سرنوشت گواهی رمزگذاری وبسایتهای ایرانی و تحریم آمریکا
بهروزرسانی لتس انکریپت درباره گواهی SSL کشورهای «دشمن ایالات متحده» چه خطری امنیت کاربران ایرانی را تهدید میکند؟
در هفته نخست ماه ژوئن ۲۰۲۶، شرکت لتس انکریپت (Let's Encrypt) در نسخه جدید توافقنامه خود با مشتریان، تغییراتی داد و از جمله، بندی درباره تحریمهای آمریکا و کنترل صادرات به کشورهای «دشمن ایالات متحده» به آن اضافه کرد. این قضیه در فضای شبکههای اجتماعی ایرانی بازتابهای گستردهای داشت.
لتس انکریپت یک مرجع صدور گواهی (Certificate Authority) است که به میلیونها وبسایت در سراسر جهان گواهی SSL/TLS رایگان میدهد. این گواهیها باعث میشوند آدرس سایتها با HTTPS باز شود و ارتباط میان مرورگر کاربر و سرور سایت رمزگذاری شود. به زبان ساده، لتس انکریپت یکی از ستونهایی است که باعث شد HTTPS به استاندارد عادی وب تبدیل شود.
آیا حذف این گواهی امنیت کاربران را تهدید میکند؟
برای کاربر عادی، فعلاً خطر امنیتی جدی و فوری وجود ندارد، اما چنین تغییری از نظر سیاست اینترنت جالب توجه است. این تغییر به این معنا نیست که ناگهان ارتباط HTTPS سایتها در ایران ناامن شده، هکرها راحتتر میتوانند ترافیک کاربران را بخوانند، یا حسابهای مردم بهخاطر یک بند حقوقی جدید در توافقنامه لتس انکریپت در معرض هک مستقیم قرار گرفتهاند. اگر سایتی امروز گواهی معتبر SSL/TLS دارد و مرورگر آن را امن نشان میدهد، ارتباط کاربر با آن سایت همچنان رمزگذاریشده است.
در بند جدید، لتس انکریپت از دریافتکننده گواهی میخواهد تضمین کند که خودش یا نهادی که از طرف آن اقدام میکند، در کشورها یا سرزمینهایی که هدف تحریمهای جامع آمریکا هستند قرار ندارد، تحت قوانین آنها سازماندهی نشده، معمولاً مقیم آنجا نیست، و همچنین در فهرست اشخاص یا نهادهای تحریمی و محدودیتهای صادراتی قرار ندارد. همین عبارت باعث شد در Hacker News و فضای فنی بحثی شکل بگیرد: آیا این یعنی لتس انکریپت دیگر برای کاربران یا سایتهای ایرانی گواهی صادر نمیکند؟
پاسخ کوتاه: نه به این سادگی.
ایران تحت تحریمهای آمریکا است و از نظر حقوقی برای شرکتها و نهادهای آمریکایی، موضوع حساسی محسوب میشود. گروه پژوهشی امنیت اینترنت یا ISRG، سازمان پشت لتس انکریپت، هم یک نهاد آمریکایی است و ناچار است با قوانین تحریم و کنترل صادرات آمریکا هماهنگ باشد. بنابراین طبیعی است که در توافقنامه خود بندهای حقوقی مرتبط با تحریمها را روشنتر کند.
چه چیزی درباره ایران تغییر کرده است؟
در مورد ایران، یک نکته مهم وجود دارد: تحریمهای آمریکا همزمان شامل استثناها و مجوزهایی برای ابزارهای ارتباطی اینترنتی هم هستند. هدف این استثناها این بوده که مردم عادی ایران، فعالان، روزنامهنگاران و کاربران اینترنت بتوانند به ابزارهایی دسترسی داشته باشند که ارتباطات آزاد، امنیت دیجیتال و مقابله با سانسور را ممکن میکند. در همین چارچوب، مقررات OFAC خدمات و نرمافزارهای مرتبط با ارتباطات اینترنتی را در شرایط مشخصی مجاز میداند، و حتی به خدمات مربوط به صدور و اعتبارسنجی گواهیهای SSL هم اشاره شده است.
پس مسئله واقعی این نیست که «ایران بهطور کامل از SSL محروم شد». مسئله این است که متن حقوقی لتس انکریپت گسترده و تا حدی مبهم نوشته شده، در حالی که اجرای عملی آن ممکن است محدودتر باشد. در بحث Hacker News هم همین ابهام دیده میشود. برخی کاربران میگویند متن توافقنامه بهظاهر شامل افراد ساکن کشورهای تحت تحریم جامع هم میشود. در مقابل، توضیحاتی از سمت کاربران نزدیک به فضای لتس انکریپت مطرح شده که میگوید بیشتر محدودیتهای تحریمی معمولاً دولتها، نهادهای تحریمی و اشخاص خاص را هدف میگیرد، نه جمعیت عادی کشورهای تحریمشده.
از نظر امنیت کاربر، این تفاوت بسیار مهم است. اگر لتس انکریپت همچنان برای کاربران عادی، سایتهای مستقل، پروژههای مدنی، رسانههای خارج از ساختار حکومتی و سرویسهای ارتباطی مجاز گواهی صادر کند، تغییری در امنیت روزمره کاربران ایجاد نمیشود. کاربر عادی لازم نیست به خاطر این خبر مرورگرش را عوض کند، VPN جدید نصب کند، یا تصور کند که HTTPS دیگر قابل اعتماد نیست.
اما نگرانی بلندمدت از جای دیگری میآید. اگر چنین متنهایی در آینده سختگیرانهتر اجرا شوند، یا اگر سرویسدهندگان از ترس ریسک حقوقی بیش از حد محافظهکارانه عمل کنند، ممکن است برخی سایتها، سرویسهای کوچک، پروژههای مستقل یا ابزارهای ضدسانسور در ایران برای گرفتن یا تمدید گواهی معتبر با مشکل روبهرو شوند. اینجاست که خطر امنیتی غیرمستقیم شکل میگیرد.
چه خطری کاربر را تهدید میکند؟
خطر اصلی این نیست که لتس انکریپت خودش کاربران را ناامن میکند. خطر این است که محدود شدن دسترسی به گواهیهای معتبر جهانی میتواند بعضی سایتها را به سمت انتخابهای بدتر هل بدهد: استفاده از HTTP بدون رمزنگاری، استفاده از گواهیهای نامعتبر، وابستگی به گواهیهای داخلی یا کمترقابلاعتماد، یا عادیشدن نادیده گرفتن هشدارهای مرورگر. هرکدام از اینها میتواند امنیت کاربران را پایین بیاورد.
وقتی کاربر به سایتی بدون HTTPS وصل میشود، مسیر میان او و سایت میتواند راحتتر دستکاری شود. ارائهدهنده اینترنت، مهاجم روی وایفای عمومی، یا هر بازیگری که در مسیر ترافیک قرار دارد، در سناریوهای مشخص میتواند محتوای صفحه را تغییر دهد، اسکریپت تزریق کند، صفحه ورود جعلی نشان دهد یا کاربر را به مقصد دیگری هدایت کند. HTTPS جلوی همه حملات را نمیگیرد، اما یکی از پایهایترین دفاعها در برابر شنود و دستکاری مسیر است.
به همین دلیل، حذف یا سختتر شدن دسترسی به گواهیهای معتبر، بهویژه در کشورهایی با سانسور و نظارت گسترده، فقط یک مسئله فنی نیست؛ مسئلهای سیاسی و امنیتی است. کاربران ایرانی در محیطی زندگی میکنند که حملات فیشینگ، اختلال عمدی، شنود، فیلترینگ و دستکاری مسیر اینترنت بخشی از واقعیت روزمره است. در چنین شرایطی، هر ابزاری که وب را رمزگذاریشدهتر و دسترسی به HTTPS را آسانتر کند، به نفع کاربران است.
راهحل چیست؟
نکته مهم دیگر این است که لتس انکریپت تنها مرجع صدور گواهی در اینترنت نیست. حتی اگر در آینده محدودیتهایی برای برخی کاربران یا سرویسها ایجاد شود، گزینههای جایگزین متعددی وجود دارند. برای مثال Actalis که یک CA اروپایی است، گواهیهای رایگان ارائه میدهد و ZeroSSL نیز یکی از شناختهشدهترین جایگزینهای لتس انکریپت محسوب میشود. علاوه بر اینها، بسیاری از شرکتهای تجاری صدور گواهی SSL/TLS همچنان در بازار فعال هستند. بنابراین از نظر فنی، وابستگی کامل وب به لتس انکریپت وجود ندارد و مدیران سایتها میتوانند در صورت نیاز به سراغ گزینههای دیگر بروند.
البته استفاده از جایگزینها همیشه بدون دردسر نیست. برخی سرویسها ممکن است محدودیتهای جغرافیایی، شرایط حقوقی متفاوت یا فرآیندهای صدور پیچیدهتری داشته باشند. به همین دلیل بهترین راهکار برای مدیران سایتها این است که از هماکنون گزینههای جایگزین را بررسی کنند، فرآیند تمدید گواهی را مستندسازی کنند و برای مهاجرت احتمالی به CAهای دیگر آمادگی داشته باشند تا در صورت بروز مشکل، سرویس آنها دچار اختلال نشود.
با این حال، باید از اغراق هم پرهیز کرد. این تغییر لتس انکریپت بهتنهایی یک بحران فوری نیست. تا زمانی که سایتها گواهی معتبر دارند، مرورگر هشدار نمیدهد، و لتس انکریپت یا دیگر مراجع معتبر همچنان برای سرویسهای مستقل و کاربران عادی گواهی صادر میکنند، کاربر عادی با خطر تازهای روبهرو نشده است. هکرها فقط بهخاطر این بند حقوقی ناگهان توانمندتر نمیشوند.
اما این موضوع برای جامعه فنی و فعالان حقوق دیجیتال ارزش پیگیری دارد. باید دید لتس انکریپت در عمل این بند را چطور اجرا میکند، آیا دامنههای ایرانی یا کاربران داخل ایران با خطای صدور گواهی مواجه میشوند یا نه، و آیا تفاوتی میان دولتها و نهادهای تحریمی با کاربران عادی و پروژههای مستقل قائل میشود یا خیر.
جمعبندی ساده: برای کاربر عادی، فعلاً جای نگرانی فوری نیست. HTTPS ناگهان بیاعتبار نشده و هکرها بهخاطر این تغییر راه تازهای برای حمله مستقیم به کاربران پیدا نکردهاند. اما در سطح سیاست اینترنت، موضوع مهم است؛ چون هر تصمیمی که دسترسی مردم ایران به گواهیهای معتبر جهانی را سختتر کند، در بلندمدت میتواند وب فارسی را ناامنتر، بستهتر و وابستهتر به زیرساختهایی کند که کنترل و نظارت بر آنها سادهتر است.