گزارشی از آنچه بر سر Let's Encyprt آمد
مجوز بیش از سه‌میلیون وب‌سایت به‌‌دلیل باگ پیش‌آمده لغو شد
کد مطلب: 16448
تاریخ انتشار : شنبه ۲۴ اسفند ۱۳۹۸ ساعت ۱۱:۰۰
 
هفته‌ گذشته یک رخداد سایبری در سرویس Let's Encrypt رخ داد که میلیون‌ها وب‌سایت را تقریبا از دسترس خارج کرد؛ اما پنج روز تلاش متخصصان مانع از پیشرفت آن شد
گزارشی از آنچه بر سر Let
 
 
Share/Save/Bookmark
هفته‌ گذشته یک رخداد سایبری در سرویس Let's Encrypt رخ داد که میلیون‌ها وب‌سایت را تقریبا از دسترس خارج کرد؛ اما پنج روز تلاش متخصصان مانع از پیشرفت آن شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اخیرا رخدادی در سطح وسیع در سرویس‌های زیرساختی اینترنت رخ داد که احتمال بزرگ‌شدن و افزایش تأثیر آن زیاد بود؛ البته تلاش متخصصان از افزایش تأثیر بحران جلوگیری کرد. بحران در اینترنت ۲۸ فوریه و با خبری نگران‌کننده در Let's Encyprt شروع شد. این شرکت یکی از بازوهای عملیاتی سازمان غیرانتفاعی گروه تحقیقات امنیتی اینترنت محسوب می‌شود و امکان بهره‌برداری از اتصال‌های امن و رمزنگاری‌شده را رایگان در اختیار وب‌سایت‌ها قرار می‌دهد. مجوزهای امنیتی ارسال‌شده امن‌بودن وب‌سایت را تأیید و به‌نوعی زیرساخت‌های رمزنگاری پایه‌ای HTTPS را فراهم می‌کنند.

مجوزهای امن‌بودن وب‌سایت زمان اعتبار مشخصی دارند و پس از گذشت ۹۰ روز، مسئول هر وب‌سایت باید برای نوسازی مجوز اقدام کند. گفتنی است بخش عمده‌ای از فرایند به‌صورت خودکار انجام می‌شود؛ اما درنهایت اگر وب‌سایتی موفق نشود مجوز خود را تمدید کند، احتمالا مرورگر برای جلوگیری از سوءاستفاده‌ امنیتی، آن را بارگذاری نخواهدکرد. به‌طور خلاصه، می‌توان مجوزها را مانند تمدید مجوز بیمه یا مدارک دیگر خودرو دانست که اگر در زمان مقرر انجام نشود، ممنوعیت عبورومرور را به‌همراه خواهد داشت.

فعالیت‌هایی که بازوی رمزنگاری غیرانتفاعی انجام می‌دهد، جزئیات زیادی دارد و اغلب آنها هم از دید کاربران مخفی هستند. به‌هرحال، همین مرکز باعث شد در سال‌های گذشته، فضای اینترنت روز‌به‌روز امن‌تر شود. مجوزهای اعتبار امنیتی وب‌سایت‌ها را سازمان‌ها و شرکت‌های گوناگون صادر می‌کنند؛ اما Let's Encrypt با رایگان‌کردن آنها، قدم بزرگی در مسیر امن‌ترکردن فضای وب برداشت. آنها هفته‌ گذشته مجوز شماره‌ یک‌میلیاردم خود را هم صادر کردند.

بزرگ و گسترده بودن فعالیت Let's Encrypt و وابستگی تعداد زیادی وب‌سایت به آن، ضعف‌هایی هم به‌همراه دارد. اگر مشکلی در زیرساخت‌های این سازمان ایجاد شود، عواقب آن گریبان‌گیر بسیاری از فعالان وب خواهدشد. ۲۸ فوریه، اتفاق نگران‌کننده رخ داد و باگی در سیستم امنیتی سازمان از فعالیت صحیح سه‌میلیون وب‌سایت جلوگیری کرد و چند روز هم به طول انجامید.

آسیب‌پذیری ایجادشده در زیرساخت اهدا و تأیید مجوزها در نگاه اول بسیار جزئی به‌نظر می‌رسد. سازمان تأیید مجوز از نرم‌افزاری به‌نام Boulder برای تأیید صحیح‌بودن اهدای مجوز به وب‌سایت بهره می‌برد. نرم‌‌افزار مذکور پیش‌نیازهای اولیه‌ وب‌سایت را برای دریافت مجوز بررسی می‌کند و فرایند هر ۳۰ روز یک‌بار تکرار می‌شود. باگی که در سیستم ایجاد شد، بررسی ثانویه را حذف می‌کرد که عواقب بزرگی به‌همراه داشت. فراموش نکنید برخی مقاصد مهم و حساس وب مانند بانک‌ها، تنها مجوزهایی می‌پذیرند که از سازمان‌های خاص اهدا شده‌باشند. اگرچه Let's Encrypt ساختار بسیار امنی دارد، برخی مجوزها پولی و ضمانت و ارتقای درخور توجهی در کنار مجوزهای خود ارائه می‌کنند. درواقع، همین بخش‌ها تفاوت اصلی سرویس‌های پولی و رایگان را ایجاد می‌کند.

باگی که در سیستم مجوزدهی ایجاد شد، تأثیر آن‌چنان زیادی بر وب‌سایت‌ها نگذاشت. این باگ مجوز ۲/۶ درصد از وب‌سایت‌های طرف قرارداد با Let's Encrypt (برابر ۳ میلیون و ۴۸ هزار و ۲۸۹ وب‌سایت) را تحت‌تأثیر قرار می‌داد و شرکت نمی‌توانست آنها را به حال خود رها کند. به بیان ساده، مجوز حدود سه‌میلیون وب‌سایت با روشی غیراصولی تمدید شده‌بود و سازمان باید مشکل را حل می‌کرد.

انجمن امنیتی موسوم به Certification Authority Browser Forum یا CA/B از Let's Encrypt درخواست کرد مشکل سه‌میلیون مجوز را در پنج روز حل کند. این انجمن استانداردهای سخت‌گیرانه‌ای در استفاده از مجوزهای امنیتی در وب‌سایت‌ها دارد. Let's Encrypt ابتدا باید مجوزهای صادرشده را باطل می‌کرد و فرایند بررسی را از سر می‌گرفت. آنها می‌توانستند بدون توجه به هشدار CA/B به فعالیت ادامه دهند؛ اما تصمیم گرفتند مشکل را حل کنند.

کنت وایت از مدیران ارشد سرویس دیتابیس MangoDB است که از Let's Encrypt استفاده می‌کند. وی درباره‌ تصمیم سازمان گفت: آنها کار صحیح را انجام دادند. انجمن CA/B قوانین را تصویب می‌کند و ساختارهای تنظیم‌گری دقیقی دارد. وقتی کامپیوتر یا شخص با کامپیوتر دیگری ارتباط برقرار می‌کند، باید مطمئن شویم هر دو از ملاک‌های هویتی مشابه استفاده می‌کنند. برای چنین مقصودی به چهارچوب‌های مشخص نیاز داریم که CA/B تدوین می‌کند.

حذف‌کردن مجوز سه‌میلیون وب‌سایت مشتری Let's Encrypt تأثیر عمیقی بر عملکرد آنها گذاشت. وقتی مرورگرهایی همچون کروم و فایرفاکس از نبود مجوز مطلع می‌شدند، بارگذاری آن را متوقف و اعلان هشداری برای کاربر ارسال می‌کردند. برخی از مرورگرها نیز بدون هشدار دسترسی را به‌صورت کامل متوقف می‌کنند؛ درنتیجه، تعداد چشمگیری از وب‌سایت‌های اینترنتی از دسترس خارج می‌شد. همه‌ این بحران‌ها فقط به‌‌دلیل باگی کوچک در گوشه‌ای از سیستم Let's Encrypt رخ می‌داد.

تیم Let's Encrypt به‌محض اطلاع از باگ، هرگونه ارائه‌ی مجوز جدید را متوقف کردند تا سطح تأثیر بحران افزایش پیدا نکند. تنها دو ساعت بعد، باگ برطرف و اخبار تکمیلی منتشر شد. البته آن‌ها امکان برقراری تماس با همه‌ی مشتریان را نداشتند و تنها به مشترکان بزرگ اطلاع‌رسانی کردند. مجوز آن‌ها بسیار سریع احیا شد و وب‌سایت‌ها به وضعیت قبل بازگشتند.

اگر مدیر وب‌سایت مجوز خود را در Let's Encrypt به‌روزرسانی کند، مجوز قدیمی به‌صورت خودکار حذف می‌شود؛ درنتیجه، شاید چنین راهکاری در نگاه اول به‌عنوان راه‌حل مناسب برای مشکل جدید به ذهن می‌رسید، اما فرایندها به آن آسانی نبود که تصور می‌شد. وب‌سایت‌ها و سرویس‌های بزرگ منابع کافی برای نظارت دائم و برطرف‌کردن خودکار مشکلات خود را دارند. به‌عنوان مثال، MangoDB به‌سرعت مجوز ۱۵ هزار مشتری خود را به‌روز کرد.

وب‌سایت‌های کوچک‌تر برای عبور از بحران پیش‌آمده در Let's Encrypt از کمک Electronic Frontier Foundation بهره بردند که نرم‌افزار Certbot را برای آنها ارائه می‌کند. نرم‌افزار مذکور مجوزهای مرتبط را به وب‌سایت‌ها اضافه و آنها را در دوره‌ ۶۰ روزه تمدید می‌کند. Certbot فقط در دو ماه گذشته، ۱۹/۲ میلیون مجوز جدید صادر کرده‌است. مکس هانتر، مدیر مهندسی EFF، درباره‌ حل مشکل جدید برای وب‌سایت‌های کوچک‌تر گفت: از آنجایی که Let's Encrypt مشکل را به‌سرعت اعلام کرد و زیرساخت‌های کدنویسی لازم هم دردسترس بود، ما کار دشواری در پیش نداشتیم.

گروهی از EFF به‌همراه داوطلب‌هایی از پاریس و فنلاند وارد عمل شدند و کدهای Certbot برای تمدید مجوزهای باطل‌شده بهینه‌سازی شد.

Let's Encrypt در زمان مقابله با مشکل پیش‌آمده، تقریبا برای هر آدرس ایمیلی که دراختیار داشت، پیام ارسال کرد. به‌علاوه، دیتابیسی جست‌وجو‌شدنی از دامین‌های تحت‌تأثیر آماده کرد تا شرکت‌های میزبانی وب درصورت نیاز به مشتریان احتمالی خود اطلاع‌رسانی کنند. برخی از سرویس‌ها ابزارهای خودکار داشتند و با واردکردن وب‌سایت‌های قربانی به فهرست اتمام مجوز، مجوز آن‌ها به‌سرعت تمدید شد.

فقط ۳۰ دقیقه پیش از پایان مهلت پنج‌روزه‌ Let's Encrypt، حدود ۱/۷ میلیون وب‌سایت از مجموع سه‌میلیون وب‌سایت مجوز خود را تمدید کرده‌بودند. چنین تعدادی در زمان بسیار کم، دستاورد بزرگی برای سازمان غیرانتفاعی بود که کمتر شرکتی توانایی انجام آن را دارد. مجوز سایر وب‌سایت‌ها نیز با تصمیم شرکت و سازمان‌های قانون‌گذار مرتبط، پس از پایان ضرب‌الاجل لغو شد. از آنجایی که مجوزها معمولا هر ۹۰ روز یک‌بار تمدید می‌شوند، احتمالا تا تابستان هیچ وب‌سایت دیگری تحت‌تأثیر بحران پیش‌آمده قرار نخواهد گرفت؛ هرچند قطعا بسیاری از آنها در این مدت متوجه مشکل پیش‌آمده خواهندشد.

رخداد پیش‌آمده نشان می‌دهد اهمیت زیرساخت‌های پشت‌صحنه‌ اینترنت تا پیش از رخ‌دادن بحران ناشناخته است. به‌هرحال بررسی این مشکل‌ها و تصمیم‌های صحیحی که برای رفع آنها گرفته‌شد، نمونه‌ای از اهمیت واکنش سریع در سطح زیرساختی را نشان می‌دهد.
مرجع : زومیت