به گزارش پردیس آی تی شرکت Let’s Encrypt اخیرا اعلام کرده است که در حال افزایش سطح اعتبارسنجی های دامنه های خود هستند. این شرکت با انتشار متنی در سایت خود توضیحاتی را در این مورد داده است :
در Let’s Encrypt ما همیشه به دنبال راه هایی برای بهبود امنیت و یکپارچگی Web PKI هستیم. ما مفتخریم امروز اعتبار سنجی دامنه چند منظره را آغاز کنیم زیرا معتقدیم که این یک گام مهم به جلو برای روند اعتبار سنجی دامنه است. با توجه به دانش ما ، اولین CA هستیم که اعتبار سنجی چند حالته را در این مقیاس انجام می دهیم.
اعتبارسنجی دامنه روندی است که کلیه CA ها از آن استفاده می کنند تا اطمینان حاصل کنند که متقاضی گواهینامه در واقع دامنه مورد نظر خود را برای داشتن گواهی کنترل می کند. به طور معمول فرآیند اعتبار سنجی دامنه شامل درخواست از متقاضی می شود که یک فایل خاص یا نشانه را در یک مکان کنترل شده برای دامنه ، مانند یک مسیر خاص یا ورودی DNS قرار دهد. سپس CA بررسی می کند که متقاضی قادر به انجام این کار بوده است. از نظر تاریخی چیزی شبیه این است:
مسئله بالقوه این فرآیند این است که اگر یک مهاجم شبکه بتواند ترافیک شبکه را در طول مسیر اعتبار سنجی (برای درخواست چالش ، یا نمایش داده های DNS مرتبط) ربوده یا تغییر مسیر دهد ، در نتیجه مهاجم می تواند با این ترفند یک CA را برای صدور گواهی نادرست ایجاد کند. این دقیقاً همان چیزی است که یک تیم تحقیقاتی از پرینستون نشان داده است که می تواند با حمله به BGP انجام شود. چنین حملاتی امروزه نادر است ، اما ما نگران هستیم كه این حمله در آینده بیشتر شود.
پروتکل Border Gateway (BGP) و بیشتر توسعه های آن ایمن نیست. در حالی که تلاش های زیادی برای تأمین امنیت BGP مانند RPKI و BGPsec وجود دارد ، ممکن است مدت زیادی طول بکشد تا ربودن BGP چیزی از گذشته باشد. ما نمی خواهیم صبر کنیم تا بتوانیم به امنیت BGP وابسته شویم ، بنابراین با تیم تحقیقاتی از پرینستون کار کرده ایم تا راهی برای دشوارتر ساختن چنین حملاتی ابداع کنیم. ما به جای اعتبارسنجی از یک منظر شبکه ، اکنون از چندین منظر و همچنین از مراکز داده خود معتبر هستیم:
امروز ما از چندین مرجع بر روی یک
امروز ما از چندین منطقه در یک ارائه دهنده cloud برای اعتبارسنجی داده ها استفاده می کنیم. ما قصد داریم در آینده نیز با کمک بقیه تامین کنندگان خدمات کلود این روند را کامل تر و متنوع تر نماییم.
این نوع حمله را که توضیح داده شد دشوارتر می کند زیرا یک مهاجم باید با موفقیت سه مسیر مختلف شبکه را همزمان با هم سازش کند (مسیر اصلی مرکز داده ما و حداقل دو مورد از سه مسیر راه دور). همچنین احتمال بروز چنین حمله ای توسط جامعه توپولوژی اینترنت را افزایش می دهد.
ما می خواهیم از گروههای پژوهشی پروفسور پراتک میتال و پروفسور جنیفر رکسفورد در دانشگاه پرینستون بخاطر مشارکت آنها در تهیه این کار تشکر کنیم.
