بسیاری از محصولات امنیتی که به بررسی ترافیک HTTPS میپردازند، قادر به تایید اعتبار Certificate سرورها نمیباشند.
طبق هشدار موسسهی امنیتی US-CERT، سازمانهایی که محصولات امنیتی را جهت بررسی ترافیکهای HTTPS به کار میگیرند، ایمنی اتصالهای رمزگذاریشدهی کاربران خود را به صورت ناخواسته از بین میبرند و آنان را در معرض حملات Man-in-the-Middle قرار میدهند.
US-CERT اعلام کرده است که طبق تحقیقات جدید این موسسه، محصولات بررسیکنندهی ترافیک HTTPS، امکان حفظ امنیت موجود در اتصالهای مستقیم میان Clientها و سرورها را ندارند.
در روند بررسی HTTPS، ترافیک رمزگذاریشده که از سمت یک سایت HTTPS وارد میشود مورد بررسی قرار میگیرد تا از عاری بودن آن از تهدیدات و بدافزارها اطمینان حاصل گردد. این فرآیند با قطع اتصال Client از سرور HTTPS و ایجاد ارتباط به نمایندگی از Client آغاز میشود، سپس ترافیک ارسالی به Client با یک Certificate متفاوت رمزگذاری میشود که به صورت Local ایجاد شده است. محصولاتی که این روند را پی میگیرند، در حقیقت به عنوان پروکسیهای Man-in-the-Middle عمل میکنند.
اتصال HTTPS در یک محیط سازمانی میتواند چندین بار قطع و مجددا رمزگذاری گردد. این فرآیند در شبکههای Perimeter با استفاده از تجهیزات امنیتی موجود در Gateway یا سیستمهای محافظت از انتشار دادهها و در سیستمهای Endpoint از طریق برنامههای آنتیویروس انجام میشود که ترافیکهای HTTPS را برای کشف بدافزار بررسی مینمایند.
مشکل اینجاست که از این مرحله به بعد مرورگر کاربر نقشی در تایید اعتبار Certificateها برعهده ندارد؛ چراکه این وظیفه به پروکسی قطعکنندهی اتصال اولیه محول میشود و این سرورها (محصولات امنیتی مورد استفاده برای این کار) عملکرد مناسبی در تایید اعتبار Certificate سرورها ندارند.
محققین چندین دانشگاه و شرکت از جمله گوگل در خصوص بررسی ترافیکهای HTTPS تحقیقاتی صورت داده و دریافتهاند که بیش از 10 درصد از ترافیکهای HTTPS که از آمریکا آغاز شده و به Content Delivery Network یا CDN بسیار مطرحِ Cloudflare میرسد، دچار قطعی شدهاند که 6 درصد از این ارتباطات به سمت وبسایتهای تجارت الکترونیک بوده است.
آنالیزهای انجامشده بیانگر آن است که 32 درصد از ارتباطات HTTPS در حوزهی تجارت الکترونیک و 54 درصد از اتصالها در Cloudflare که دچار قطعی شدهاند، از امنیت پایینتری در مقایسه با زمان اتصال مستقیم با سرورها برخوردارند.
طبق اعلام این محققان، نکتهی نگرانکننده آن است که نهتنها اتصالهای قطعشده از الگوریتمهای رمزنگاری ضعیفتری استفاده میکنند، بلکه 10 تا 40 درصد از آنها از Cipherهای شناخته و رمزگشاییشدهای استفاده میکنند که به مهاجم این امکان را میدهد تا اتصال مربوطه را قطع، تخریب و رمزگشایی نماید.
با توجه به اینکه سازندگان مرورگرها زمان زیاد و تخصص لازم برای درک تغییرات بالقوه در اتصالهای TLS و تایید اعتبار گواهیها را در اختیار داشتهاند، به نظر می رسد که هیچ روش دیگری برای پیادهسازی TLSهای سمت Client بهتر از پیادهسازی آنها در مرورگرهای امروزی به حساب نمیآید.
Vendorهای محصولات امنیتی از Libraryهای قدیمی TLS استفاده میکنند، آنها را سفارشیسازی میکنند و حتی برای پیادهسازی مجدد برخی از ویژگیهای این پروتکل تلاش می کنند که منجر به ایجاد آسیبپذیریهای جدی در محصولات میگردند.
یکی دیگر از مشکلات فراگیری که US-CERT نیز به آن اشاره کرده است، در عدم توانایی بسیاری از تجهیزات بررسی کنندهی HTTPS نسبت به تایید اعتبار Certificate Chainهای ارائهشده از سوی سرورها میباشد.
به اعتقاد این سازمان، خطاهای رخداده در تایید اعتبار Certificate-Chain در مواردی نادری به Client ارسال میشوند، در نتیجه تحلیل Client آن خواهد بود که عملیات به شیوهی مورد انتظار و در سرور صحیح به انجام رسیدهاند.
در وبسایتهایی که SSLآنها دچار نقص میباشد، سازمانها میتوانند عملکرد صحیح تجهیزات بررسیکنندهی HTTPS خود در خصوص تایید اعتبار گواهیها و جلوگیری از انجام Cipherهای ناایمن را تست نمایند و از صحت عملکرد ساختار خود اطمینان یابند. به علاوه، از طریق تست Client موجود در Qualys SSL Labs نیز میتوان برخی نقصها و آسیبپذیریهای شناختهشدهی TLS را بررسی نمود.
US-CERT با ارائهی اطلاعات بیشتر در زمینهی مخاطراتی که معمولا در قطع ترافیک HTTPS ایجاد میگردد، به عرضهی لیستی از تجهیزات احتمالا آسیبپذیر پرداخته است.
