گواهی SSL چیست؟ چرا به این گواهینامه نیاز داریم؟
SSL یا Secure Sockets Layer یک پروتکل امنیتی اینترنت مبتنی بر رمزگذاری است. اولین بار توسط Netscape در سال 1995 با هدف اطمینان از حفظ حریم خصوصی، احراز هویت و یکپارچگی داده ها در ارتباطات اینترنتی توسعه یافت. گواهی SSL ورژنی قدیمی از شیوه رمزگذاری مدرن TLS است که امروزه استفاده می شود. وب سایتی که SSL دارد به جای “HTTP” در URL خود “HTTPS” دارد.
SSL/TLS چگونه کار می کند؟
به منظور افزایش حریم خصوصی، SSL داده هایی را که در سراسر وب منتقل می شوند رمزگذاری می کند. به این معنی که هر کسی که سعی کند این داده ها را در بین راه بخواند، فقط ترکیبی از کاراکترهای نامفهوم را می بیند که رمزگشایی آن تقریباً غیرممکن است.
SSL یک فرآیند احراز هویت بین دو دستگاه ارتباطی را آغاز می کند تا اطمینان حاصل کند که هر دو دستگاه واقعاً همان چیزی هستند که ادعا می کنند. SSL همچنین داده ها را به صورت دیجیتالی امضا می کند تا یکپارچگی داده را فراهم کند و تأیید می کند که داده ها قبل از رسیدن به گیرنده مورد نظر خود، دستکاری نشده اند.
نسخه های مختلفی از SSL وجود داشته است که هر کدام از قبلی ایمن تر هستند. نهایتا در سال 1999 SSL به روز شد تا به TLS تبدیل شود.
چرا وجود SSL/TLS مهم است؟
در اصل، داده های موجود در وب به صورت متن ساده منتقل می شوند که هر کسی می تواند آن ها را در بین راه بخواند. به عنوان مثال، تصور کنید یک کاربر از یک فروشگاه آنلاین بازدید کند، سفارش دهد و شماره کارت اعتباری خود را در وب سایت وارد کند. اگر در وبسایت مورد نظر، از SSL استفاده نشده باشد، کلیه اطلاعات او اعم از آدرس، شماره تلفن و اطلاعات حساب بانکی، به صورت متن ساده در شبکه وب شروع به حرکت می کند تا به سرور مورد نظر، ارسال شود. اگر این اطلاعات در بین مسیر به هر وسیله ای در اختیار فرد دیگری قرار گیرد، در نتیجه تمامی اطلاعات آن کاربر با خطر مواجه می شود.
SSL برای اصلاح این مشکل و محافظت از حریم خصوصی کاربر ایجاد شده است. با رمزگذاری هر داده ای که بین یک کاربر و یک وب سرور قرار می گیرد، SSL تضمین می کند که هر کسی که داده ها را رهگیری می کند فقط می تواند یک متن درهم از کاراکترها را ببیند. شماره کارت اعتباری کاربران اکنون ایمن است و فقط برای وب سایت فروشگاهی که در آن اطلاعات را وارد کرده است قابل مشاهده است.
آیا SSL و TLS یکسان هستند؟
SSL نام سابق پروتکل امنیتی TLS (Transport Layer Security) است. در سال 1999 گروه مهندسی اینترنت (IETF) به روز رسانی SSL را پیشنهاد کرد. از آنجایی که این به روز رسانی توسط IETF در حال توسعه بود و Netscape دیگر دخالتی نداشت، نام آن به TLS تغییر یافت. تفاوت بین نسخه نهایی SSL (3.0) و اولین نسخه TLS زیاد نیست. در واقع این تغییر نام صرفا برای نشان دادن تغییر مالکیت اعمال شد.
از آنجایی که بسیار نزدیک به هم هستند، این دو اصطلاح اغلب به جای یکدیگر اشتباه گرفته می شوند. برخی از افراد هنوز از SSL برای اشاره به TLS استفاده می کنند، برخی دیگر از اصطلاح “رمزگذاری SSL/TLS” استفاده می کنند زیرا SSL هنوز هم شناخته شده است.
به طور کلی هدف از SSL افزایش امنیت وب سایت و جلوگیری از حملات سایبری است؛ این کار را با احراز هویت سرورهای وب انجام می پذیرد، زیرا مهاجمان اغلب سعی می کنند وب سایت های جعلی را برای فریب کاربران و سرقت داده ها راه اندازی کنند. همچنین از دستکاری اطلاعات در حین انتقال، توسط مهاجمان جلوگیری می کند.
آیا SSL هنوز به روز است؟
SSL از زمان SSL 3.0 در سال 1996 به روز نشده است و اکنون منسوخ شده است. چندین آسیب پذیری در پروتکل SSL وجود دارد و کارشناسان امنیتی توصیه می کنند استفاده از آن را متوقف کنید. در واقع، اکثر مرورگرهای وب مدرن دیگر از SSL پشتیبانی نمی کنند.
TLS یک پروتکل رمزگذاری به روز است که به صورت آنلاین در حال پیاده سازی است. جالب است بدانید که بسیاری از مردم هنوز از آن به عنوان “رمزگذاری SSL” یاد می کنند. حقیقت این است که هر فروشنده ای که این روزها “SSL” ارائه می دهد در اصل، در حال ارائه TLS است. اما از آنجایی که بسیاری از افراد هنوز در جستجوی “محافظت SSL” هستند، این اصطلاح همچنان در بسیاری از صفحات محصول وجود دارد.
گواهی SSL چیست؟
SSL را فقط می توان توسط وب سایت هایی پیاده سازی کرد که دارای گواهینامه SSL هستند (از نظر فنی در اصل «گواهی TLS» است). گواهی SSL مانند یک کارت شناسایی است که ثابت می کند هر کسی همان کسی است که می گوید. گواهینامه های SSL توسط سرور یک وب سایت یا برنامه در وب ذخیره و نمایش داده می شوند.
یکی از مهم ترین اطلاعات در گواهی SSL، کلید عمومی وب سایت است. کلید عمومی، رمزگذاری را امکان پذیر می کند. دستگاه کاربر کلید عمومی را مشاهده می کند و از آن برای ایجاد کلیدهای رمزگذاری ایمن، استفاده می کند. در همین حال وب سرور یک کلید خصوصی نیز دارد که مخفی نگه داشته می شود. کلید خصوصی، داده های رمزگذاری شده با کلید عمومی را رمزگشایی می کند.
Certificate authorities (CA) مسئول صدور گواهینامه های SSL است.
انواع گواهینامه های SSL چیست؟
انواع مختلفی از گواهینامه های SSL وجود دارد. بسته به نوع آن، یک گواهی می تواند برای یک وب سایت یا چندین وب سایت اعمال شود:
تک دامنه (Single-domain): یک گواهی SSL تک دامنه فقط برای یک دامنه اعمال می شود (منظور از «دامنه» نام یک وب سایت است، مانند www.zaminhost.com).
Wildcard: مانند یک گواهینامه تک دامنه، گواهی SSL فقط برای یک دامنه اعمال می شود. با این تفاوت که شامل زیر دامنه های آن دامنه نیز می شود. به عنوان مثال علاوه بر www.zaminhost.com می تواند blog.zaminhost.com را هم پوشش دهد، در حالی که یک گواهی نامه تک دامنه می تواند فقط اولین نام دامنه را پوشش دهد.
چند دامنه (Multi-domain): همانطور که از نام آن مشخص است، گواهینامه های SSL چند دامنه می توانند برای چندین دامنه غیر مرتبط اعمال شوند.
گواهینامه های SSL همچنین دارای سطوح اعتبار سنجی مختلفی هستند. که شامل:
اعتبار سنجی دامنه: ابتدایی ترین سطح اعتبار سنجی و ارزان ترین آن است. تنها کاری که یک کسب و کار باید انجام دهد این است که ثابت کند صاحب دامنه است.
اعتبار سنجی سازمان: این یک فرآیند عملی تر است. در این نوع، CA مستقیماً با شخص یا وب سایتی که درخواست گواهی می کند تماس می گیرد. این گواهی ها برای کاربران قابل اعتمادتر هستند.
اعتبار سنجی توسعه یافته: این امر به بررسی پیشینه کامل یک سازمان قبل از صدور گواهی SSL نیاز دارد.
چگونه یک وب سایت می تواند گواهی SSL دریافت کند؟
تقریبا تمامی شرکت های ارائه دهنده خدمات میزبانی وب و هاستینگ، گواهی SSL نیز به کاربران خود ارائه می دهند. بسته به نوع گواهی درخواستی، این گواهی می تواند شامل هزینه یا کاملا رایگان باشد. البته در بحث امنیت، گواهی های SSL رایگان نسبت به گواهی های معتبر، از ویژگی های کمتری برخوردار هستند.