هاست اختصاصي ارزان

هفته‌ي گذشته، باگي در سرويس Let's Encrypt رخ داد كه ميليون‌ها وب‌سايت را تقريبا از دسترس خارج كرد؛ اما پنج روز تلاش متخصصان مانع از پيشرفت آن شد.

هفته‌ي پيش رخدادي در سطح وسيع در سرويس‌هاي زيرساختي اينترنت رخ داد كه احتمال بزرگ‌شدن و افزايش تأثير آن زياد بود؛ البته تلاش متخصصان از افزايش تأثير بحران جلوگيري كرد. بحران در اينترنت ۲۸ فوريه و با خبري نگران‌كننده در Let's Encyprt شروع شد. اين شركت يكي از بازوهاي عملياتي سازمان غيرانتفاعي گروه تحقيقات امنيتي اينترنت محسوب مي‌شود و امكان بهره‌برداري از اتصال‌هاي امن و رمزنگاري‌شده را رايگان دراختيار وب‌سايت‌ ها قرار مي‌دهد. مجوزهاي امنيتي ارسال‌شده امن‌بودن وب‌سايت را تأييد و به‌نوعي زيرساخت‌هاي رمزنگاري پايه‌اي HTTPS را فراهم مي‌كنند.
مجوزهاي امن‌بودن وب‌سايت زمان اعتبار مشخصي دارند و پس از گذشت ۹۰ روز، مسئول هر وب‌سايت بايد براي نوسازي مجوز اقدام كند. گفتني است بخش عمده‌اي از فرايند به‌صورت خودكار انجام مي‌شود؛ اما درنهايت اگر وب‌سايتي موفق نشود مجوز خود را تمديد كند، احتمالا مرورگر براي جلوگيري از سوءاستفاده‌ي امنيتي، آن را بارگذاري نخواهد كرد. به‌طورخلاصه، مي‌توان مجوزها را مانند تمديد مجوز بيمه يا مدارك ديگر خودرو دانست كه اگر در زمان مقرر انجام نشود، ممنوعيت عبورومرور را به‌همراه خواهد داشت.

فعاليت‌هايي كه بازوي رمزنگاري غيرانتفاعي انجام مي‌دهد، جزئيات زيادي دارد و اغلب آن‌ها هم از ديد كاربران مخفي هستند. به‌هرحال، همين مركز باعث شد در سال‌هاي گذشته، فضاي اينترنت روز‌به‌روز امن‌تر شود. مجوزهاي اعتبار امنيتي وب‌سايت‌ها را سازمان‌ها و شركت‌هاي گوناگون صادر مي‌كنند؛ اما Let's Encrypt با رايگان‌كردن آن‌ها، قدم بزرگي در مسير امن‌تركردن فضاي وب برداشت. آن‌ها هفته‌ي گذشته مجوز شماره‌ي يك‌ميلياردم خود را هم صادر كردند.

بزرگ و گسترده بودن فعاليت Let's Encrypt و وابستگي تعداد زيادي وب‌سايت به آن، ضعف‌هايي هم به‌همراه دارد. اگر مشكلي در زيرساخت‌هاي اين سازمان ايجاد شود، عواقب آن گريبان‌گير بسياري از فعالان وب خواهد شد. ۲۸ فوريه، اتفاق نگران‌كننده رخ داد و باگي در سيستم امنيتي سازمان از فعاليت صحيح سه‌ميليون وب‌سايت جلوگيري كرد و چند روز هم به طول انجاميد.

آسيب‌پذيري ايجادشده در زيرساخت اهدا و تأييد مجوزها در نگاه اول بسيار جزئي به‌نظر مي‌رسد. سازمان تأييد مجوز از نرم‌افزاري به‌نام Boulder براي تأييد صحيح‌بودن اهداي مجوز به وب‌سايت بهره مي‌برد. نرم‌‌افزار مذكور پيش‌نيازهاي اوليه‌ي وب‌سايت را براي دريافت مجوز بررسي مي‌كند و فرايند هر ۳۰ روز يك‌بار تكرار مي‌شود. باگي كه در سيستم ايجاد شد، بررسي ثانويه را حذف مي‌كرد كه عواقب بزرگي به‌همراه داشت. فراموش نكنيد برخي مقاصد مهم و حساس وب مانند بانك‌ها، تنها مجوزهايي مي‌پذيرند كه از سازمان‌هاي خاص اهدا شده باشند. اگرچه Let's Encrypt ساختار بسيار امني دارد، برخي مجوزها پولي و ضمانت و ارتقاي درخورتوجهي دركنار مجوزهاي خود ارائه مي‌كنند. درواقع، همين بخش‌ها تفاوت اصلي سرويس‌هاي پولي و رايگان را ايجاد مي‌كند.

باگي كه در سيستم مجوزدهي ايجاد شد، تأثير آن‌چنان زيادي بر وب‌سايت‌ها نگذاشت. اين باگ مجوز ۲/۶ درصد از وب‌سايت‌هاي طرف قرارداد با Let's Encrypt (برابر ۳ ميليون و ۴۸ هزار و ۲۸۹ وب‌سايت) را تحت‌تأثير قرار مي‌داد و شركت نمي‌توانست آن‌ها را به حال خود رها كند. به بيان ساده، مجوز حدود سه‌ميليون وب‌سايت با روشي غيراصولي تمديد شده بود و سازمان بايد مشكل را حل مي‌كرد.

انجمن امنيتي موسوم به Certification Authority Browser Forum يا CA/B از Let's Encrypt درخواست كرد مشكل سه‌ميليون مجوز را در پنج روز حل كند. اين انجمن استانداردهاي سخت‌گيرانه‌اي در استفاده از مجوزهاي امنيتي در وب‌سايت‌ها دارد. Let's Encrypt ابتدا بايد مجوزهاي صادرشده را باطل مي‌كرد و فرايند بررسي را از سر مي‌گرفت. آن‌ها مي‌توانستند بدون توجه به هشدار CA/B به فعاليت ادامه دهند؛ اما تصميم گرفتند مشكل را حل كنند.

كنت وايت، از مديران ارشد سرويس ديتابيس MangoDB است كه از Let's Encrypt استفاده مي‌كند. وي درباره‌ي تصميم سازمان گفت:

آن‌ها كار صحيح را انجام دادند. انجمن CA/B قوانين را تصويب مي‌كند و ساختارهاي تنظيمگري دقيقي دارد. وقتي كامپيوتر يا شخص با كامپيوتر ديگري ارتباط برقرار مي‌كند، بايد مطمئن شويم هر دو از ملاك‌هاي هويتي مشابه استفاده مي‌كنند. براي چنين مقصودي به چهارچوب‌هاي مشخص نياز داريم كه CA/B تدوين مي‌كند.

حذف‌كردن مجوز سه‌ميليون وب‌سايت مشتري Let's Encrypt تأثير عميقي بر عملكرد آن‌ها گذاشت. وقتي مرورگرهايي همچون كروم و فايرفاكس از نبود مجوز مطلع مي‌شدند، بارگذاري آن را متوقف و اعلان هشداري براي كاربر ارسال مي‌كردند. برخي از مرورگرها نيز بدون هشدار دسترسي را به‌صورت كامل متوقف مي‌كنند؛ درنتيجه، تعداد چشمگيري از وب‌سايت‌هاي اينترنتي از دسترس خارج مي‌شد. همه‌ي اين بحران‌ها فقط به‌‌دليل باگي كوچك در گوشه‌اي از سيستم Let's Encrypt رخ مي‌داد.

تيم Let's Encrypt به‌محض اطلاع از باگ، هرگونه ارائه‌ي مجوز جديد را متوقف كردند تا سطح تأثير بحران افزايش پيدا نكند. تنها دو ساعت بعد، باگ برطرف و اخبار تكميلي منتشر شد. البته آن‌ها امكان برقراري تماس با همه‌ي مشتريان را نداشتند و تنها به مشتركان بزرگ اطلاع‌رساني كردند. مجوز آن‌ها بسيار سريع احيا شد و وب‌سايت‌ها به وضعيت قبل بازگشتند.
مجوز بيش از سه‌ميليون وب‌سايت به‌‌دليل باگ پيش‌آمده لغو شد

اگر مدير وب‌سايت مجوز خود را در Let's Encrypt به‌روزرساني كند، مجوز قديمي به‌صورت خودكار حذف مي‌شود؛ درنتيجه، شايد چنين راهكاري در نگاه اول به‌عنوان راه‌حل مناسب براي مشكل جديد به ذهن مي‌رسيد، اما فرايندها به آن آساني نبود كه تصور مي‌شد. وب‌سايت‌ها و سرويس‌هاي بزرگ منابع كافي براي نظارت دائم و برطرف‌كردن خودكار مشكلات خود را دارند. به‌عنوان مثال، MangoDB به‌سرعت مجوز ۱۵ هزار مشتري خود را به‌روز كرد.

وب‌سايت‌هاي كوچك‌تر براي عبور از بحران پيش‌آمده در Let's Encrypt از كمك Electronic Frontier Foundation بهره بردند كه نرم‌افزار Certbot را براي آن‌ها ارائه مي‌كند. نرم‌افزار مذكور مجوزهاي مرتبط را به وب‌سايت‌ها اضافه و آن‌ها را در دوره‌ي ۶۰ روزه تمديد مي‌كند. Certbot فقط در دو ماه گذشته، ۱۹/۲ ميليون مجوز جديد صادر كرده است. مكس هانتر، مدير مهندسي EFF، درباره‌ي حل مشكل جديد براي وب‌سايت‌هاي كوچك‌تر گفت:

ازآنجاكه Let's Encrypt مشكل را به‌سرعت اعلام كرد و زيرساخت‌هاي كدنويسي لازم هم دردسترس بود، ما كار دشواري در پيش نداشتيم.

گروهي از EFF به‌همراه داوطلب‌هايي از پاريس و فنلاند وارد عمل شدند و كدهاي Certbot براي تمديد مجوزهاي باطل‌شده بهينه‌سازي شد.

Let's Encrypt در زمان مقابله با مشكل پيش‌آمده، تقريبا براي هر آدرس ايميلي كه دراختيار داشت، پيام ارسال كرد. به‌علاوه، ديتابيسي جست‌وجو‌شدني از دامين‌هاي تحت‌تأثير آماده كرد تا شركت‌هاي ميزباني وب درصورت نياز به مشتريان احتمالي خود اطلاع‌رساني كنند. برخي از سرويس‌ها ابزارهاي خودكار داشتند و با واردكردن وب‌سايت‌هاي قرباني به فهرست اتمام مجوز، مجوز آن‌ها به‌سرعت تمديد شد.

تنها ۳۰ دقيقه پيش از پايان مهلت پنج‌روزه‌ي Let's Encrypt، حدود ۱/۷ ميليون وب‌سايت از مجموع سه‌ميليون وب‌سايت مجوز خود را تمديد كرده بودند. چنين تعدادي در زمان بسيار كم، دستاورد بزرگي براي سازمان غيرانتفاعي بود كه كمتر شركتي توانايي انجام آن را دارد. مجوز ساير وب‌سايت‌ها نيز با تصميم شركت و سازمان‌هاي قانون‌گذار مرتبط، پس از پايان ضرب‌الاجل لغو شد. ازآنجاكه مجوزها معمولا هر ۹۰ روز يك‌بار تمديد مي‌شوند، احتمالا تا تابستان هيچ وب‌سايت ديگري تحت‌تأثير بحران پيش‌آمده قرار نخواهد گرفت؛ هرچند قطعا بسياري از آن‌ها در اين مدت متوجه مشكل پيش‌آمده خواهند شد.

رخداد پيش‌آمده نشان مي‌دهد اهميت زيرساخت‌هاي پشت‌صحنه‌ي اينترنت تا پيش از رخ‌دادن بحران ناشناخته است. به‌هرحال بررسي اين مشكل‌ها و تصميم‌هاي صحيحي كه براي رفع آن‌ها گرفته شد، نمونه‌اي از اهميت واكنش سريع در سطح زيرساختي را نشان مي‌دهد.
منبع: زوميت

هفته‌ي گذشته، باگي در سرويس Let's Encrypt رخ داد كه ميليون‌ها وب‌سايت را تقريبا از دسترس خارج كرد؛ اما پنج روز تلاش متخصصان مانع از پيشرفت آن شد.

هفته‌ي پيش رخدادي در سطح وسيع در سرويس‌هاي زيرساختي اينترنت رخ داد كه احتمال بزرگ‌شدن و افزايش تأثير آن زياد بود؛ البته تلاش متخصصان از افزايش تأثير بحران جلوگيري كرد. بحران در اينترنت ۲۸ فوريه و با خبري نگران‌كننده در Let's Encyprt شروع شد. اين شركت يكي از بازوهاي عملياتي سازمان غيرانتفاعي گروه تحقيقات امنيتي اينترنت محسوب مي‌شود و امكان بهره‌برداري از اتصال‌هاي امن و رمزنگاري‌شده را رايگان دراختيار وب‌سايت‌ ها قرار مي‌دهد. مجوزهاي امنيتي ارسال‌شده امن‌بودن وب‌سايت را تأييد و به‌نوعي زيرساخت‌هاي رمزنگاري پايه‌اي HTTPS را فراهم مي‌كنند.
مجوزهاي امن‌بودن وب‌سايت زمان اعتبار مشخصي دارند و پس از گذشت ۹۰ روز، مسئول هر وب‌سايت بايد براي نوسازي مجوز اقدام كند. گفتني است بخش عمده‌اي از فرايند به‌صورت خودكار انجام مي‌شود؛ اما درنهايت اگر وب‌سايتي موفق نشود مجوز خود را تمديد كند، احتمالا مرورگر براي جلوگيري از سوءاستفاده‌ي امنيتي، آن را بارگذاري نخواهد كرد. به‌طورخلاصه، مي‌توان مجوزها را مانند تمديد مجوز بيمه يا مدارك ديگر خودرو دانست كه اگر در زمان مقرر انجام نشود، ممنوعيت عبورومرور را به‌همراه خواهد داشت.

فعاليت‌هايي كه بازوي رمزنگاري غيرانتفاعي انجام مي‌دهد، جزئيات زيادي دارد و اغلب آن‌ها هم از ديد كاربران مخفي هستند. به‌هرحال، همين مركز باعث شد در سال‌هاي گذشته، فضاي اينترنت روز‌به‌روز امن‌تر شود. مجوزهاي اعتبار امنيتي وب‌سايت‌ها را سازمان‌ها و شركت‌هاي گوناگون صادر مي‌كنند؛ اما Let's Encrypt با رايگان‌كردن آن‌ها، قدم بزرگي در مسير امن‌تركردن فضاي وب برداشت. آن‌ها هفته‌ي گذشته مجوز شماره‌ي يك‌ميلياردم خود را هم صادر كردند.

بزرگ و گسترده بودن فعاليت Let's Encrypt و وابستگي تعداد زيادي وب‌سايت به آن، ضعف‌هايي هم به‌همراه دارد. اگر مشكلي در زيرساخت‌هاي اين سازمان ايجاد شود، عواقب آن گريبان‌گير بسياري از فعالان وب خواهد شد. ۲۸ فوريه، اتفاق نگران‌كننده رخ داد و باگي در سيستم امنيتي سازمان از فعاليت صحيح سه‌ميليون وب‌سايت جلوگيري كرد و چند روز هم به طول انجاميد.

آسيب‌پذيري ايجادشده در زيرساخت اهدا و تأييد مجوزها در نگاه اول بسيار جزئي به‌نظر مي‌رسد. سازمان تأييد مجوز از نرم‌افزاري به‌نام Boulder براي تأييد صحيح‌بودن اهداي مجوز به وب‌سايت بهره مي‌برد. نرم‌‌افزار مذكور پيش‌نيازهاي اوليه‌ي وب‌سايت را براي دريافت مجوز بررسي مي‌كند و فرايند هر ۳۰ روز يك‌بار تكرار مي‌شود. باگي كه در سيستم ايجاد شد، بررسي ثانويه را حذف مي‌كرد كه عواقب بزرگي به‌همراه داشت. فراموش نكنيد برخي مقاصد مهم و حساس وب مانند بانك‌ها، تنها مجوزهايي مي‌پذيرند كه از سازمان‌هاي خاص اهدا شده باشند. اگرچه Let's Encrypt ساختار بسيار امني دارد، برخي مجوزها پولي و ضمانت و ارتقاي درخورتوجهي دركنار مجوزهاي خود ارائه مي‌كنند. درواقع، همين بخش‌ها تفاوت اصلي سرويس‌هاي پولي و رايگان را ايجاد مي‌كند.

باگي كه در سيستم مجوزدهي ايجاد شد، تأثير آن‌چنان زيادي بر وب‌سايت‌ها نگذاشت. اين باگ مجوز ۲/۶ درصد از وب‌سايت‌هاي طرف قرارداد با Let's Encrypt (برابر ۳ ميليون و ۴۸ هزار و ۲۸۹ وب‌سايت) را تحت‌تأثير قرار مي‌داد و شركت نمي‌توانست آن‌ها را به حال خود رها كند. به بيان ساده، مجوز حدود سه‌ميليون وب‌سايت با روشي غيراصولي تمديد شده بود و سازمان بايد مشكل را حل مي‌كرد.

انجمن امنيتي موسوم به Certification Authority Browser Forum يا CA/B از Let's Encrypt درخواست كرد مشكل سه‌ميليون مجوز را در پنج روز حل كند. اين انجمن استانداردهاي سخت‌گيرانه‌اي در استفاده از مجوزهاي امنيتي در وب‌سايت‌ها دارد. Let's Encrypt ابتدا بايد مجوزهاي صادرشده را باطل مي‌كرد و فرايند بررسي را از سر مي‌گرفت. آن‌ها مي‌توانستند بدون توجه به هشدار CA/B به فعاليت ادامه دهند؛ اما تصميم گرفتند مشكل را حل كنند.

كنت وايت، از مديران ارشد سرويس ديتابيس MangoDB است كه از Let's Encrypt استفاده مي‌كند. وي درباره‌ي تصميم سازمان گفت:

آن‌ها كار صحيح را انجام دادند. انجمن CA/B قوانين را تصويب مي‌كند و ساختارهاي تنظيمگري دقيقي دارد. وقتي كامپيوتر يا شخص با كامپيوتر ديگري ارتباط برقرار مي‌كند، بايد مطمئن شويم هر دو از ملاك‌هاي هويتي مشابه استفاده مي‌كنند. براي چنين مقصودي به چهارچوب‌هاي مشخص نياز داريم كه CA/B تدوين مي‌كند.

حذف‌كردن مجوز سه‌ميليون وب‌سايت مشتري Let's Encrypt تأثير عميقي بر عملكرد آن‌ها گذاشت. وقتي مرورگرهايي همچون كروم و فايرفاكس از نبود مجوز مطلع مي‌شدند، بارگذاري آن را متوقف و اعلان هشداري براي كاربر ارسال مي‌كردند. برخي از مرورگرها نيز بدون هشدار دسترسي را به‌صورت كامل متوقف مي‌كنند؛ درنتيجه، تعداد چشمگيري از وب‌سايت‌هاي اينترنتي از دسترس خارج مي‌شد. همه‌ي اين بحران‌ها فقط به‌‌دليل باگي كوچك در گوشه‌اي از سيستم Let's Encrypt رخ مي‌داد.

تيم Let's Encrypt به‌محض اطلاع از باگ، هرگونه ارائه‌ي مجوز جديد را متوقف كردند تا سطح تأثير بحران افزايش پيدا نكند. تنها دو ساعت بعد، باگ برطرف و اخبار تكميلي منتشر شد. البته آن‌ها امكان برقراري تماس با همه‌ي مشتريان را نداشتند و تنها به مشتركان بزرگ اطلاع‌رساني كردند. مجوز آن‌ها بسيار سريع احيا شد و وب‌سايت‌ها به وضعيت قبل بازگشتند.
مجوز بيش از سه‌ميليون وب‌سايت به‌‌دليل باگ پيش‌آمده لغو شد

اگر مدير وب‌سايت مجوز خود را در Let's Encrypt به‌روزرساني كند، مجوز قديمي به‌صورت خودكار حذف مي‌شود؛ درنتيجه، شايد چنين راهكاري در نگاه اول به‌عنوان راه‌حل مناسب براي مشكل جديد به ذهن مي‌رسيد، اما فرايندها به آن آساني نبود كه تصور مي‌شد. وب‌سايت‌ها و سرويس‌هاي بزرگ منابع كافي براي نظارت دائم و برطرف‌كردن خودكار مشكلات خود را دارند. به‌عنوان مثال، MangoDB به‌سرعت مجوز ۱۵ هزار مشتري خود را به‌روز كرد.

وب‌سايت‌هاي كوچك‌تر براي عبور از بحران پيش‌آمده در Let's Encrypt از كمك Electronic Frontier Foundation بهره بردند كه نرم‌افزار Certbot را براي آن‌ها ارائه مي‌كند. نرم‌افزار مذكور مجوزهاي مرتبط را به وب‌سايت‌ها اضافه و آن‌ها را در دوره‌ي ۶۰ روزه تمديد مي‌كند. Certbot فقط در دو ماه گذشته، ۱۹/۲ ميليون مجوز جديد صادر كرده است. مكس هانتر، مدير مهندسي EFF، درباره‌ي حل مشكل جديد براي وب‌سايت‌هاي كوچك‌تر گفت:

ازآنجاكه Let's Encrypt مشكل را به‌سرعت اعلام كرد و زيرساخت‌هاي كدنويسي لازم هم دردسترس بود، ما كار دشواري در پيش نداشتيم.

گروهي از EFF به‌همراه داوطلب‌هايي از پاريس و فنلاند وارد عمل شدند و كدهاي Certbot براي تمديد مجوزهاي باطل‌شده بهينه‌سازي شد.

Let's Encrypt در زمان مقابله با مشكل پيش‌آمده، تقريبا براي هر آدرس ايميلي كه دراختيار داشت، پيام ارسال كرد. به‌علاوه، ديتابيسي جست‌وجو‌شدني از دامين‌هاي تحت‌تأثير آماده كرد تا شركت‌هاي ميزباني وب درصورت نياز به مشتريان احتمالي خود اطلاع‌رساني كنند. برخي از سرويس‌ها ابزارهاي خودكار داشتند و با واردكردن وب‌سايت‌هاي قرباني به فهرست اتمام مجوز، مجوز آن‌ها به‌سرعت تمديد شد.

تنها ۳۰ دقيقه پيش از پايان مهلت پنج‌روزه‌ي Let's Encrypt، حدود ۱/۷ ميليون وب‌سايت از مجموع سه‌ميليون وب‌سايت مجوز خود را تمديد كرده بودند. چنين تعدادي در زمان بسيار كم، دستاورد بزرگي براي سازمان غيرانتفاعي بود كه كمتر شركتي توانايي انجام آن را دارد. مجوز ساير وب‌سايت‌ها نيز با تصميم شركت و سازمان‌هاي قانون‌گذار مرتبط، پس از پايان ضرب‌الاجل لغو شد. ازآنجاكه مجوزها معمولا هر ۹۰ روز يك‌بار تمديد مي‌شوند، احتمالا تا تابستان هيچ وب‌سايت ديگري تحت‌تأثير بحران پيش‌آمده قرار نخواهد گرفت؛ هرچند قطعا بسياري از آن‌ها در اين مدت متوجه مشكل پيش‌آمده خواهند شد.

رخداد پيش‌آمده نشان مي‌دهد اهميت زيرساخت‌هاي پشت‌صحنه‌ي اينترنت تا پيش از رخ‌دادن بحران ناشناخته است. به‌هرحال بررسي اين مشكل‌ها و تصميم‌هاي صحيحي كه براي رفع آن‌ها گرفته شد، نمونه‌اي از اهميت واكنش سريع در سطح زيرساختي را نشان مي‌دهد.
منبع: زوميت