهٔ زمانی برای کاربران وبسایتها این است که سایتی که در حال مرور آن هستند از آخرین استانداردهای رمزنگاری و امنیتی برای محافظت از اطلاعات و حریم شخصی آنها بهره میبرد.
از طرفی توسعهدهندگان و مدیران سایتها باید زمان و توجه بیشتری را به مدیریت گواهینامههای امنیتی وبسایت(های) خود اختصاص دهند.
در این میان برخی مجموعهها مانند Let's Encrypt که گواهیهای امنیتی رایگان را برای افزایش امنیت کاربران اینترنتی و صاحبان سایتها عرضه میکند، از ابزارهایی برای تمدید خودکار گواهینامههای امنیتی استفاده میکند. با این وجود، کاهش دوره اعتبار این گواهینامههای امنیتی که اپل آغازگر آن شده است، میتواند در کنار افزایش ضریب اعتماد کاربران به امنیت وبسایتهای مد نظرشان، نگهداری از سایتهای شخصی، شرکتی و سازمانی را اندکی مشکلتر کند.