گواهی امنیت نامعتبر یک اپراتور موبایل

اپراتورهای ارتباطی سیار با انتشار گزارشی در زمینه عدم وجود گواهی امنیت دیجیتال برای سایت‌هایشان سریعا به سمت اصلاح و تمدید اعتبار گواهی‌های خود رفتند اما گواهی SSL یک اپراتور موبایل در بخش ترابردپذیری همچنان نامعتبر و غیرایمن است.

بیش از یک ماه از انتشار گزارشی پیرامون ناامنی سایت اپراتورها با رویکرد عدم وجود پشتیبانی از پروتکل SSL در صفحه مربوط به ترابرد مشترکان می‌گذرد که دو اپراتور ارتباطی نسبت به رفع این معضل برآمده اما تنها یک اپراتور اقدامی انجام نداده است.

حساسیت نسبت به وجود این پروتکل امنیتی در سایت اپراتورها بعد از جلسه شورای عالی فضای مجازی و تأکید بر صیانت از اطلاعات و حریم خصوصی مشترکان اپراتورهای تلفن همراه و برخورد قانونی با هرگونه سوء استفاده در این حوزه، بیش از پیش شد.

اعضای شورای مذکور بر اتخاذ تدابیر ویژه‌ای در حوزه حفاظت از حریم خصوصی برای جلوگیری از هرگونه دسترسی غیرمجاز تاکید داشتند.

یکی از متداول‌ترین روش‌های حفاظت از اطلاعات در سطوح فردی یا سطوح بالای ملی، رمز کردن اطلاعات است بطوریکه دستیابی به اطلاعات رمز شده برای افراد غیر‌مجاز امکان‌پذیر نبوده و تنها افرادیکه دارای کلید رمز باشند بتوانند محتوای رمز را بازگشایی کنند.

برای امن‌سازی این ارتباطات به پروتکل SSL نیاز است که به بیان ساده یک پروتکل استاندارد امنیتی برپایه رمزنگاری اطلاعات به حساب می‌آید.

در این پروتکل داده‌های تبادل شده بین سرویس‌دهنده (Server) و سرویس‌گیرنده (Client) توسط کلیدهای خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) می‌شود، امنیت در این پروتکل دو طرفه است یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.

با این حال همراه اول و ایرانسل بعد از کشف این ضعف امنیتی در سایت خود و مخصوصا در بخش ترابرد مشترکان، که با اطلاعات هویتی سر و کار دارد سریعا به سمت رفع این چالش رفتند و گواهی‌های خود را برای این بخش مستقر و بروزرسانی کردند.

اما گواهی امنیتی اپراتور سوم همچنان در مرورگرهای پر کاربردی نظیر کروم منقضی هست و هیچ تضمینی بر حفاظت از اطلاعات وارد شده توسط مشترکان در بخش ترابرد نمی‌دهد.

اپراتورهای اول و دوم ارتباطی بالاترین سطح گواهی‌های امنیتی را روی درگاه‌های خود نصب و نماد سبز رنگ به نشانه تأیید را به ترتیب از شرکت‌های تُرک‌تراست و یونیزتو دریافت کرده‌اند.

به گزارش تسنیم، اعتبار گواهی‌های امنیت همراه اول و ایرانسل به ترتیب تا 23 دسامبر 2016 و 6 سپتامبر 2017 است.

رایتل هم علی‌رغم داشتن گواهی SSL از KEYNECTIS تا ژوئن 2017 توسط مرورگر کروم ایمن شناخته نمی‌شود.

کروم در حالیکه در بخش دیدگاه امنیتی سایت این اپراتور به صراحت می‌گوید broken HTTPS و نماد قرمز رنگی را به نشانه هشدار نمایش می‌دهد، همچنین می‌گوید:

This site uses a weak security configuration (SHA-1 Signatures), so your connection may not be private.

احتمال می‌رود این گواهی به دلیل غیر مجاز بودن یا داشتن ایراد فنی در شیوه نصب مورد تأیید مرورگر مذکور قرار نگرفته است.

امید می‌رود این اپراتور هم در رقابت با دیگران، هرچه سریع‌تر با بهره‌مندی از گواهی امنیت دیجیتال معتبر خیال مشترکان خود و کسانیکه متقاضی ورود به این اپراتور هستند را راحت کند.