ჩვენი კვლევის დროს წავაწყდით შემთხვევას, როდესაც ანტალიაში მოქმედი ხუთვარსკვლავიანი სასტუმროს კლიენტმა, ბოქლომის ხატულისა და "უსაფრთხო კავშირის" წარწერის მქონე ყალბ ჯავშნის საიტზე შეიყვანა თავისი საკრედიტო ბარათის მონაცემები. საიტს რომ შეხედავდით, ყველაფერი ნორმალურად ჩანდა: HTTPS კავშირი, მოქმედი სერტიფიკატი, ნაცნობი დიზაინი. თუმცა, საიტი სრულიად ყალბი იყო.
ეს შემთხვევა ნათლად აჩვენებს იმ რეალობას, რომელსაც სასტუმროების სექტორი სულ უფრო ხშირად აწყდება: SSL სერტიფიკატი თავისთავად უსაფრთხოების გარანტია აღარ არის.
რა არის SSL სერტიფიკატი და რას ემსახურება?
SSL (Secure Sockets Layer) სერტიფიკატი შიფრავს მონაცემთა ტრაფიკს მომხმარებლის ბრაუზერსა და ვებ სერვერს შორის. ბრაუზერის მისამართების ზოლში ბოქლომის ხატულა და "https://" პრეფიქსი ამ შიფრაციის აქტიურობას ნიშნავს.
სერტიფიკატის აღება ნებისმიერს შეუძლია. Let's Encrypt-ის მსგავსი უფასო სერტიფიკატების პროვაიდერების წყალობით, თაღლითებს წუთების განმავლობაში შეუძლიათ მოქმედი SSL სერტიფიკატის მიღება ყალბი საიტისთვის. ბოქლომის ხატულა მხოლოდ იმას ნიშნავს, რომ კავშირი დაშიფრულია; ის არ გვეუბნება, ვინ მართავს საიტს.
ჩვენი კლიენტები ხშირად გაოცებულები რჩებიან, როდესაც ამის შესახებ იგებენ. "მაგრამ ბოქლომი ხომ იყო?" - ამბობენ ისინი. სამწუხაროდ, ბოქლომი საკმარისი გარანტია აღარ არის.
DV, OV და EV სერტიფიკატები: რა განსხვავებაა?
სერტიფიკატების ტიპების გაგება სანდო და ყალბი საიტების გარჩევის ყველაზე პრაქტიკული გზაა.
DV (Domain Validation — დომენის ვალიდაცია)
DV სერტიფიკატები მხოლოდ იმას ადასტურებენ, რომ განაცხადი ამ დომენის მფლობელმა გააკეთა. იდენტობის შემოწმება არ ხდება. სერტიფიკატის გამცემი ორგანო მხოლოდ ამბობს: "ეს პიროვნება აკონტროლებს დომენს"; ის არ სვამს კითხვას "ვინ არის ეს პიროვნება?". Let's Encrypt და მსგავსი უფასო სერვისები DV სერტიფიკატს გასცემენ. მისი მიღება რამდენიმე წუთს გრძელდება, უფასოა და არ საჭიროებს რაიმე დოკუმენტის წარდგენას.
თაღლითები თითქმის ყოველთვის DV სერტიფიკატს იყენებენ. ჩვენს მიერ გაანალიზებული ყალბი სასტუმროების საიტების უმრავლესობას Let's Encrypt-ის ან ZeroSSL-ის მსგავსი უფასო პროვაიდერებისგან მიღებული DV სერტიფიკატები ჰქონდა.
OV (Organization Validation — ორგანიზაციის ვალიდაცია)
OV სერტიფიკატები მოითხოვს, რომ სერტიფიკატის გამცემმა ორგანომ განმცხადებელი ორგანიზაცია დოკუმენტების შემოწმებით დაადასტუროს. საჭიროა კომპანიის სარეგისტრაციო მოწმობა, მისამართის დადასტურება და ზოგჯერ სატელეფონო დადასტურება. სერტიფიკატში ორგანიზაციის იურიდიული სახელი ჩანს.
თაღლითებისთვის ყალბი კომპანიის დაარსების გარეშე OV სერტიფიკატის მიღება შეუძლებელია. ამიტომ, ლეგიტიმურად გამოჩენის მსურველი ყალბი საიტებიც კი იძულებულნი არიან, OV-ს ნაცვლად DV აირჩიონ. სასტუმროებისთვის, რომლებსაც სურთ კორპორატიული სერტიფიკატის პოლიტიკის ჩამოყალიბება, OV მინიმალურ სტანდარტად არის რეკომენდებული.
EV (Extended Validation — გაფართოებული ვალიდაცია)
EV სერტიფიკატები ყველაზე მკაცრ ვალიდაციის პროცესს გადიან. სერტიფიკატის გამცემი ორგანო ცალ-ცალკე ამოწმებს ორგანიზაციის იურიდიულ არსებობას, ფიზიკურ მისამართს, ოპერაციულ მდგომარეობას და უფლებამოსილი წარმომადგენლის იდენტობას. ეს პროცესი რამდენიმე დღიდან ორ კვირამდე შეიძლება გაგრძელდეს და ფასიანია.
ზოგიერთი ბრაუზერი EV სერტიფიკატის მქონე საიტებში მისამართების ზოლში ორგანიზაციის სახელს მწვანედ აჩვენებს. მიუხედავად იმისა, რომ დღეს ეს ვიზუალური მაჩვენებელი ყველა ბრაუზერში აქტიური არ არის, EV სერტიფიკატები კვლავ ყველაზე ძლიერ იდენტობის გარანტიას იძლევა. დიდი ფინანსური ინსტიტუტები, სახელმწიფო უწყებები და საერთაშორისო სასტუმროების ქსელები, როგორც წესი, EV-ს ირჩევენ.
ჩვენი სექტორული დაკვირვებით, არც ერთი ყალბი სასტუმროს საიტი EV სერტიფიკატს არ იყენებს. იდენტობის დადასტურების ბარიერი გადაულახავად მაღალია.
სერტიფიკატების ტიპების შემაჯამებელი შედარება
- DV: ნებისმიერს შეუძლია მიიღოს, უფასო, მყისიერი. იდენტობის გარანტია არ არსებობს.
- OV: საჭიროა კორპორატიული დადასტურება, ფასიანი, გრძელდება დღეები. საბაზისო იდენტობის გარანტია არსებობს.
- EV: ყველაზე სრულყოფილი დადასტურება, უმაღლესი ნდობა. ყალბ საიტებზე შეუძლებელია.
რა არის Certificate Transparency (CT) Log-ები?
Certificate Transparency (სერტიფიკატების გამჭვირვალობა) არის ღია სისტემა, რომელიც SSL სერტიფიკატებს აკონტროლებს. 2013 წელს Google-ის მიერ დანერგილი და Google Transparency Report-ის ფარგლებში მხარდაჭერილი ეს სისტემა, ყველა სერტიფიკატის გამცემ ორგანოს ავალდებულებს, რომ მათ მიერ გაცემული ყველა სერტიფიკატი საჯარო რეესტრში (log) დაამატონ.
ეს სისტემა ნიშნავს: როდესაც ვინმე იღებს სერტიფიკატს "თქვენი სასტუმროს სახელი + სხვა დომენი" კომბინაციისთვის, ეს ინფორმაცია საჯარო CT log-ებში ხვდება. და თქვენ შეგიძლიათ ამ log-ების მონიტორინგით ახალი ყალბი საიტები აღმოაჩინოთ მათი შექმნიდან საათების შემდეგ.
სექტორის ექსპერტები აღნიშნავენ, რომ ეს მექანიზმი ყალბი საიტების თვალთვალში ყველაზე სანდო ადრეული გაფრთხილების სისტემაა. თაღლითები გვერდს სწრაფად ქმნიან და ნელ-ნელა ავრცელებენ; CT log-ები კი თითქმის მყისიერ ჩანაწერს აკეთებენ. მეტი ინფორმაციისთვის იხილეთ ჩვენი სტატია certificate-transparency-log-izleme.
როგორ ამოვიცნოთ ყალბი SSL სერტიფიკატი?
1. ყურადღებით შეამოწმეთ დომენის სახელი
ხშირად ყალბი საიტები იყენებენ ორიგინალური დომენის სახელის ოდნავ შეცვლილ ვერსიებს. მაგალითად, "hillsidebeachclub.com"-ის ნაცვლად "hillsidebeachclubb.com" ან "hillside-beachclub.com". ამ typosquatting ტექნიკის შესახებ მეტი ინფორმაციისთვის იხილეთ ჩვენი სტატია otel-domain-guvenligi-typosquatting.
სერტიფიკატი ამ ყალბ დომენის სახელზეა გაცემული. ბოქლომის ხატულა ნამდვილია, მაგრამ მისამართი არასწორია.
2. შეამოწმეთ სერტიფიკატის მფლობელი
ბრაუზერში ბოქლომის ხატულაზე დაწკაპუნებით გადადით "სერტიფიკატის ნახვა" ოფციაზე. იქიდან შეამოწმეთ შემდეგი ინფორმაცია:
- ვისზეა გაცემული: სწორი სასტუმროს სახელია, თუ შემთხვევითი სახელი?
- რომელი დომენისთვის: ემთხვევა თუ არა მისამართების ზოლში მითითებულ დომენის სახელს?
- ვინ გასცა: ცნობილი სერტიფიკატის გამცემი ორგანოა? (ცნობილი ორგანოები: DigiCert, Sectigo, Let's Encrypt)
- როდიდან არის მოქმედი: ძალიან ახალი სერტიფიკატია? ყალბი საიტები, როგორც წესი, მოკლევადიან სერტიფიკატებს იყენებენ.
3. crt.sh-ით შეამოწმეთ CT Log-ები
crt.sh არის საჯარო CT log-ების საძიებო სისტემა და მისი გამოყენება უფასოა. თქვენი დომენის სახელის ძიებით შეგიძლიათ ნახოთ, რომელი სერტიფიკატებია გაცემული ამ ან მსგავსი სახელებით.
ერთ-ერთმა ჩვენმა კლიენტმა, როდესაც პირველად გამოიყენა ეს ინსტრუმენტი, თავისი სასტუმროსთვის 11 სხვადასხვა SSL სერტიფიკატის ჩანაწერი იპოვა; აქედან 9 სრულიად ყალბ საიტს ეკუთვნოდა.
დაცვის მეთოდები
აკონტროლეთ თქვენი ბრენდის სახელი და მისი ვარიაციები
რეგულარულად დაასკანერეთ CT log-ებში არა მხოლოდ თქვენი მთავარი დომენი, არამედ თქვენი ბრენდის ყველა შესაძლო ვარიაცია. ჩვენმა კვლევამ აჩვენა, რომ ყალბი საიტების უმრავლესობა სასტუმროს სახელის სხვადასხვა კომბინაციებს იყენებს: "ანტალია + სასტუმროს სახელი", "სასტუმროს სახელი + ჯავშანი", "სასტუმროს სახელი + booking" და ა.შ.
EV სერტიფიკატის მნიშვნელობა
Extended Validation (გაფართოებული ვალიდაცია) სერტიფიკატები მოითხოვს, რომ სერტიფიკატის გამცემმა ორგანომ ფიზიკურად დაადასტუროს ორგანიზაციის იდენტობა. ზოგიერთ ბრაუზერში მისამართების ზოლში ორგანიზაციის სახელს აჩვენებს. თაღლითებისთვის ასეთი სერტიფიკატის მიღება ბევრად უფრო რთულია.
Google Safe Browsing და დარღვევის შეტყობინებები
ყალბი საიტის აღმოჩენისას, ნუ დაკმაყოფილდებით მხოლოდ takedown მოთხოვნის გაგზავნით. ასევე შეატყობინეთ Google Safe Browsing-ს, Netcraft-ს და Microsoft SmartScreen-ს. ამის წყალობით, საიტი მომხმარებლების ბრაუზერში "საშიში საიტის" გაფრთხილებით გამოჩნდება.
დააყენეთ ავტომატური მონიტორინგის სისტემა
მანუალური სკანირება ყველა სასტუმროსთვის მდგრადი არ არის. სექტორის ექსპერტები ხაზს უსვამენ, რომ CT log-ების მონიტორინგი 24/7-ზე ავტომატურად უნდა ხდებოდეს. წინააღმდეგ შემთხვევაში, ყალბი საიტი შეიძლება შეუმჩნევლად დარჩეს კვირების განმავლობაში.
რა უნდა გააკეთოთ სერტიფიკატის აღმოჩენისას?
- crt.sh-ზე ნაპოვნი საეჭვო დომენი გამოიკვლიეთ WHOIS-ით
- ნუ შეხვალთ საიტზე — გაასუფთავეთ ბრაუზერის ისტორია და ქეში
- გაუგზავნეთ საჩივარი დომენის რეგისტრატორს (domain registrar)
- შეატყობინეთ სერტიფიკატის გამცემ CA-ს (certificate authority)
- საჩივარი თურქეთში ასევე გადაუგზავნეთ BTK-ს (ინფორმაციული ტექნოლოგიებისა და კომუნიკაციების სააგენტო)
ხშირად დასმული კითხვები
არის თუ არა უსაფრთხო ყველა საიტი SSL სერტიფიკატით? არა. SSL სერტიფიკატი მხოლოდ იმას ნიშნავს, რომ კავშირი დაშიფრულია. სერტიფიკატის მიღება თაღლითებსაც შეუძლიათ უფასოდ, წუთების განმავლობაში. უსაფრთხოებისთვის საჭიროა დომენის სახელის, სერტიფიკატის ტიპისა და საიტის მფლობელის იდენტობის ცალკე დადასტურება.
რა არის პრაქტიკული განსხვავება DV და EV სერტიფიკატებს შორის? DV სერტიფიკატი მხოლოდ დომენის კონტროლს ადასტურებს და ნებისმიერს შეუძლია რამდენიმე წუთში მიიღოს. EV სერტიფიკატი კი სრულყოფილად ადასტურებს ორგანიზაციის იურიდიულ იდენტობას; ყალბი საიტები ამ პროცესს ვერ გადიან. თქვენი კლიენტებისთვის უძლიერესი გარანტიის შესათავაზებლად, აირჩიეთ EV.
რა სიხშირით უნდა შევამოწმო CT log-ები? იმისთვის, რომ მყისიერად გაიგოთ, როდესაც თქვენი ბრენდის მსგავსი ახალი სერტიფიკატი გაიცემა, უნდა გამოიყენოთ რეალურ დროში მონიტორინგის სისტემები. მანუალური შემოწმების შემთხვევაში, რეკომენდებულია კვირაში ერთხელ მაინც დაასკანიროთ თქვენი ბრენდი crt.sh-ის მეშვეობით.
შემიძლია თუ არა ყალბ საიტზე გამოყენებული SSL სერტიფიკატის გაუქმება? დიახ. შეგიძლიათ სერტიფიკატის გამცემ CA-ს (certificate authority) გაუგზავნოთ ფიშინგის ან ბოროტად გამოყენების შეტყობინება და მოითხოვოთ რევოკაცია (გაუქმება). Let's Encrypt და დიდი CA-ები ასეთ შეტყობინებებს, როგორც წესი, 24-48 საათში განიხილავენ.
მყისიერად შეამოწმეთ თქვენი სასტუმროს სახელზე რეგისტრირებული ყველა SSL სერტიფიკატი ჩვენი უფასო ინსტრუმენტით. რამდენიმე წუთში ნახავთ, რამდენი ყალბი სერტიფიკატი არსებობს.
