همان طور که می دانیم، اطلاعاتی که به طور معمول در صفحات وب رد و بدل می شوند در بستر پروتکل HTTP یا Hyper Text Transfer Protocol انتقال می یابند، این پروتکل استانداردی تعریف شده است که با آن متن ساده یا plain text را منتقل می کنند، از طرفی این داده ها به دلیل رمزنگاری نشدن، برای افراد سوم شخص قابل خواندن هستند، مثلا اگر پسورد خود را در بستر این پروتکل به سروری منتقل کنید، ممکن است از طریق سرویس دهنده اینترنت، قابل روئیت باشد (با استفاده از برنامه هایی تحت عنوان sniffer)، لذا http از لحاظ امنیتی برای کارهایی که به اطلاعات حساس از جمله حسابهای بانکی و رمزهای مشتریان مربوط می شود اصلا مناسب نیست، از این رو بانک ها و فروشگاههای اینترنتی و در کل سایتهایی که امنیت کاربران برایشان اهمیت زیادی دارد، از پروتکلی دیگر به نام HTTPS یا Hyper Text Transfer Protocol Secure بدین منظور استفاده می کنند.

مشکلات ویژه در کار با https

در این مقاله قصد داریم به بررسی مشکلات پروتکل HTTPS که مورد اعتماد اغلب مردم است و از آن استفاده میکنند بپردازیم
HTTPS با استفاده از SSL تایید هویت و امنیت فراهم میکند بنابراین شما می دانید که شما به سایت درست و اصلی متصل شده اید و کسی امکان دزدین اطلاعات شما را ندارد به هر حال این یک نظریه می باشد ولی در عمل SSL بر روی اینترنت یک مسافر یا سربار است.این به این معنا نیست که رمزنگاری HTTPS و SSL فاقد ارزش می باشد.بلکه استفاده از این پروتکل ها خیلی بهتر از استفاده از پروتکل رمزنگاری نشده HTTP می باشد.حتی در بدترین حالت یک اتصال به خطرافتاده HTTPS بهتر و امن تر از اتصال با استفاده از HTTP است.

1) تعداد واقعی موسسات صدور گواهینامه https

مرورگر شما از لیستی از گواهینامه های قابل اعتماد ساخته شده است.مرورگرها فقط به گواهینامه های صادر شده توسط این گواهی نامه اعتماد میکند.اگر شما به آدرس https://example.com سربزنید وب سرور موجود در example.com به شما یک گواهینامه SSL نشان می دهد تا مرورگرتان بررسی کند و مطمئن شود که گواهینامه SSL برای example.com توسط یک گواهینامه معتر موجود در لیست گواهینامه ها صادر شده است یا خیر.اگر گواهینامه برای دومین دیگر صادر شده باشد و یا در لیست گواهینامه های قابل اطمینان وجود نداشته باشد شما یک هشدار جدی را در مرورگر خود مشاهده خواهید کرد. یکی از مشکلات عمده این است که تعداد زیادی گواهینامه در لیست وجود دارد بنابراین مشکل با یک گواهینامه معتبر ممکن است برای افراد زیادی اتفاق بیفتد. به عنوان مثال شما ممکن است یک گواهینامه SSL را برای domain خود از زیرمجموعه verisign بگیرید و یک نفر دیگر می تواند با حقه و زیرکی گواهینامه معتبر دیگری را برای domain شما بگیرد.

مطالعات نشان می دهد که موسسات ارائه دهنده گواهی نامه (certificate)، از کمترین میزان دیجیتالی شدن در صدور گواهی نامه ها برخوردارند. آن ها برای مکان هایی مانند localhost (همیشه بیان گر کامپیوتر محلی است) که نیازی به گواهی نامه ندارند، گواهی های SSL صادر کرده اند. در سال 2011، EEF بیش از 2000 گواهی نامه را برای localhost پیدا کرد که توسط موسسه های معتبر و قابل اطمینان صادر شده بودند. اگر این مسئله را در نظر بگیریم که موسسه های صدور گواهی نامه، در هنگام صدور این گواهی ها حتی به آدرس آن ها توجه نمی کنند، با کمی تامل متوجه اشتباه های دیگر این موسسه ها می شویم. حتی ممکن است که برای سایت های هکرها هم گواهی های معتبر صادر کرده باشند.گواهی نامه های EV سعی در حل این مشکل دارند. در این لینک مشکلات گواهی های SSL را بررسی کرده ایم و همچنین بیان کرده ایم که چگونه گواهی نامه های EV این مشکلات را برطرف می کنند.

3) موسسات صدور گواهینامه را می توان مجبور به صدرو گواهینامه های جعلی کرد

4) Perfect forward secrecy که یکی از روش های امن سازی در رمزنگاری هست در همه جا استفاده نشده است

بسیاری از سایت ها از تکنیک perfect forward secrecy تکنیکی که رمزگشایی را سخت میکند استفاده نمی کنند بدون روش perfect forward secrecy یک حمله کننده می تواند اطلاعات زیادی را بدست آورده و آنها را تنها با یک کلید مخفی رمزگشایی کند. همانطور که میدانید NSA و دیگر آژانس های امنیتی ایالتی سراسر جهان این اطلاعات را بدست می آورند. اگر آنها سال ها بعد کد رمزگذاری یک وبسایت را بدست بیاورند می توانند از آن برای رمزگشایی همه اطلاعات رمزگذاری شده بین آن وبسایت و هرشخصی که به آن وبسایت ها متصل شده اند استفاده کنند.
روش perfect forward secrecy به ایمن ماندن بوسیله ایجادکردن یک کلید منحصر به فرد برای هر بخش کمک می کند به عبارت دیگر هربخش به وسیله یک کلید سری متفاوت رمزگذاری می شود.پس در این صورت همه آنها نمی توانند رمزگشایی شوند.تنها با یک کلید می توان از این مسئله که فردی بتواند حجم عظیمی از اطلاعات را به یکباره رمزگشایی کند جلوگیری میکند. بدلیل اینکه تعداد بسیارکمی از وبسایت ها از این شیوه مهم امنیتی استفاده می کنند آژانس های امنیتی ایالتی می توانند در آینده همان اطلاعات را رمزگشایی کنند.

5) حمله به اطلاعات در میانه راه و کاراکترهای هم کدشده

متاسفانه حملات درمیان راه هموز با پروتکل SSL امکانپذیر است.در تئوری اتصال به شبکه عمومی wifi و سایت بانکها ایمن می باشد. شما میدانید که اتصال به دلیل اینکه بوسیله پروتکل HTTPS است ایمن میباشد و اتصال با HTTPS به شما کمک میکند تا شما متوجه شوید که واقعا به بانکتان متصل شده اید.درعمل اگر شما با استفاده از یک شبکه عمومی wifi به بانکتان متصل شوید ممکن است خطرناک باشد.راههایی وجود دارند که میتوانند به Hotspot ها بوسیله حملات میان انسانی صدمه بزنند به اطلاعات افرادی که به این شبکه ها متصل شده اند. به عنوان مثال یک wifi hotspot ممکن است به یک بانک متصل باشد ولی اطلاعات درمیانه راه به مقصد دیگر فرستاده شود. ممکن است این کار خیلی بی سروصدا و غیر مستقیم شما را به یک صفحه با پروتکل HTTP ببرد و از آن طریق به بانک و صفحه ای که به شما تعلق دارد متصل شود و همچنین ممکن است از یک آدرس HTTPS مشابه استفاده کند ابن آدرس مشابه مشخصات را در صفحه بانکتان جست و جو میکند ولی این کاملا متفاوت است و در واقع از کاراکترهای ویژه هم کد شده استفاده میکند. این آخرین و خطرناکترین نوع حمله است که به عنوان یک نوع حمله بین الملی از کلمات هموگراف شناخته شده است. وقتی شما تنطیمات کاراکترهای هم کدشده را بررسی کنید و در آن به جستوجو بپردازید شما کاراکترهایی که اساسا در 26 حرف الفبای لاتین وجود دارد را پیدا خواهید کرد شاید آن حرف O در google.com باشد.

چگونگی فعال کردن SSL در فایرفاکس

آموزش شماره 646 :

SSL)Secure Sockets Layer) اجازه اتصال امن به وب‌سایت ها را امکان‌پذیر میسازد، وب‌سایت‌هایی که از گواهی SSL استفاده می کنند از پروتکل httpsبهره می برند.

چنانچه‌ در هنگام وارد نمودن آدرس یک سایت در مرورگر Firefox با صفحه مشابه تصویر زیر مواجه شدید، جهت فعال کردن SSL در این مررورگر مراحل زیر را طی نمایید:

…………………………………………………………………………………………………….
SSL settings خود را بررسی کنید:
1.در بالای پنجره فایرفاکس، روی منوی Edit کلیک کنید و Preferences را انتخاب نمایید.
2.پنل Advanced را انتخاب نمایید.
3.روی تب Encryption کلیک کنید.
4.بررسی نمایید که از  SSL 3.0 و TLS 1.0 علامت دار باشند( انتخاب شده باشند)
اگر هر دو مورد انتخاب شده‌اند باید به مرحله بعدی بروید
اگر انتخاب نشده اند، هر دو را انتخاب نمایید.
روی close کلیک کنید تا پنجره ها بسته شوند.
اکنون دوباره امتحان نمایید.

……………………………………………………………………………………………………..
proxy settings را بررسی نمایید:
بعضی از کامپیوتر ها برای دسترسی به اینترنت از پراکسی استفاده می کنند.
1.در بالای پنجره فایرفاکس، روی منوی Edit کلیک کنید و Preferences را انتخاب نمایید.
2.پنل Advanced را انتخاب نمایید.
3.روی تب Network کلیک نمایید.
4.روی Settings کلیک نمایید.
اگر پراکسی ها بصورت دستی تنظیم شده است، مطمئن شوید تمام پروتکل ها به سرور پراکسی شما اشاره می نماید.
اگر از این تنظیمات آگاهی ندارید، با مدیر شبکه خود تماس حاصل فرمایید.
اگر از تنظیمات پروکسی استفاده نمی‌کنید، هیچ گونه تغییری در تنظیمات ندهید و روی OK کلیک نمایید و Connection Settings را ببندید.
صفحه Preferences را نیز ببندید.

………………………………………………………………………………………………..
نرم افزار امنیتی:
برای استفاده از پروتکل SSL، فایرفاکس نیاز به اتصال به خودش دارد.برخی از نرم افزار امنیتی می تواند این ارتباط را مسدود کنند.

………………………………………………………………………………………………..
مشکل با یک سایت خاص:
شما می‌توانید قابلیت‌های SSL مرورگر خود را با استفاده از لینک زیر تست نمایید:

TEST SSL

اگر مرورگر شما با موفقیت از این تست عبور کرد، ویا تنظیمات پیش از این اعمال شده بود، ممکن است مشکل از سایت مورد نظر باشد.  در این صورت رفع خطای SSL در Firefox را مشاهده نمایید.

در همین زمینه