اختلال سیستم پرداخت و مشکلات درگاه‌های شاپرک

شاید در روزهای ابتدایی هفتهٔ جاری متوجهٔ افتی در فروش برنامه‌ها و اقلام درون‌برنامه‌ای خود شده باشید. این مسأله تا حد زیادی به علت اختلال‌های سیستم پرداخت ناشی از تغییرات و مشکلات فنی شاپرک بوده است. کافه‌بازار خود را مقید می‌داند جهت شفاف‌سازی مشکلات با توسعه‌دهندگان و حفظ امنیت کاربران خود، در خصوص مشکلات فنی و سهل‌انگاری‌های صورت گرفته اطلاع‌رسانی کند و در هر زمان بهترین راه‌حل‌های ممکن را جهت رفع موانع مورد استفاده قرار دهد. در ادامهٔ این مطلب در خصوص وضعیت فعلی و راه‌حل در نظر گرفته شده در راستای مشکلات فنی پرداخت‌های اینترنتی شاپرک توضیحاتی ارائه خواهد شد.

پیرو تغییرات گواهی‌های https که طی روزهای اخیر برای درگاه‌های زیر shaparak.ir اتفاق افتاد، مشکلاتی برای کاربران ما پیش آمده است:

۱. مشکلِ گواهیِ ریشهٔ TurkTrust که در بسیاری از اندرویدها مورد تأیید سیستم عامل نیست

از این گواهی ریشه (Root Certificate) برای امضای گواهی‌های جدید دامنه‌های زیر shaparak.ir استفاده شده است:

SHA1      : F1:7F:6F:B6:31:DC:99:E3:A3:C8:7F:FE:1C:F1:81:10:88:D9:60:33
Subject   : CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara,  O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. (c) Aral\xC4\xB1k 2007
Not Before: Dec 25 18:37:19 2007 GMT
Not After : Dec 22 18:37:19 2017 GMT

متأسفانه شرکت TurkTrust خیلی دیر اقدام به اضافه کردن گواهی ذکر شده به اندروید کرده است. همچنین بدنامی این شرکت باعث تأخیر در تأیید این گواهی شده است. نتیجه این شده است که در طی این تغییرات گواهی مذکور تازه در تاریخ ۱۳ مارس ۲۰۱۴ (۲۲ اسفند ۹۲) به سورس کد اندروید اضافه شده است، یعنی فقط یک سال پیش.

اگر به این موضوع کندی سازنده‌های دستگاه‌های همراه در به روزرسانی کدهاشان را اضافه کنیم، متوجه می‌شویم که تعداد نه چندان زیادی از گوشی‌های موجود در بازار ایران که طی یکسال اخیر ساخته شده‌اند این کلید TurkTrust و در نتیجه https های درگاه‌های بانکی را می‌شناسند، و در بقیهٔ گوشی‌ها وقتی کاربر به صفحهٔ بانک برود، با خطا مواجه می‌شود، خطایی که ممکن است درست باشد! بدین ترتیب که حمله‌کننده‌ای که از این شرایط آگاهی دارد روی خطوط شنود کند و برای دستگاه‌هایی که قدیمی تشخیص می‌دهد، میان کاربر و صفحهٔ بانک قرار بگیرد.

ما در نسخهٔ جدید بازار که چند روز پیش ارائه دادیم، کلیدهای TurkTrust مربوط به درگاه‌ها را در بازار قرار دادیم. در حال حاضر حملهٔ مطرح شده برای این کاربران ممکن نیست، و تا زمانی که گواهی‌ها اعتبار دارند و TurkTrust هم گواهی میانی جدیدی برای درگاه‌ها زیر گواهی ریشه مشکل‌دار ذکر شده صادر نکند، کاربران خواهند توانست بدون مشکل پرداخت خود را در بازار انجام دهند.

سال پیش دامنه‌های درگاه‌ها از گواهی قدیمی‌تری استفاده می‌کردند که این مشکل را نداشت. چنانچه شاپرک بتواند از این کلید قدیمی ولی جا افتاده‌تر TurkTrust استفاده کند، و یا خیلی بهتر اینکه به سراغ یک SSL Provider حرفه‌ای‌تر و خوش سابقه برود، هم مورد تشکر کسب و کارهای اینترنتی کشور قرار خواهد گرفت و هم از دعای خیر کاربران آگاه به مسایل امنیتی برخوردار خواهد شد.

۲. مشکل تنظیمات اشتباه وب سرور توسط درگاه‌ها

موضوع دیگری که مربوط به هفتهٔ اخیر نیست و مشکلی قدیمی‌تر است، تنظیمات اشتباه درگاه‌ها هست. یکی از اشتباهاتی که به طور مستقیم برایمان مشکل‌ساز بوده است اشتباه در تنظیم SSL Certificate Chain است. این اشتباه روی تعداد کمتری از اندرویدها تأثیر می‌گذارد. البته این مشکل هم خاص دستگاه‌های اندرویدی نیست. ما تخمین می‌زنیم بین ده تا بیست درصد دستگاه‌های اندرویدی به این نوع اشتباهات حساس هستند و برای صفحات درگاه‌هایی که این اشتباه را کرده‌اند خطایِ گواهیِ تأیید نشده می‌دهند.

خوشبختانه طی پیگیری کافه‌بازار درگاه sep.shaparak.ir این مشکلش را رفع کرده است. ولی برای پاسارگاد این مشکل وجود دارد. بدین ترتیب که pep.shaparak.ir در زنجیرهٔ گواهی خود کلید میانی و کلید ریشه را جابه‌جا اعلام می‌کند.

$ openssl s_client -connect pep.shaparak.ir:443 < /dev/null 2> /dev/null
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=IR/ST=TEHRAN/L=TEHRAN/OU=IT DEPARTMENT/O=SHAPARAK ELECTRONIC CARD PAYMENT NETWORK CO. (PJS)/CN=pep.shaparak.ir
   i:/C=TR/O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E./CN=T\xC3\x9CRKTRUST SSL Sertifikas\xC4\xB1 Hizmetleri
 1 s:/CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1/C=TR/L=Ankara/O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. (c) Aral\xC4\xB1k 2007
   i:/CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1/C=TR/L=Ankara/O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. (c) Aral\xC4\xB1k 2007
 2 s:/C=TR/O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E./CN=T\xC3\x9CRKTRUST SSL Sertifikas\xC4\xB1 Hizmetleri
   i:/CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1/C=TR/L=Ankara/O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. (c) Aral\xC4\xB1k 2007

به جز این، در تنظیمات ssl تعدادی از درگاه‌ها ضعف‌های دیگری نیز وجود دارد، ضعف‌هایی که خیلی‌هایشان ربطی به صادرکنندهٔ گواهی ندارد. این ضعف‌ها برای درگاه‌های مختلف متفاوت است. یکی از ابزارهای در دسترس و ساده برای بررسی کیفیت راه‌اندازی https ابزار وبی ssltest است. خروجی گزارش این ابزار به همراه پندهایش برای چند درگاه شاپرک و همچنین وب‌گاه پرداخت کافه‌بازار را می‌توانید از طریق لینک‌های زیر ببینید.

• https://www.ssllabs.com/ssltest/analyze.html?d=pardakht.cafebazaar.ir&s=79.175.191.236
• https://www.ssllabs.com/ssltest/analyze.html?d=bpm.shaparak.ir
• https://www.ssllabs.com/ssltest/analyze.html?d=pec.shaparak.ir

ما از درگاه‌ها خواهشمندیم برای تنظیم درست https همتی سزاوار به خرج دهند. همچنین از شاپرک تقاضا داریم که در این امر درگاه‌ها را یاری دهد. بازار هم داوطلب یاریست و از هیچ نوع کمک فنی‌ای که از دستش بر آید دریغ نخواهد کرد.