گواهی SSL چیست و چرا با قطع اینترنت بین‌الملل، بعضی سایت‌های داخلی مسدود می‌شوند؟

معماری شبکه جهانی وب بر پایه وابستگی‌های متقابل و زنجیره‌ای از ارتباطات بین‌المللی بنا شده است؛ به گونه‌ای که حتی یک پلتفرم با میزبانی کاملا بومی و سرور‌های فیزیکی در داخل کشور، برای ارائه خدمات استاندارد و ایمن خود به گره‌های ارتباطی در سراسر جهان نیازمند است. در این ساختار یکپارچه، امنیت خط قرمز غیرقابل چشم‌پوشی محسوب می‌شود و هیچ نرم‌افزاری اجازه تخطی از آن را نمی‌دهد. در همین راستا، مرورگر‌های اینترنتی پیش از نمایش هر صفحه وب، وضعیت رمزنگاری داده‌های آن را به دقت بررسی می‌کنند. این فرآیند که اساسا برای حفظ اطلاعات کاربران در فضای تبادل داده طراحی شده است، در زمان قطع ارتباط با خارج از کشور به یک مانع فنی و سد راهبردی تبدیل می‌شود. سیستم کاربر در کسری از ثانیه تلاش می‌کند وضعیت گواهینامه را از صادرکننده خارجی استعلام کند و در صورت عدم دریافت پاسخ در زمان مقرر، صفحه وب را ناامن تشخیص داده و روند ورود به آن را به طور کامل متوقف می‌کند.

گواهی امنیتی SSL و مکانیسم رمزنگاری اطلاعات

گواهینامه لایه سوکت‌های امن که در ادبیات فنی شبکه با نام SSL و نسخه جدیدتر آن TLS شناخته می‌شود، پروتکلی است که ارتباط بین مرورگر کاربر و سرور سایت را رمزنگاری می‌کند تا از سرقت اطلاعات در میانه مسیر انتقال جلوگیری کند. وجود این پروتکل معمولا با نماد قفل در کنار آدرس اینترنتی در نوار مرورگر و همچنین استفاده از پروتکل ارتباطی HTTPS نشان داده می‌شود که نماد بارز یک ارتباط محافظت‌شده است.

زمانی که شما اطلاعات حساسی مانند رمز عبور حساب کاربری، مشخصات هویتی یا اطلاعات بانکی خود را در یک سایت وارد می‌کنید، این داده‌ها پیش از ارسال به سرور، توسط این پروتکل پیچیده و الگوریتم‌های ریاضی به کد‌های ناخوانا تبدیل می‌شوند تا حتی در صورت شنود مسیر ارتباطی، اطلاعات فاش نشود. در سطح جهان نهاد‌های مشخصی به نام مراجع صدور گواهینامه فعالیت می‌کنند که وظیفه آن‌ها تایید هویت حقوقی سایت‌ها و صدور این گواهینامه‌های امنیتی است. شرکت‌های بزرگی مانند Let’s Encrypt یا DigiCert از جمله این مراجع هستند. از آنجایی که این مراجع بین‌المللی معتبرترین نهاد‌های این حوزه هستند و مرورگر‌های جهانی تنها لیست محدود و مشخصی از این صادرکنندگان را به رسمیت می‌شناسند، سایت‌های ایرانی نیز برای تامین امنیت پلتفرم‌های خود و جلب اعتماد مرورگرها، ناگزیر به استفاده از خدمات همین مراجع خارجی هستند.

استعلام لحظه‌ای؛ نقش پروتکل OCSP در بررسی اعتبار

کارکرد گواهینامه‌های امنیتی تنها به مرحله صدور و نصب روی سرور سایت ختم نمی‌شود، بلکه این فرآیند یک چرخه زنده و پویاست و مرورگر‌ها وظیفه دارند به صورت مداوم و در هر بار مراجعه کاربر، اعتبار این گواهینامه‌ها را بررسی کنند. یک گواهینامه ممکن است به دلیل افشای کلید‌های امنیتی یا تغییر مالکیت دامنه، پیش از موعد انقضا باطل شود. برای مدیریت این وضعیت، پروتکلی به نام بررسی وضعیت گواهینامه آنلاین (OCSP) طراحی شده است که وظیفه دارد وضعیت لحظه‌ای گواهینامه را استعلام کند تا از امنیت کاربر اطمینان حاصل شود.

مکانیسم کار به این شکل است که مرورگر کاربر به محض وارد کردن آدرس یک سایت و آغاز فرآیند برقراری ارتباط امن، درخواستی را به سرور مرجع صادرکننده گواهینامه ارسال می‌کند تا مشخص شود آیا این گواهینامه همچنان معتبر است یا به دلایل امنیتی در لیست سیاه قرار گرفته و ابطال شده است. از آنجا که سرور‌های این مراجع صدور منحصرا در خارج از مرز‌های کشور قرار دارند و پایگاه داده آن‌ها نیز در شبکه‌های ابری جهانی میزبانی می‌شود، این فرآیند مستلزم و نیازمند اتصال پایدار، سریع و بدون محدودیت به شبکه جهانی وب است.

چگونه قطعی اینترنت باعث مسدودی سایت می‌شود؟

قطعی یا محدودیت در شبکه اینترنت بین‌الملل، دقیقا در مرحله استعلام اعتبار، ساختار دسترسی به سایت‌های داخلی را دچار اختلال شدید می‌کند. در این شرایط، درخواست مرورگر کاربر برای بررسی اعتبار گواهینامه امنیتی یک سایت کاملا داخلی، به دلیل مسدود بودن مسیر‌های بین‌المللی و عدم امکان مسیریابی داده‌ها به خارج از کشور، هرگز به سرور مرجع خارجی نمی‌رسد و در اصطلاح با پدیده Time Out مواجه می‌شود.

مرورگر پس از چند ثانیه انتظار و دریافت نکردن پاسخ تایید از سوی مرجع صدور، بر اساس پروتکل‌های سخت‌گیرانه امنیتی خود مانند مکانیزم Hard Fail، فرض را بر ناامن بودن مسیر ارتباطی و احتمال وقوع حملات سایبری می‌گذارد. از آنجا که سیستم‌عامل‌ها و مرورگر‌های مدرن طوری برنامه‌نویسی شده‌اند که در زمان شک در امنیت ارتباط، دسترسی را به منظور محافظت از کاربر به طور کامل قطع کنند، نتیجه این فرآیند مکانیکی، نمایش خطای امنیتی بارز (مانند پیام Your connection is not private) خواهد بود. علاوه بر این، استفاده سایت‌ها از استاندارد‌هایی نظیر HSTS باعث می‌شود کاربر حتی امکان نادیده گرفتن این خطا و ورود اجباری به سایت را نیز نداشته باشد؛ در نتیجه دسترسی کاملا مسدود می‌شود حتی اگر سایتی که کاربر قصد ورود به آن را دارد، روی سرور‌های داخل کشور میزبانی شود.

وابستگی‌های فنی جانبی؛ شبکه‌های توزیع محتوا

بررسی دقیق‌تر ساختار صفحات وب در معماری اینترنت امروزی نشان می‌دهد که وابستگی پلتفرم‌های داخلی به سرویس‌های خارجی صرفا به گواهینامه‌های امنیتی و تایید هویت محدود نیست و شبکه‌های توزیع محتوا (CDN) و رابط‌های برنامه‌نویسی اپلیکیشن (API) نیز بخش مهم دیگری از این چرخه فنی را تشکیل می‌دهند. سایت‌های بزرگ برای افزایش سرعت بارگذاری صفحات خود، کاهش بار روی سرور اصلی و مقابله با حملات توزیع‌شده، فایل‌های ساختاری نظیر تصاویر، کد‌های جاوا اسکریپت، استایل‌ها و فونت‌ها را روی سرور‌های این شبکه‌های جهانی قرار می‌دهند.

همچنین سرویس‌هایی نظیر ریکپچا برای جلوگیری از ورود ربات‌ها نیز نیازمند ارتباط با سرور‌های خارجی هستند؛ بنابراین زمانی که ارتباط با اینترنت بین‌الملل قطع می‌شود، حتی اگر سرور اصلی سایت در داخل کشور فعال باشد و کاربر نیز به طریقی (مثلا به دلیل کش شدن گواهینامه در گذشته) بتواند از سد خطای امنیتی گواهی SSL عبور کند، اسکریپت‌ها و فایل‌های ظاهری سایت که از سرور‌های خارجی فراخوانی می‌شوند، هرگز بارگذاری نخواهند شد. این نقص فنی در نهایت باعث به هم ریختگی کامل ساختار بصری سایت، عدم اجرای فرم‌های ورود و ثبت‌نام، یا از کار افتادن بخش‌های تعاملی آن می‌شود و تجربه کاربری را به طور کامل مختل می‌کند، تا جایی که سایت عملا غیرقابل استفاده می‌گردد.

بن‌بست پلتفرم‌های داخلی در غیاب استانداردهای بین‌المللی

باید به این واقعیت اذعان داشت که مفهوم «سایت کاملاً بومی» در معماری درهم‌تنیده‌ی اینترنت مدرن، فراتر از محل فیزیکی سرورهاست. لایه‌های امنیتی مبتنی بر گواهی‌های بین‌المللی و وابستگی‌های زیرساختی به پروتکل‌هایی نظیر OCSP، شبکه‌ی جهانی را به یک ارگانیسم واحد تبدیل کرده است که حیات اجزای آن به تبادل آزاد اطلاعات وابسته است.

انسداد مسیر‌های بین‌المللی، نه تنها دسترسی به خارج، بلکه امنیت و کارآمدی پلتفرم‌های داخلی را نیز از طریق ایجاد اختلال در چرخه‌ی تایید اعتبار و بارگذاری منابع جانبی، فلج می‌کند. از این رو، هرگونه گسست در اتصال به شبکه‌ی جهانی، به معنای عقب‌نشینی از استاندارد‌های حفاظتی و در نهایت، سلب اعتماد فنی مرورگر‌ها از کل زیست‌بوم دیجیتال کشور خواهد بود که نتیجه‌ای جز توقف خدمات‌رسانی بومی در پی نخواهد داشت.