هفتهي گذشته، باگي در سرويس Let's Encrypt رخ داد كه ميليونها وبسايت را تقريبا از دسترس خارج كرد؛ اما پنج روز تلاش متخصصان مانع از پيشرفت آن شد.
هفتهي پيش رخدادي در سطح وسيع در سرويسهاي زيرساختي اينترنت رخ داد كه احتمال بزرگشدن و افزايش تأثير آن زياد بود؛ البته تلاش متخصصان از افزايش تأثير بحران جلوگيري كرد. بحران در اينترنت ۲۸ فوريه و با خبري نگرانكننده در Let's Encyprt شروع شد. اين شركت يكي از بازوهاي عملياتي سازمان غيرانتفاعي گروه تحقيقات امنيتي اينترنت محسوب ميشود و امكان بهرهبرداري از اتصالهاي امن و رمزنگاريشده را رايگان دراختيار وبسايت ها قرار ميدهد. مجوزهاي امنيتي ارسالشده امنبودن وبسايت را تأييد و بهنوعي زيرساختهاي رمزنگاري پايهاي HTTPS را فراهم ميكنند.
مجوزهاي امنبودن وبسايت زمان اعتبار مشخصي دارند و پس از گذشت ۹۰ روز، مسئول هر وبسايت بايد براي نوسازي مجوز اقدام كند. گفتني است بخش عمدهاي از فرايند بهصورت خودكار انجام ميشود؛ اما درنهايت اگر وبسايتي موفق نشود مجوز خود را تمديد كند، احتمالا مرورگر براي جلوگيري از سوءاستفادهي امنيتي، آن را بارگذاري نخواهد كرد. بهطورخلاصه، ميتوان مجوزها را مانند تمديد مجوز بيمه يا مدارك ديگر خودرو دانست كه اگر در زمان مقرر انجام نشود، ممنوعيت عبورومرور را بههمراه خواهد داشت.
فعاليتهايي كه بازوي رمزنگاري غيرانتفاعي انجام ميدهد، جزئيات زيادي دارد و اغلب آنها هم از ديد كاربران مخفي هستند. بههرحال، همين مركز باعث شد در سالهاي گذشته، فضاي اينترنت روزبهروز امنتر شود. مجوزهاي اعتبار امنيتي وبسايتها را سازمانها و شركتهاي گوناگون صادر ميكنند؛ اما Let's Encrypt با رايگانكردن آنها، قدم بزرگي در مسير امنتركردن فضاي وب برداشت. آنها هفتهي گذشته مجوز شمارهي يكميلياردم خود را هم صادر كردند.
بزرگ و گسترده بودن فعاليت Let's Encrypt و وابستگي تعداد زيادي وبسايت به آن، ضعفهايي هم بههمراه دارد. اگر مشكلي در زيرساختهاي اين سازمان ايجاد شود، عواقب آن گريبانگير بسياري از فعالان وب خواهد شد. ۲۸ فوريه، اتفاق نگرانكننده رخ داد و باگي در سيستم امنيتي سازمان از فعاليت صحيح سهميليون وبسايت جلوگيري كرد و چند روز هم به طول انجاميد.
آسيبپذيري ايجادشده در زيرساخت اهدا و تأييد مجوزها در نگاه اول بسيار جزئي بهنظر ميرسد. سازمان تأييد مجوز از نرمافزاري بهنام Boulder براي تأييد صحيحبودن اهداي مجوز به وبسايت بهره ميبرد. نرمافزار مذكور پيشنيازهاي اوليهي وبسايت را براي دريافت مجوز بررسي ميكند و فرايند هر ۳۰ روز يكبار تكرار ميشود. باگي كه در سيستم ايجاد شد، بررسي ثانويه را حذف ميكرد كه عواقب بزرگي بههمراه داشت. فراموش نكنيد برخي مقاصد مهم و حساس وب مانند بانكها، تنها مجوزهايي ميپذيرند كه از سازمانهاي خاص اهدا شده باشند. اگرچه Let's Encrypt ساختار بسيار امني دارد، برخي مجوزها پولي و ضمانت و ارتقاي درخورتوجهي دركنار مجوزهاي خود ارائه ميكنند. درواقع، همين بخشها تفاوت اصلي سرويسهاي پولي و رايگان را ايجاد ميكند.
باگي كه در سيستم مجوزدهي ايجاد شد، تأثير آنچنان زيادي بر وبسايتها نگذاشت. اين باگ مجوز ۲/۶ درصد از وبسايتهاي طرف قرارداد با Let's Encrypt (برابر ۳ ميليون و ۴۸ هزار و ۲۸۹ وبسايت) را تحتتأثير قرار ميداد و شركت نميتوانست آنها را به حال خود رها كند. به بيان ساده، مجوز حدود سهميليون وبسايت با روشي غيراصولي تمديد شده بود و سازمان بايد مشكل را حل ميكرد.
انجمن امنيتي موسوم به Certification Authority Browser Forum يا CA/B از Let's Encrypt درخواست كرد مشكل سهميليون مجوز را در پنج روز حل كند. اين انجمن استانداردهاي سختگيرانهاي در استفاده از مجوزهاي امنيتي در وبسايتها دارد. Let's Encrypt ابتدا بايد مجوزهاي صادرشده را باطل ميكرد و فرايند بررسي را از سر ميگرفت. آنها ميتوانستند بدون توجه به هشدار CA/B به فعاليت ادامه دهند؛ اما تصميم گرفتند مشكل را حل كنند.
كنت وايت، از مديران ارشد سرويس ديتابيس MangoDB است كه از Let's Encrypt استفاده ميكند. وي دربارهي تصميم سازمان گفت:
آنها كار صحيح را انجام دادند. انجمن CA/B قوانين را تصويب ميكند و ساختارهاي تنظيمگري دقيقي دارد. وقتي كامپيوتر يا شخص با كامپيوتر ديگري ارتباط برقرار ميكند، بايد مطمئن شويم هر دو از ملاكهاي هويتي مشابه استفاده ميكنند. براي چنين مقصودي به چهارچوبهاي مشخص نياز داريم كه CA/B تدوين ميكند.
حذفكردن مجوز سهميليون وبسايت مشتري Let's Encrypt تأثير عميقي بر عملكرد آنها گذاشت. وقتي مرورگرهايي همچون كروم و فايرفاكس از نبود مجوز مطلع ميشدند، بارگذاري آن را متوقف و اعلان هشداري براي كاربر ارسال ميكردند. برخي از مرورگرها نيز بدون هشدار دسترسي را بهصورت كامل متوقف ميكنند؛ درنتيجه، تعداد چشمگيري از وبسايتهاي اينترنتي از دسترس خارج ميشد. همهي اين بحرانها فقط بهدليل باگي كوچك در گوشهاي از سيستم Let's Encrypt رخ ميداد.
تيم Let's Encrypt بهمحض اطلاع از باگ، هرگونه ارائهي مجوز جديد را متوقف كردند تا سطح تأثير بحران افزايش پيدا نكند. تنها دو ساعت بعد، باگ برطرف و اخبار تكميلي منتشر شد. البته آنها امكان برقراري تماس با همهي مشتريان را نداشتند و تنها به مشتركان بزرگ اطلاعرساني كردند. مجوز آنها بسيار سريع احيا شد و وبسايتها به وضعيت قبل بازگشتند.
مجوز بيش از سهميليون وبسايت بهدليل باگ پيشآمده لغو شد
اگر مدير وبسايت مجوز خود را در Let's Encrypt بهروزرساني كند، مجوز قديمي بهصورت خودكار حذف ميشود؛ درنتيجه، شايد چنين راهكاري در نگاه اول بهعنوان راهحل مناسب براي مشكل جديد به ذهن ميرسيد، اما فرايندها به آن آساني نبود كه تصور ميشد. وبسايتها و سرويسهاي بزرگ منابع كافي براي نظارت دائم و برطرفكردن خودكار مشكلات خود را دارند. بهعنوان مثال، MangoDB بهسرعت مجوز ۱۵ هزار مشتري خود را بهروز كرد.
وبسايتهاي كوچكتر براي عبور از بحران پيشآمده در Let's Encrypt از كمك Electronic Frontier Foundation بهره بردند كه نرمافزار Certbot را براي آنها ارائه ميكند. نرمافزار مذكور مجوزهاي مرتبط را به وبسايتها اضافه و آنها را در دورهي ۶۰ روزه تمديد ميكند. Certbot فقط در دو ماه گذشته، ۱۹/۲ ميليون مجوز جديد صادر كرده است. مكس هانتر، مدير مهندسي EFF، دربارهي حل مشكل جديد براي وبسايتهاي كوچكتر گفت:
ازآنجاكه Let's Encrypt مشكل را بهسرعت اعلام كرد و زيرساختهاي كدنويسي لازم هم دردسترس بود، ما كار دشواري در پيش نداشتيم.
گروهي از EFF بههمراه داوطلبهايي از پاريس و فنلاند وارد عمل شدند و كدهاي Certbot براي تمديد مجوزهاي باطلشده بهينهسازي شد.
Let's Encrypt در زمان مقابله با مشكل پيشآمده، تقريبا براي هر آدرس ايميلي كه دراختيار داشت، پيام ارسال كرد. بهعلاوه، ديتابيسي جستوجوشدني از دامينهاي تحتتأثير آماده كرد تا شركتهاي ميزباني وب درصورت نياز به مشتريان احتمالي خود اطلاعرساني كنند. برخي از سرويسها ابزارهاي خودكار داشتند و با واردكردن وبسايتهاي قرباني به فهرست اتمام مجوز، مجوز آنها بهسرعت تمديد شد.
تنها ۳۰ دقيقه پيش از پايان مهلت پنجروزهي Let's Encrypt، حدود ۱/۷ ميليون وبسايت از مجموع سهميليون وبسايت مجوز خود را تمديد كرده بودند. چنين تعدادي در زمان بسيار كم، دستاورد بزرگي براي سازمان غيرانتفاعي بود كه كمتر شركتي توانايي انجام آن را دارد. مجوز ساير وبسايتها نيز با تصميم شركت و سازمانهاي قانونگذار مرتبط، پس از پايان ضربالاجل لغو شد. ازآنجاكه مجوزها معمولا هر ۹۰ روز يكبار تمديد ميشوند، احتمالا تا تابستان هيچ وبسايت ديگري تحتتأثير بحران پيشآمده قرار نخواهد گرفت؛ هرچند قطعا بسياري از آنها در اين مدت متوجه مشكل پيشآمده خواهند شد.
رخداد پيشآمده نشان ميدهد اهميت زيرساختهاي پشتصحنهي اينترنت تا پيش از رخدادن بحران ناشناخته است. بههرحال بررسي اين مشكلها و تصميمهاي صحيحي كه براي رفع آنها گرفته شد، نمونهاي از اهميت واكنش سريع در سطح زيرساختي را نشان ميدهد.
منبع: زوميت
هفتهي گذشته، باگي در سرويس Let's Encrypt رخ داد كه ميليونها وبسايت را تقريبا از دسترس خارج كرد؛ اما پنج روز تلاش متخصصان مانع از پيشرفت آن شد.
هفتهي پيش رخدادي در سطح وسيع در سرويسهاي زيرساختي اينترنت رخ داد كه احتمال بزرگشدن و افزايش تأثير آن زياد بود؛ البته تلاش متخصصان از افزايش تأثير بحران جلوگيري كرد. بحران در اينترنت ۲۸ فوريه و با خبري نگرانكننده در Let's Encyprt شروع شد. اين شركت يكي از بازوهاي عملياتي سازمان غيرانتفاعي گروه تحقيقات امنيتي اينترنت محسوب ميشود و امكان بهرهبرداري از اتصالهاي امن و رمزنگاريشده را رايگان دراختيار وبسايت ها قرار ميدهد. مجوزهاي امنيتي ارسالشده امنبودن وبسايت را تأييد و بهنوعي زيرساختهاي رمزنگاري پايهاي HTTPS را فراهم ميكنند.
مجوزهاي امنبودن وبسايت زمان اعتبار مشخصي دارند و پس از گذشت ۹۰ روز، مسئول هر وبسايت بايد براي نوسازي مجوز اقدام كند. گفتني است بخش عمدهاي از فرايند بهصورت خودكار انجام ميشود؛ اما درنهايت اگر وبسايتي موفق نشود مجوز خود را تمديد كند، احتمالا مرورگر براي جلوگيري از سوءاستفادهي امنيتي، آن را بارگذاري نخواهد كرد. بهطورخلاصه، ميتوان مجوزها را مانند تمديد مجوز بيمه يا مدارك ديگر خودرو دانست كه اگر در زمان مقرر انجام نشود، ممنوعيت عبورومرور را بههمراه خواهد داشت.
فعاليتهايي كه بازوي رمزنگاري غيرانتفاعي انجام ميدهد، جزئيات زيادي دارد و اغلب آنها هم از ديد كاربران مخفي هستند. بههرحال، همين مركز باعث شد در سالهاي گذشته، فضاي اينترنت روزبهروز امنتر شود. مجوزهاي اعتبار امنيتي وبسايتها را سازمانها و شركتهاي گوناگون صادر ميكنند؛ اما Let's Encrypt با رايگانكردن آنها، قدم بزرگي در مسير امنتركردن فضاي وب برداشت. آنها هفتهي گذشته مجوز شمارهي يكميلياردم خود را هم صادر كردند.
بزرگ و گسترده بودن فعاليت Let's Encrypt و وابستگي تعداد زيادي وبسايت به آن، ضعفهايي هم بههمراه دارد. اگر مشكلي در زيرساختهاي اين سازمان ايجاد شود، عواقب آن گريبانگير بسياري از فعالان وب خواهد شد. ۲۸ فوريه، اتفاق نگرانكننده رخ داد و باگي در سيستم امنيتي سازمان از فعاليت صحيح سهميليون وبسايت جلوگيري كرد و چند روز هم به طول انجاميد.
آسيبپذيري ايجادشده در زيرساخت اهدا و تأييد مجوزها در نگاه اول بسيار جزئي بهنظر ميرسد. سازمان تأييد مجوز از نرمافزاري بهنام Boulder براي تأييد صحيحبودن اهداي مجوز به وبسايت بهره ميبرد. نرمافزار مذكور پيشنيازهاي اوليهي وبسايت را براي دريافت مجوز بررسي ميكند و فرايند هر ۳۰ روز يكبار تكرار ميشود. باگي كه در سيستم ايجاد شد، بررسي ثانويه را حذف ميكرد كه عواقب بزرگي بههمراه داشت. فراموش نكنيد برخي مقاصد مهم و حساس وب مانند بانكها، تنها مجوزهايي ميپذيرند كه از سازمانهاي خاص اهدا شده باشند. اگرچه Let's Encrypt ساختار بسيار امني دارد، برخي مجوزها پولي و ضمانت و ارتقاي درخورتوجهي دركنار مجوزهاي خود ارائه ميكنند. درواقع، همين بخشها تفاوت اصلي سرويسهاي پولي و رايگان را ايجاد ميكند.
باگي كه در سيستم مجوزدهي ايجاد شد، تأثير آنچنان زيادي بر وبسايتها نگذاشت. اين باگ مجوز ۲/۶ درصد از وبسايتهاي طرف قرارداد با Let's Encrypt (برابر ۳ ميليون و ۴۸ هزار و ۲۸۹ وبسايت) را تحتتأثير قرار ميداد و شركت نميتوانست آنها را به حال خود رها كند. به بيان ساده، مجوز حدود سهميليون وبسايت با روشي غيراصولي تمديد شده بود و سازمان بايد مشكل را حل ميكرد.
انجمن امنيتي موسوم به Certification Authority Browser Forum يا CA/B از Let's Encrypt درخواست كرد مشكل سهميليون مجوز را در پنج روز حل كند. اين انجمن استانداردهاي سختگيرانهاي در استفاده از مجوزهاي امنيتي در وبسايتها دارد. Let's Encrypt ابتدا بايد مجوزهاي صادرشده را باطل ميكرد و فرايند بررسي را از سر ميگرفت. آنها ميتوانستند بدون توجه به هشدار CA/B به فعاليت ادامه دهند؛ اما تصميم گرفتند مشكل را حل كنند.
كنت وايت، از مديران ارشد سرويس ديتابيس MangoDB است كه از Let's Encrypt استفاده ميكند. وي دربارهي تصميم سازمان گفت:
آنها كار صحيح را انجام دادند. انجمن CA/B قوانين را تصويب ميكند و ساختارهاي تنظيمگري دقيقي دارد. وقتي كامپيوتر يا شخص با كامپيوتر ديگري ارتباط برقرار ميكند، بايد مطمئن شويم هر دو از ملاكهاي هويتي مشابه استفاده ميكنند. براي چنين مقصودي به چهارچوبهاي مشخص نياز داريم كه CA/B تدوين ميكند.
حذفكردن مجوز سهميليون وبسايت مشتري Let's Encrypt تأثير عميقي بر عملكرد آنها گذاشت. وقتي مرورگرهايي همچون كروم و فايرفاكس از نبود مجوز مطلع ميشدند، بارگذاري آن را متوقف و اعلان هشداري براي كاربر ارسال ميكردند. برخي از مرورگرها نيز بدون هشدار دسترسي را بهصورت كامل متوقف ميكنند؛ درنتيجه، تعداد چشمگيري از وبسايتهاي اينترنتي از دسترس خارج ميشد. همهي اين بحرانها فقط بهدليل باگي كوچك در گوشهاي از سيستم Let's Encrypt رخ ميداد.
تيم Let's Encrypt بهمحض اطلاع از باگ، هرگونه ارائهي مجوز جديد را متوقف كردند تا سطح تأثير بحران افزايش پيدا نكند. تنها دو ساعت بعد، باگ برطرف و اخبار تكميلي منتشر شد. البته آنها امكان برقراري تماس با همهي مشتريان را نداشتند و تنها به مشتركان بزرگ اطلاعرساني كردند. مجوز آنها بسيار سريع احيا شد و وبسايتها به وضعيت قبل بازگشتند.
مجوز بيش از سهميليون وبسايت بهدليل باگ پيشآمده لغو شد
اگر مدير وبسايت مجوز خود را در Let's Encrypt بهروزرساني كند، مجوز قديمي بهصورت خودكار حذف ميشود؛ درنتيجه، شايد چنين راهكاري در نگاه اول بهعنوان راهحل مناسب براي مشكل جديد به ذهن ميرسيد، اما فرايندها به آن آساني نبود كه تصور ميشد. وبسايتها و سرويسهاي بزرگ منابع كافي براي نظارت دائم و برطرفكردن خودكار مشكلات خود را دارند. بهعنوان مثال، MangoDB بهسرعت مجوز ۱۵ هزار مشتري خود را بهروز كرد.
وبسايتهاي كوچكتر براي عبور از بحران پيشآمده در Let's Encrypt از كمك Electronic Frontier Foundation بهره بردند كه نرمافزار Certbot را براي آنها ارائه ميكند. نرمافزار مذكور مجوزهاي مرتبط را به وبسايتها اضافه و آنها را در دورهي ۶۰ روزه تمديد ميكند. Certbot فقط در دو ماه گذشته، ۱۹/۲ ميليون مجوز جديد صادر كرده است. مكس هانتر، مدير مهندسي EFF، دربارهي حل مشكل جديد براي وبسايتهاي كوچكتر گفت:
ازآنجاكه Let's Encrypt مشكل را بهسرعت اعلام كرد و زيرساختهاي كدنويسي لازم هم دردسترس بود، ما كار دشواري در پيش نداشتيم.
گروهي از EFF بههمراه داوطلبهايي از پاريس و فنلاند وارد عمل شدند و كدهاي Certbot براي تمديد مجوزهاي باطلشده بهينهسازي شد.
Let's Encrypt در زمان مقابله با مشكل پيشآمده، تقريبا براي هر آدرس ايميلي كه دراختيار داشت، پيام ارسال كرد. بهعلاوه، ديتابيسي جستوجوشدني از دامينهاي تحتتأثير آماده كرد تا شركتهاي ميزباني وب درصورت نياز به مشتريان احتمالي خود اطلاعرساني كنند. برخي از سرويسها ابزارهاي خودكار داشتند و با واردكردن وبسايتهاي قرباني به فهرست اتمام مجوز، مجوز آنها بهسرعت تمديد شد.
تنها ۳۰ دقيقه پيش از پايان مهلت پنجروزهي Let's Encrypt، حدود ۱/۷ ميليون وبسايت از مجموع سهميليون وبسايت مجوز خود را تمديد كرده بودند. چنين تعدادي در زمان بسيار كم، دستاورد بزرگي براي سازمان غيرانتفاعي بود كه كمتر شركتي توانايي انجام آن را دارد. مجوز ساير وبسايتها نيز با تصميم شركت و سازمانهاي قانونگذار مرتبط، پس از پايان ضربالاجل لغو شد. ازآنجاكه مجوزها معمولا هر ۹۰ روز يكبار تمديد ميشوند، احتمالا تا تابستان هيچ وبسايت ديگري تحتتأثير بحران پيشآمده قرار نخواهد گرفت؛ هرچند قطعا بسياري از آنها در اين مدت متوجه مشكل پيشآمده خواهند شد.
رخداد پيشآمده نشان ميدهد اهميت زيرساختهاي پشتصحنهي اينترنت تا پيش از رخدادن بحران ناشناخته است. بههرحال بررسي اين مشكلها و تصميمهاي صحيحي كه براي رفع آنها گرفته شد، نمونهاي از اهميت واكنش سريع در سطح زيرساختي را نشان ميدهد.
منبع: زوميت