گواهی Let’s Encrypt
اخبار اپراتور و اینترنت

تغییرات جدید توافق‌نامه Let’s Encrypt؛ آیا گواهی SSL رایگان برای ایران محدود می‌شود؟

توضیحات
دسته: اخبار اپراتور و اینترنت

از ساعاتی پیش در محافل تخصصی حوزه زیرساخت و شبکه، بحثی موسوم به تحریم ایران توسط سرویس Let’s Encrypt مطرح شده که موجب نگرانی بسیاری از مدیران شبکه و وبسایت‌ها شده است. این تحریم‌ها در واقع اضافه شدن بندهایی به توافق‌نامه این سرویس‌دهنده هستند که باید به صورت ویژه توسط اشخاص تصمیم‌گیر، مورد توجه قرار گیرند. در ادامه به بررسی این موضوع می‌پردازیم که این تحریم‌ها شامل چه مواردی است و تصمیم صحیح جهت جلوگیری از متضرر شدن از آن چه خواهد بود؟

اگر از اعضای جامعه فعالان شبکه، زیرساخت و امنیت دیجیتالل باشید، احتمالاً خبری که توسط برخی از کاربران در شبکه‌های اجتماعی پیرامون محدودیت‌های جدید Let’s Encrypt مطرح شده را خوانده‌اید. این خبر به صورت کلی به تغییر مهمی در توافق‌نامه سرویس Let’s Encrypt اشاره کرد؛ تغییری که در نگاه اول شاید تنها یک اصلاح حقوقی ساده به نظر برسد، اما پتانسیل این را دارد که در آینده روی سهم بزرگی از وب ایران تأثیر بگذارد.

ماجرا از آنجا آغاز شد که Let’s Encrypt در نسخه جدید «توافق‌نامه مشترکین» (Subscriber Agreement)، بندی را اضافه کرده که کاربران دریافت‌کننده گواهی SSL را ملزم می‌کند مشمول تحریم‌های فراگیر ایالات متحده نباشند. از آنجا که بخش قابل توجهی از وب‌سایت‌های ایرانی برای تأمین امنیت و فعال‌سازی پروتکل HTTPS خود به گواهی‌های رایگان این صادرکننده وابسته هستند، این تغییر حقوقی به سرعت موجی از نگرانی را در میان فعالان میزبانی وب و مدیران سایت‌ها ایجاد کرد.

اما آیا این اتفاق به معنی قطع فوری SSL سایت‌های ایرانی است؟ آیا باید منتظر موج جدیدی از دسترس خارج شدن وب‌سایت‌ها باشیم؟ و مهم‌تر از همه، لایه فنی وب ایران از همین حالا باید چه واکنشی نشان دهد؟

اصل ماجرا چیست؟

Let’s Encrypt به عنوان یکی از بزرگ‌ترین و محبوب‌ترین صادرکنندگان گواهی امنیتی در جهان، ستون فقرات رمزنگاری وب رایگان را شکل می‌دهد. میلیون‌ها وب‌سایت در سراسر جهان از ابزارهای خودکار این مجموعه برای احراز هویت دامنه‌های خود استفاده می‌کنند.

در نسخه جدید توافق‌نامه این سرویس، بند صریحی اضافه شده که متقاضی گواهی باید تأیید کند:

  • در کشور یا منطقه‌ای مستقر نیست که تحت تحریم‌های جامع (Comprehensive Sanctions) آمریکا قرار دارد.
  • در فهرست اشخاص یا نهادهای بلاک‌شده (مانند لیست SDN) قرار ندارد.
  • تحت مالکیت یا کنترل چنین اشخاص و دولتهایی فعالیت نمی‌کند.

در چارچوب مقررات دفتر کنترل دارایی‌های خارجی آمریکا (OFAC)، کشورهایی مانند ایران، کوبا و کره شمالی در زمره حوزه‌هایی قرار می‌گیرند که مشمول محدودیت‌های گسترده تحریمی ایالات متحده هستند.

Let’s Encrypt همچنان بر پایه Domain Validation کار می‌کند. یعنی هویت واقعی سازمان‌ها بررسی نمی‌شود

نکته اینجاست که این بند پیش از این به این صراحت در متن توافق‌نامه Let’s Encrypt وجود نداشت و حالا به یک تعهد رسمیِ پیش‌فرض تبدیل شده است؛ موضوعی که تمرکز اصلی آن روی «شخص و نهاد دریافت‌کننده گواهی» است و ارتباطی به نوع پسوند دامنه یا محل سرور ندارد.

آیا Let’s Encrypt همین امروز ایران را محدود کرده است؟

پاسخ کوتاه به این سوال، «خیر» است ولی این به معنای محدود نشدن قابلیت‌ها برای وبسایت‌های ایرانی هم نیست.

این تغییر فعلاً «حقوقی» است، نه «فنی» و در حال حاضر هیچ محدودیت عملی برای سایت‌های ایرانی فعال نشده است.

تاکنون Let’s Encrypt هیچ اطلاعیه رسمی درباره توقف صدور یا تمدید گواهی برای کاربران ایرانی منتشر نکرده و مستندات فنی این سرویس نیز تغییری در نحوه ارائه خدمات به ایران نشان نمی‌دهد.

همچنین هیچ گزارشی مبنی بر ابطال گسترده گواهی‌های فعال مربوط به وب‌سایت‌های ایرانی منتشر نشده و تاکنون نشانه‌ای از اختلال فراگیر در فرآیند تمدید گواهی‌ها مشاهده نشده است. بنابراین، اتفاقی که رخ داده یک دگرگونی حقوقی در پشت صحنه است، نه یک محدودیت فنی اثبات‌شده در لایه شبکه. این تمایز از آن جهت اهمیت دارد که جلوی شایعات ناامیدکننده مبنی بر «قطع شدن وب‌سایت‌های ایرانی از امروز» گرفته شود.

تفاوت الزام حقوقی و فنی

در دنیای فناوری و حقوق بین‌الملل، تغییر در اسناد قانونی معمولاً لایه اول و مقدمه تغییرات بعدی است. این تغییر در توافق‌نامه می‌تواند زمینه‌ساز اعمال محدودیت‌های فنی در آینده باشد، هرچند در حال حاضر هیچ برنامه اجرایی یا مکانیزم بازدارنده‌ای از سوی Let’s Encrypt اعلام نشده است.

هنوز مشخص نیست که اگر Let’s Encrypt در آینده بخواهد این بند را به صورت فنی اجرا کند، از چه روشی استفاده خواهد کرد. در این شرایط این سوالات مطرح است که آیا فیلترها بر اساس موقعیت جغرافیایی IPها (Geolocation) اعمال خواهند شد، یا سیستم‌های احراز هویت متفاوتی پیاده‌سازی می‌شوند؟

فعلاً هیچ‌یک از این سناریوها وارد مرحله اجرا نشده‌اند، اما تغییر جدید در رویکرد حقوقی Let’s Encrypt موضوعی نیست که بتوان آن را نادیده گرفت.

ابهام بزرگ؛ Let’s Encrypt چگونه تحریم را اعمال خواهد کرد؟

نکته قابل توجه این است که Let’s Encrypt اطلاعات هویتی گسترده‌ای از متقاضیان دریافت نمی‌کند و فرآیند صدور گواهی در این سامانه عمدتاً بر پایه اثبات مالکیت یا کنترل دامنه (Domain Validation) انجام می‌شود.

به همین دلیل هنوز مشخص نیست در صورت اجرای عملی این بند حقوقی، Let’s Encrypt چگونه خواهد توانست میان یک دامنه متعلق به کاربر ایرانی و یک دامنه متعلق به کاربر غیرایرانی تمایز قائل شود. همین ابهام باعث شده پرسش‌های متعددی درباره نحوه اجرای عملی این بند در میان فعالان صنعت میزبانی و کارشناسان شبکه مطرح شود.

لوگو Let's Encrypt

چرا اثر این تغییر فراتر از یک ابزار ساده است؟

نکته دیگری که کمتر به آن توجه شده این است که Let’s Encrypt برخلاف بسیاری از سرویس‌های تجاری، یک مرجع صدور گواهی عمومی (CA) محسوب می‌شود و محدودیت احتمالی آن تنها یک سرویس خاص را تحت تأثیر قرار نمی‌دهد.

بسیاری از پنل‌های میزبانی وب (مانند سی‌پنل، دایرکت‌ادمین و پلسک)، سیستم‌های مدیریت سرور و زیرساخت‌ها و فرآیندهای DevOps به صورت پیش‌فرض و بومی از Let’s Encrypt برای تأمین امنیت ارتباطات خود استفاده می‌کنند.

به همین دلیل هرگونه تغییر در سیاست‌های این مجموعه می‌تواند اثر زنجیره‌ای بر بخش قابل توجهی از اکوسیستم میزبانی وب و زیرساخت‌های ابری کشور داشته باشد.

اگر محدودیت فنی اعمال شود، چه سناریویی رخ می‌دهد؟

برخلاف تصور اولیه، خطر اصلی متوجه گواهی‌های فعال نیست. گواهی‌های Let’s Encrypt اعتباری ۹۰ روزه دارند. اگر این سرویس در آینده تصمیم به محدودیت فنی بگیرد، اعتبار گواهی‌های فعلی بلافاصله از بین نخواهد رفت؛ بلکه پس از پایان دوره اعتبار، ابزارهای خودکاری مثل Certbot هنگام ارسال درخواست تمدید با خطا مواجه خواهند شد.

با منقضی شدن گواهی و عدم تمدید آن اتفاق زیر برای وبسایت شما می‌افتد:

۱. مرورگرها (کروم، فایرفاکس، سافاری) به محض ورود کاربر، خطای سرخ‌رنگ و معروف Your connection is not private را نمایش می‌دهند.

۲. این اتفاق می‌تواند باعث افت شدید اعتماد کاربران و در صورت تداوم، کاهش ترافیک ورودی و جایگاه سایت شود.

۳. برای وب‌سایت‌هایی که از هدر امنیتی HSTS استفاده می‌کنند، شرایط سخت‌تر خواهد بود؛ چرا که دسترسی کاربران عادی به سایت با دشواری جدی مواجه خواهد شد و در بسیاری از موارد امکان عبور از هشدار امنیتی ( bypass هشدار امنیتی) وجود نخواهد داشت.

اگر محدودیت فنی اجرا شود، اثر آن فوری نیست؛ بلکه بعد از پایان چرخه ۹۰ روزه ظاهر می‌شود

چه کسانی در صف اول آسیب هستند؟

بیشترین ریسک متوجه کسب‌وکارهای کوچک، فروشگاه‌های اینترنتی، دانشگاه‌ها و پلتفرم‌های مستقلی است که وابستگی کامل به تمدید خودکار گواهی‌های Let’s Encrypt دارند و پایش مداومی روی سرورهای خود ندارند.

اقدامات پیشنهادی برای مدیران سایت‌ها و شرکت‌های هاستینگ

در شرایط فعلی، رویکرد منطقی نه وحشت‌زدگی است و نه بی‌تفاوتی. به عنوان یک مدیر سیستم یا صاحب کسب‌وکار، اقدامات زیر از همین امروز منطقی‌ترین سناریوی پیشگیرانه‌ای که می‌توان پیشنهاد کرد:

نقشه‌برداری از وابستگی‌ها

ابتدا بررسی کنید چه تعداد از دامنه‌ها، زیردامنه‌ها (Subdomains) یا میکروسرویس‌های مجموعه‌تان به صورت پیش‌فرض و خودکار به Let’s Encrypt وابسته هستند.

بررسی و تنوع‌بخشی به صادرکنندگان

مدیران زیرساخت بهتر است از هم‌اکنون گزینه‌های جایگزین صدور گواهی را بررسی کنند. با این حال باید توجه داشت که بازبینی گزینه‌های جایگزین صدور گواهی و کاهش وابستگی به یک صادرکننده واحد، مهم‌تر از انتخاب صرف یک مرجع صدور غیرآمریکایی است؛ چرا که برخی صادرکنندگان دیگر نیز ممکن است به دلیل همکاری با ریشه‌های اعتماد جهانی (Root Trust) یا تبعیت از سایر مقررات بین‌المللی، الزامات تحریمی مشابهی را اعمال کنند.

بهره‌گیری از کانال‌های ابری (CDN)

ارائه‌دهندگان خدمات ابر و CDN (چه نمونه‌های داخلی و چه ارائه‌دهندگان بین‌المللی سازگار) معمولاً گواهی‌های SSL را در لایه لبه (Edge) مدیریت و صادر می‌کنند که می‌تواند ریسک مستقیم مدیریت تمدید را از روی سرورهای محلی شما بردارد.

بازبینی سناریوهای اضطراری در هاستینگ‌ها

شرکت‌های میزبانی وب و ارائه‌دهندگان سرورهای اختصاصی/مجازی باید از همین امروز آماده‌سازی بسترهای خود را برای سوییچ احتمالی به سایر مراجع در دستور کار قرار دهند تا در صورت بروز هرگونه اختلال، شبکه میزبانی کشور غافلگیر نشود.

جمع‌بندی

همانطور که در این مقاله عنوان شد، Let’s Encrypt بند جدیدی درباره تحریم‌های جامع آمریکا به توافق‌نامه خود اضافه کرده است که در زمان نگارش اولیه این مطلب (20 خرداد 1405)، مهمترین نتایج آن را می‌توان به شرح زیر خلاصه کرد:

  • در حال حاضر هیچ محدودیت فنی علیه کاربران و زیرساخت‌های ایرانی اعمال نشده است.
  • هیچ جدول زمانی یا برنامه اجرایی مشخصی برای اعمال این محدودیت‌ها اعلام نشده است.
  • خطر اصلی در صورت اجرای محدودیت‌ها، تمدید نشدن گواهی‌ها پس از پایان اعتبار ۹۰ روزه خواهد بود.
  • مدیران زیرساخت بهتر است از هم‌اکنون وابستگی خود به یک صادرکننده واحد را کاهش دهند.

در زمان انتشار این گزارش، Let’s Encrypt هیچ جدول زمانی، اطلاعیه اجرایی یا توضیح فنی درباره نحوه اعمال این محدودیت منتشر نکرده است. بنابراین، سناریوی خوش‌بینانه این است که این بند صرفاً برای سلب مسئولیت حقوقی (Disclaimers) و پوشش ریسک‌های قضایی خودِ موسسه Let’s Encrypt اضافه شده باشد و ماشین صدور گواهی بدون تغییر به کارش ادامه دهد. سناریوی محتاطانه اما به ما می‌گوید که وب ایران باید خود را برای هرگونه قطع دسترسی احتمالی در آینده آماده کند.

واقعیت جاری در این جمله خلاصه می‌شود: اتفاق عاجلی در لایه فنی رخ نداده، اما معماری امنیتی وب شما نیازمند یک پلان B یا نقشه پشتیبان است. آگاهی از ریسک و پیش‌بینی راهکارهای جایگزین، کلید بقای کسب‌وکارهای دیجیتال در فضای پرفشار اینترنت کشور است.

مطالب مرتبط پیشنهادی

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0
نظر شما پس از تایید مدیر منتشر خواهد شد.

نظرات

  • هیچ نظری یافت نشد

بررسی محصولات مشاهده همه بررسی‌ها

 
بررسی مانیتور ردراگون Redragon GMQ3418RVC8.5
بررسی پاور FSP Vita GD 750W
بررسی لپ تاپ MSI Raider 18 HX AI9.5
بررسی پاور MSI MEG Ai1600T؛ غول 1600 واتی که USB-C دارد!
جعبه‌گشایی و معرفی مادربرد MSI MAG B850M MORTAR WIFI
بررسی مانیتور HKC MG27H13Q2009.5
بررسی مانیتور AOC Q32V3S8.2
بررسی کیس GAMDIAS Atlas M48.6

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید