گواهینامه SSL چیست؟ چرا اهمیت زیادی دارد؟

این مقاله با کمک گرفتن از وب‌سایت معتبر cloudflare.com نوشته شده است.

SSL یا لایه سوکت ایمن یک پروتکل امنیتی اینترنت مبتنی بر رمزگذاری است. اولین بار توسط Netscape در سال 1995 با هدف اطمینان از حفظ حریم خصوصی، احراز هویت و یکپارچگی داده ها در ارتباطات اینترنتی توسعه یافت. SSL سلف رمزگذاری مدرن TLS است که امروزه استفاده می شود.

وب‌سایتی که SSL/TLS را پیاده‌سازی می‌کند، به جای «HTTP»، در URL خود «HTTPS» دارد. در ادامه بیشتر به این موضوع میپردازیم که گواهینامه SSL چیست و چرا باید از آن استفاده کنیم.

SSL/TLS چگونه کار می کند؟

به منظور ارائه درجه بالایی از حریم خصوصی، SSL داده هایی را که در سراسر وب منتقل می شوند رمزگذاری می کند. این بدان معنی است که هر کسی که سعی در رهگیری این داده ها داشته باشد، تنها ترکیبی از کاراکترهای مخدوش را می بیند که رمزگشایی تقریباً غیرممکن است.

تفاوتی ندارد شما ثبت دامنه ir انجام داده اید یا دامنه ای با پسوند com و یا سایر پسوندهای دامنه خریداری کرده‌اید، برای امنیت وبسایتتان بهتر است از SSL استفاده کنید.

SSL یک فرآیند احراز هویت به نام دست دادن بین دو دستگاه ارتباطی را آغاز می کند تا اطمینان حاصل کند که هر دو دستگاه واقعاً همان چیزی هستند که ادعا می کنند.

SSL همچنین داده‌ها را به صورت دیجیتالی امضا می‌کند تا یکپارچگی داده‌ها را فراهم کند، و تأیید می‌کند که داده‌ها قبل از رسیدن به گیرنده مورد نظر خود دستکاری نشده‌اند.

چندین تکرار از SSL وجود داشته است که هر کدام امن تر از قبلی است. در سال 1999 SSL به روز شد تا به TLS تبدیل شود.

چرا SSL/TLS مهم است؟

در اصل، داده‌ها در وب به صورت متن ساده منتقل می‌شد که هر کسی می‌توانست آن را بخواند. به عنوان مثال، اگر یک مصرف کننده از یک وب سایت خرید بازدید کند، سفارش دهد و شماره کارت اعتباری خود را در وب سایت وارد کند، آن شماره کارت اعتباری بدون پنهان کردن در سراسر اینترنت حرکت می کند.

SSL برای اصلاح این مشکل و محافظت از حریم خصوصی کاربر ایجاد شده است. با رمزگذاری هر داده ای که بین یک کاربر و یک وب سرور قرار می گیرد، SSL تضمین می کند که هر کسی که داده ها را رهگیری می کند، فقط می تواند یک آشغال درهم از کاراکترها را ببیند. شماره کارت اعتباری مصرف کننده اکنون ایمن است و فقط برای وب سایت خریدی که آن را وارد کرده است قابل مشاهده است.

SSL همچنین انواع خاصی از حملات سایبری را متوقف می کند: سرورهای وب را احراز هویت می کند، که مهم است زیرا مهاجمان اغلب سعی می کنند وب سایت های جعلی را برای فریب کاربران و سرقت داده ها راه اندازی کنند. همچنین از دستکاری مهاجمان در داده های در حال انتقال، مانند مهر و موم ضد دستکاری روی ظرف دارو، جلوگیری می کند.

آیا SSL و TLS یکسان هستند؟

SSL سلف مستقیم پروتکل دیگری به نام TLS (Transport Layer Security) است. در سال 1999 گروه وظیفه مهندسی اینترنت (IETF) به روز رسانی SSL را پیشنهاد کرد. از آنجایی که این به روز رسانی توسط IETF در حال توسعه بود و نت اسکیپ دیگر درگیر نبود، نام آن به TLS تغییر یافت. تفاوت بین نسخه نهایی SSL (3.0) و اولین نسخه TLS زیاد نیست. تغییر نام برای نشان دادن تغییر در مالکیت اعمال شد.

از آنجایی که آنها بسیار به هم مرتبط هستند، این دو اصطلاح اغلب به جای یکدیگر و اشتباه گرفته می شوند. برخی از افراد هنوز از SSL برای اشاره به TLS استفاده می کنند، برخی دیگر از اصطلاح "رمزگذاری SSL/TLS" استفاده می کنند زیرا SSL هنوز تشخیص نام زیادی دارد.

آیا SSL هنوز به روز است؟

SSL از زمان SSL 3.0 در سال 1996 به روز نشده است و اکنون منسوخ شده است. چندین آسیب پذیری شناخته شده در پروتکل SSL وجود دارد و کارشناسان امنیتی توصیه می کنند استفاده از آن را متوقف کنید. در واقع، اکثر مرورگرهای وب مدرن دیگر اصلاً از SSL پشتیبانی نمی کنند.

TLS یک پروتکل رمزگذاری به روز است که هنوز به صورت آنلاین در حال پیاده سازی است، حتی اگر بسیاری از مردم هنوز از آن به عنوان "رمزگذاری SSL" یاد می کنند. این می تواند منبع سردرگمی برای افرادی باشد که برای راه حل های امنیتی خرید می کنند.

حقیقت این است که هر فروشنده ای که این روزها "SSL" را ارائه می دهد تقریباً مطمئناً محافظت TLS را ارائه می دهد که بیش از 20 سال است که یک استاندارد صنعتی بوده است. اما از آنجایی که بسیاری از افراد هنوز در جستجوی "محافظت SSL" هستند، این اصطلاح همچنان در بسیاری از صفحات محصول به طور برجسته به چشم می خورد.

گواهینامه SSL چیست؟

یکی از اصطلاحاتی که هنگام خرید دامنه با آن برخورد می‌کنید SSL است. گواهینامه SSL را فقط می توان توسط وب سایت هایی پیاده سازی کرد که دارای گواهینامه SSL هستند (از لحاظ فنی "گواهی TLS"). گواهی SSL مانند یک کارت شناسایی یا نشانی است که ثابت می کند کسی همان کسی است که می گوید. گواهینامه های SSL توسط سرور وب سایت یا برنامه در وب ذخیره و نمایش داده می شوند.

یکی از مهم ترین اطلاعات در گواهی SSL، کلید عمومی وب سایت است. کلید عمومی رمزگذاری و احراز هویت را امکان پذیر می کند. دستگاه کاربر کلید عمومی را مشاهده می کند و از آن برای ایجاد کلیدهای رمزگذاری ایمن با سرور وب استفاده می کند. در همین حال وب سرور یک کلید خصوصی نیز دارد که مخفی نگه داشته می شود. کلید خصوصی داده های رمزگذاری شده با کلید عمومی را رمزگشایی می کند.

مقامات صدور گواهینامه (CA) مسئول صدور گواهینامه های SSL هستند.

انواع گواهینامه های SSL چیست؟

انواع مختلفی از گواهینامه های SSL وجود دارد. بسته به نوع، یک گواهی می تواند برای یک وب سایت یا چندین وب سایت اعمال شود:

·Single-domain

یک گواهی SSL تک دامنه فقط برای یک دامنه اعمال می شود («دامنه» نام یک وب سایت است، مانند https://www.websec.ir/).

·Wildcard

مانند گواهینامه تک دامنه، گواهی SSL با حروف عام فقط برای یک دامنه اعمال می شود. با این حال، شامل زیر دامنه های آن دامنه نیز می شود.

به عنوان مثال، یک گواهی نامه عام می تواند www.example.com، blog.example.com، و developers.example.com را پوشش دهد، در حالی که یک گواهی نامه تک دامنه می تواند فقط اولین را پوشش دهد.

·Multi-domain

همانطور که از نام آن مشخص است، گواهینامه های SSL چند دامنه می توانند برای چندین دامنه غیر مرتبط اعمال شوند.

گواهینامه های SSL نیز دارای سطوح اعتبار سنجی مختلفی هستند. سطح اعتبار سنجی مانند یک بررسی پس زمینه است و بسته به دقت بررسی، سطح تغییر می کند.

·Domain Validation

این سخت ترین سطح اعتبارسنجی و ارزان ترین است. تنها کاری که یک کسب و کار باید انجام دهد این است که ثابت کند دامنه را کنترل می کند.

·Organization Validation

این یک فرآیند عملی تر است: CA مستقیماً با شخص یا کسب و کاری که درخواست گواهی می کند تماس می گیرد. این گواهی ها برای کاربران قابل اعتمادتر هستند.

·Extended Validation

این امر به بررسی پیشینه کامل یک سازمان قبل از صدور گواهی SSL نیاز دارد.

چگونه یک کسب و کار می تواند گواهینامه SSL دریافت کند؟

بسیاری از شرکت‌ها در ایران اقدام به فروش SSL کرده‌اند. طبیعتا بهتر است از شرکتی گواهینامه SSL را خریداری کنید که معتبر باشد. ما برای وب‌‍سایت های خودمان (این سایت + چندین سایت دیگر) اقدام به خرید SSL از شرکت وب‌رمز کردیم.

پیشنهاد می‌کنم قبل از اقدام به خرید اطلاعاتتان را راجع به TLS را نیز با خواندن مقاله "TLS چیست" تکمیل کنید.