איך כדאי לגרום למישהו לקנות ממך משהו? חברת Thawte בוחרת באופציית ההפחדה…

6 בנובמבר, 2007 שימי

Disclaimer: כל הנכתב כאן הוא בגדר דעה פרטית בלבד; אין בכל הנכתב בטקסט זה משום הצהרה על אמיתותו, ואין להסתמך עליו בכל צורה שהיא, בייחוד לא כדי להבין ממנו שחברה כלשהיא ביצעה פעולה כלשהיא במכוון, ביודעין, או בכלל…

עד לפני כשנה, במקום העבודה שלי השתמשנו בתעודות SSL שנרכשו מחברת Thawte.

Thawte היא מותיקות השוק, ואולי אפילו הראשונה (אינני זוכר).

Thawte היא גם יקרנית. ניתן לקבל את אותו השירות גם מספקי שירות אחרים – והוא שווה ערך לכל דבר ועניין – כלומר – המידע עובר באותה צורה מאובטחת בדיוק.

בשביל מה בכלל צריך תעודות SSL כדי להקים קשר מוצפן עם שרת מרוחק? ובכן, האמת היא שלא ממש צריך. קשר מוצפן אפשר להקים באופן עצמאי על ידי חתימה עצמית על תעודות SSL, ושימוש בהן.

החסרון היחיד בצורת עבודה שכזו, היא, שאלא אם כן התחברת לאתר שכזה בעבר, והכנסת למחשב שלך את התעודה החתומה עצמאית שלו, לא תוכל לדעת שהאתר שאתה מתחבר אליו, הוא אכן האתר שאתה מצפה להתחבר אליו. אולי מישהו אחר חטף את החיבור באמצע, ועונה לך במקום השרת שאליו התחברת – ואז אמנם התקשורת היוצאת מהמחשב שלך אכן הוצפנה – אבל לא נשלחה למקום שאליו ציפית שהיא תישלח, אלא למקום אחר.

כאן מגיע הקונספט שגוף שאמון על שני הצדדים יחתום חתימה דיגיטלית על מפתח ההצפנה של השרת, וכך הלקוח יוכל לאמת מול צד ג’ שאכן צד ג’ חתם על התעודה, ובסוגים מסויימים של שירות, אף ביצע וידוא משפטי לגבי זהות הגוף שעבורו הוא חתם על התעודה.

עד כאן, הכל טוב ויפה.

היכן הבעייה מתחילה?

הבעייה מתחילה, בכך, שתהליך החתימה הוא פרוצדורה שיכולה להתבצע על ידי מחשב, ללא מגע יד אדם. זה זהה לחלוטין לחתימה עצמאית, רק שזו חתימה על ידי צד ג’, אבל הפעולה הטכנית זהה.

לצערנו, בדפדפני האינטרנט, ישנן תעודות צד ג’ מובנות אך ורק לספקי שירות כאלה הגובים תשלום עבור שירות החתימה שלהם (למרות שיש ספקי שירות שלא גובים תשלום…). דבר זה גורם לכך, שכל מי שמתחבר לאתר, שתעודתו הדיגיטלית לא נחתמה על ידי אחת מהחברות המסחריות האלה הגובות ממון רב עבור פעולה של מספר שניות, יקבל הודעת אזהרה (מוצדקת, מבחינת מה שהוגדר בדפדפן…) שהאתר עשוי להיות לא אמין, כי למרות שהתעודה מתאימה לאתר בפרטיה (תוקף, שם מתחם וכו’) – הגוף החותם אינו מוגדר כאמין במערכת, והיא נותנת למשתמש לבחור האם להמשיך או לא.

אם רשימת החותמים האמינים הייתה כוללת לפחות ספק שירות חינמי אחד, כל שאר החברות יכלו בעיקרון ללכת הבייתה; הם עושים כסף היום מזה שהגולש לא יקבל אזהרה כשהוא נכנס לאתר מאובטח.

נניח לרגע לעצם העובדה שגובים כסף על פעולה זו (זכותם) – לא על זה הפוסט. כל מה שכתבתי עכשיו נועד כדי להסביר את הרקע הטכני בצורך בשירות הזה בכלל.

כפי שהוסבר לעיל, ברגע שאחד משלושת הדברים: חותם, תאריכי תוקף (התחלה וסיום) ושם מתחם, אינו עומד בתנאים המוגדרים בדפדפן – תתקבל אזהרה. האזהרה אינה אומרת שהחיבור לא מאובטח. היא רק אומרת שייתכן ומישהו חטף את התקשורת. אם אף אחד לא חטף את התקשורת, התקשורת מאובטחת אפילו אם כל האזהרות צועקות “סכנה”.

וכאן מגיעה הבעייה.

כדי למקסם רווחים, חתימה על תעודה דיגיטלית נעשית לזמן מוגבל, כדי שאפשר יהיה למכור את אותו “מוצר” פעמיים. מה קורה בעצם שפג התוקף של התעודה? כלום בעצם. הדפדפן יצעק – שים לב – בדקתי את התעודה, התעודה הזאת תקינה, היא נחתמה על ידי גורם אמין, מה שאומר שאלא אם כן מישהו גנב את המפתח הפרטי מהשרת המוצפן (על ידי פריצה) – אתה אפילו מדבר עם השרת שאתה חושב שאתה מדבר איתו – אבל שים לב – הבעלים של השרת הזה פשוט לא שילם עוד כמה מאות דולרים כדי שלא תופיע לך האזהרה הזאת. שוב – אני מדגיש – התקשורת מאובטחת לחלוטין באותה רמה – כולל אימות המערכת שאליה מתחברים – פשוט קופץ חלון של אזהרה.

ועכשיו – הגענו לפואטנה.

לפני כשנה, החלטנו במקום העבודה שלי, לעבור לספק SSL אחר, פחות יקרן. הרי כפי שהסברתי, מבחינת אבטחת מידע, אין שום הבדל.

ולמעשה כבר עברנו.

הספק הישן (Thawte) שולח התראות החל משלושה חודשים לפני תום תוקף החתימה שלהם, וקורא לחדש את החתימה (במחירי פרמיום, כרגיל). אנחנו כמובן מתעלמים, כי כבר יש לנו תעודה חדשה חתומה ופעילה, והלקוחות לא יקבלו חלון פופאפ (ששוב, לא אומר שהחיבור לא מאובטח) בתום התקופה; אז אנחנו לא דואגים.

בסופו של דבר, הגיע היום האחרון של החידוש, ובו קיבלנו מייל פשוט מאיים, שזה נוסחו:

ACT NOW! The following Certificate(s) has expired. Your site is no longer secure or validated.”

וזו הפואטנה של הפוסט הזה. אחרי שהסברתי מה שהסברתי לעיל, אפשר לראות ולהבין, שהמשפט הזה הוא שקר מוחלט. גם אם היינו נשארים עם התעודה שלהם – אזהרה אמנם הייתה קופצת, אבל באזהרה היה כתוב בפירוש שהתקשורת כן מאובטחת, והחותם כן אמין, פשוט התאריך לא בתוקף, ונא לבדוק את השעון של המחשב…

לסיכום, למה לא לאיים על הלקוח שהאתר שלו לא בטוח רק כי הוא לא שילם עוד ממון במקום להציג בפניו את האמת? כשרוצים למכור, כנראה שהכל מותר…

 

פורסם בקטגוריות IT, מאמרים, פרוטוקולים
אין תגובות

השאירו תגובה


 
downloadable oem soft adobe acrobat oem software vertu high end replica phone