گواهی SSL چیست و انواع آن کدامند؟
گواهی SSL مخفف Secure Sockets Layer یک پروتکل امنیت اینترنتی مبتنی بر رمزگذاری است. اولین بار این گواهینامه توسط Netscape در سال 1995 به منظور اطمینان از حفظ حریم خصوصی، احراز هویت و یکپارچگی دادهها در ارتباطات اینترنتی ایجاد شد. گواهی لایه اتصال امن (SSL) باعث رمزگذاری اطلاعات میان سرویسدهنده و سرویسگیرنده میشود و SSL از هرگونه اطلاعات حساسی که بین دو سیستم در حال تبادل است، حفاظت میکند و این گواهینامه از هک کردن و تغییر هرگونه اطلاعات منتقل شده شامل هر چیز حساس یا شخصی مانند جزئیات کارت اعتباری، ورود به سیستم حساب، سایر اطلاعات مالی، نام و آدرس باشد، جلوگیری میکند.
وبسایتی که SSL را پیادهسازی میکند به جای “HTTP” در URL خود “HTTPS” دارد. HTTPS (Hyper Text Transfer Protocol Secure) هنگام ایمنسازی وبسایت توسط گواهی SSL در URL قابل رویت است. جزئیات گواهی از جمله مرجع صدور و نام شرکت صاحب وبسایت را میتوانیم با کلیک بر روی نماد قفل در نوار مرورگر مشاهده کرد.
در سال 1999 با به روزرسانی SSL، نام آن به Transport Layer Security (TLS) تبدیل شد و TLS (Transport Layer Security) فقط یک نسخه به روز شده و امنتر از SSL است و این گواهینامه هنوز با نام SSL شناخته میشود.
SSL/TLS چرا مهم است؟
در سایتهای بدون SSL، دادههای موجود در وب به طور ساده منتقل میگردد که هکرها براحتی میتوانند پیام را بخوانند. به عنوان مثال، اگر مصرف کنندهای از یک وبسایت بازدید و سفارشی ثبت کند و شماره کارت اعتباری خود را در وبسایت وارد کند، آن شماره کارت اعتباری بدون هیچ امنیتی در بستر اینترنت وارد میشود و براحتی اطلاعات قابل هک شدن است اما اصل اساسی این است که وقتی گواهی SSL را روی سرور خود نصب میکنید و یک مرورگر به آن متصل میشود، پروتکل SSL (یا TLS) اطلاعات ارسالی بین سرور و مرورگر را رمزگذاری میکند (یا بین سرورها)، SSL با رمزگذاری هر دادهای که بین کاربر و وب سرور قرار دارد و با احراز هویت اطمینان حاصل میکند که هر کسی که دادهها را جستجو کند فقط میتواند یک پیام بهم ریخته را مشاهده کند. شماره کارت اعتباری مصرفکننده ایمن است و فقط در وبسایت خریدی که وارد کرده است پیام به درستی قابل مشاهده است.
با توجه به اینکه بسیاری از معاملات و ارتباطات روزمره ما بصورت آنلاین اتفاق میافتد، دلیل بسیار کمی برای استفاده نکردن از SSL وجود دارد و گوگل جهت ایمن سازی فضای تبادل اطلاعات و اینترنت و جلوگیری از کلاه برداری، فیشینگ، سرقت اطلاعات و جاسوسی در سازمانها، با اسکن و پویش کردن وبسایتها، تمامی وبسایتهایی که به هر دلیل یک ریسک امنیتی دارند را لیست کرده و در صورتی که کاربری بخواهد این صفحات را باز کند، به آنها هشدار میدهد. این برنامه تحت عنوان Google Safe Browsing در حال حاضر و به مرور در حال لیست کردن وبسایتهایی است که کاربر در آنها امکان ورود اطلاعات، اعم از نام، آدرس، شماره حساب، پسورد و… را دارند اما این ورود اطلاعات تحت پروتکل امن SSL انجام نمیشود و در صورتی که در وبسایتها فرمی جهت تکمیل توسط کاربران وجود دارد و از SSL استفاده نمیکنند، وبسایت آنها به زودی توسط Google لیست شده و هنگام ورود به وبسایت، پیغام آزار دهنده Not Safe دریافت خواهد کرد.
گواهی SSL شامل چه اطلاعاتی میباشند؟
- نام دامنهای که گواهی برای آن صادر شده است.
- برای کدام شخص، سازمان یا دستگاه صادر شده است.
- کدام سازمان گواهینامه آن را صادر کرده است.
- تاریخ صدور گواهینامه
- تاریخ انقضا گواهی و …
- کلید عمومی
یکی از مهمترین اطلاعات گواهی SSL کلید عمومی وبسایت(Public Key) است که این کلید عمومی رمزگذاری را ممکن میکند. دستگاه کاربر کلید عمومی را مشاهده میکند و از آن برای ایجاد کلیدهای رمزگذاری امن با وب سرور استفاده میکند. در همین حال وب سرور همچنین دارای یک کلید خصوصی (private key) است که به صورت مخفی نگهداری میشود. کلید خصوصی دادههای رمزگذاری شده با کلید عمومی را رمزگشایی میکند و اطلاعات بدون هیچ مشکلی به مقصد میرسد.
انواع گواهینامههای SSL کدامند؟
چندین نوع مختلف از گواهینامههای SSL وجود دارد که عبارتند از :
Domain Validated (DV): این نوع SSLها گواهیهایی هستند که تنها بر اساس ثبت دامنه است. هیچگونه بررسی بر روی ثبت بودن سازمان و یا شرکت مالک وبسایت انجام نمیشود و برای وبسایتهای عمومی استفاده میشوند.
Organization Validated (OV): در این نوع گواهینامه سازمانها به وسیلهی شرکت ارائه دهنده گواهینامه بررسی میشوند تا تایید گردد که سازمانهای متقاضی کاملا ثبت شده و رسمی میباشند.
Extended Validation (EV): شرایط صدور این نوع گواهیها به وسیله استاندارد مشخصی تعیین شدهاند و مراحل احراز هویت بسیار سخت گیرانهای دارد. در کنار فراهم نمودن اعتماد و اطمینان، گواهیهای EV یک نوار سبز رنگ نیز در مرورگر بازدیدکنندهها فعال میکند و نام رسمی مطابق با روزنامه رسمی شما کنار قفل قابل نمایش خواهد بود.
SSL Wildcard: این امکان را فراهم میکنند تا بتوانید به همراه دامنه اصلی خود تمامی دامنههای فرعی آن دامنه را نیز تحت پوشش گواهی SSL خود قرار دهید. به عنوان مثال، یک گواهی wildcard میتواند شامل www.nexfon.ir ،shop.nexfon.ir باشد، در حالی که یک گواهی تک دامنه فقط میتواند مورد اول را پوشش دهد.
Multi-Domain SSL Certificates (MDC): از این گواهینامه میتوانیم برای دامنههایی که بر روی یک IP ست شدهاند تا 100 دامنه مختلف، استفاده کرد.
Cases for Multi-Domain SSL Certificates(UCC): از این گواهینامه میتوانیم برای دامنههایی که بر روی یک IP ست شدهاند تا 100 دامنه مختلف، استفاده کرد و مانند EV یک نوار سبز رنگ نیز در مرورگر بازدیدکنندهها فعال میکند.
آیا SSL همان TLS است؟
SSL را میتوان پدربزرگ پروتکل دیگری به نام TLS معرفی کرد که برای اولین بار در سال 1999 توسط کارگروه مهندسی اینترنت (IETF) بهعنوان نسخه بهروزرسانی شده SSL معرفی شد. از آنجا که IETF مسئولیت این بهروزرسانی را برعهده داشت و دیگر پای شرکت نت اسکیپ وسط نبود، نامش به TLS تغییر کرد. البته تفاوت قابل ملاحظهای میان نسخه آخر SSL و اولین نسخه TLS دیده نمیشود و این تغییر نام صرفا برای اعلام تغییر مالکیت بود.
امروز این دو اصطلاح به کرات با یکدیگر اشتباه گرفته میشوند، چون هنوز ارتباط زیادی با هم دارند. برخی از افراد هنوز بهجای TLS از همان کلمه SSL استفاده میکنند و برخی دیگر اصطلاح رمزگذاری SSL/TLS را جایگزین کردهاند.
مهمترین مزیتهای ssl چیست؟
در بخشهای قبلی تا حدی دریافتیم اهمیت داشتن گواهی ssl چیست و چطور به امنیت وبسایت ما کمک میکند؛ با این حال در این بخش قصد داریم مزیتهای مهم ssl را با نگاه موشکافانهتری بررسی کنیم.
۱. نقش ssl در حفاظت از دادههای وبسایت و کاربران
مهمترین وظیفه ssl همین است؛ حفاظت از دادههای کاربران. زمانی که یک گواهی ssl روی وبسایت نصب میشود، بیت به بیت اطلاعاتی که روی وبسایت ذخیره میشوند، رمزگذاری میشوند تا هیچ شخص ثالثی قادر به خواندن آنها نباشد. به این ترتیب اطلاعات وبسایت در برابر هکرها و مهاجمان کاملا ایمن است؛ چراکه حتی اگر مهاجم بهنحوی وارد سیستم شود، قادر به تفسیر این دادهها نخواهد بود. این یعنی از تمام دادههای وبسایت و کاربران در برابر هرگونه حمله سایبری محافظت میشود.
۲. تایید هویت وبسایت با گواهی ssl
اینترنت مفید و کار راه انداز و در عین حال پر از فریب و کلاهبرداری است. به همین خاطر نیاز به پروتکلهای امنیتی که از کاربران در برابر وبسایتهای کلاهبرداری یا سایر اشکال جرایم سایبری محافظت کند، هر روز بیشتر میشود. گواهی ssl با احراز هویت وبسایتها، در واقع کاربران را راهنمایی میکند که به کدام وبسایتها اعتماد کنند و به کدام نکنند.
۳. رتبهبندی بهتر در موتورهای جستجو با ssl
گوگل به وبسایتهایی که حریم خصوصی و امنیت کاربران را در اولویت قرار دهند، بیشتر اهمیت میدهد و آنها را در رتبههای بالاتری مینشاند. پس حتی اگر مسائل امنیتی خیلی برایتان مهم نیست، اگر میخواهید اسم وبسایتتان در صفحات اول نتایج موتور جستجو دیده شود، به فکر تهیه گواهی ssl باشید.
فراموش نکنید حتی اگر سرمایه زیادی برای بحث سئو سایت در نظر بگیرید، با همین اشتباه کوچک و بیتوجهی به اهمیت گواهی ssl، برای رتبهبندی بهتر توسط گوگل با مشکل مواجه خواهید شد.
۴. برآوردهکردن الزامات PCI/DSS به کمک ssl
صنعت کارت پرداخت (PCI) ۱۲ الزام امنیتی دارد که همه وبسایتها باید رعایت کنند تا یک تجربه مرور ایمن برای مشتریان فراهم شود. مهمترین آنها گواهی SSL است که دادههای حساس مثل شماره کارت اعتباری، شماره تامین اجتماعی و غیره را امن نگه میدارد. بنابراین، اگر وب سایتی دارید که کاربر باید اطلاعات حساس خود را در اختیار شما بگذارد، ارائه گواهی SSL الزامی است.
۵. تقویت اعتماد مشتریان با گواهی SSL
خود شما چقدر تمایل دارید از وبسایتهایی بازدید کنید که امن نیستند یا با مرور آنها کوچکترین خطری اطلاعات شما را تهدید میکند؟ قطعا نه! هیچکس به چنین سایتی اعتماد نمیکند و حتی عدهای از بازکردن چنین صفحاتی امتناع میکنند. بنابراین، با نصب گواهیهای SSL بازدیدکنندگان شما با اطمینان خاطر وبسایت را مرور میکنند و احتمال بازگشت آنان چند برابر بیشتر خواهد بود.
کلام آخر
پروتکل رمزنگاری امن Ssl به شما کمک میکند با ارائه تجربهای کاملا ایمن و رمزگذاریشده به کاربران نشان دهید میتوانند به شما اعتماد کنند. کافی است یک گواهی ssl برای وبسایت تهیه کنید و با جلب توجه گوگل بهعنوان یک وبسایت تاییدشده، با یک تیر دو نشان بزنید.
