گواهینامه اس اس ال چیست؟

ارتباطات هر روز گسترده‌تر و پیچیده‌تر می‌شوند؛ میلیون‌ها وب‌سایت، میزبان بازدیدکنندگان و جستجوگران دنیای گسترده اینترنت هستند. تولید محتوای مناسب برای سایت، طراحی زیبا و کاربرپسند، توجه به چگالی کلمات کلیدی، ایجاد سیستم پاسخگویی به مشتریان، اهمیت به الگوریتم های گوگل و… تنها بخشی از کار است، نباید از امنیت پیج نیز غافل شد!

همزمان با پیشرفت تکنولوژی، مخاطرات جدیدی نیز پیش‌روی بشر قرار گرفته است؛ کارشناسان فضای مجازی، مدام نسبت به مخاطرات و تهدیدات فضای مجازی به کاربران و مالکان وب‌سایت‌ها هشدار می‌دهند؛ اما می‌بینیم که هر از چندی یک باگ امنیتی خبرساز می‌شود. به طور کلی، خطرات موجود در فضای مجازی را می‌توان به شکل زیر فهرست کرد:

• درز اطلاعات شخصی کاربران
• فیشینگ و جرائم مالی
• هک و در اختیار گرفتن یک وب‌سایت و یا حساب کاربری
• نفوذ بدافزارها در سیستم‌های شخصی و غیرشخصی
• کلاهبرداری‌های اینترنتی

یکی از مهم‌ترین مواردی که کاربران را بسیار تهدید می‌کند، درز اطلاعات شخصی و یا کاری آن‌هاست. کارشناسان امنیت فضای مجازی برای این مهم از رمزنگاری استفاده می‌کنند تا بتوانند در صورت درز اطلاعات نیز، امنیت داده را تضمین کنند.

گواهینامه اس اس ال چیست؟

گواهینامه اس اس ال (SSL) و یا همان Secure Sockets Layer در واقع، استانداردی فی‌مابین کاربر و وب‌سایت برای رمزنگاری داده‌ها می‌باشد. به معنای دیگر، گواهی SSL این امکان را به کاربران می‌دهد تا بدون نگرانی از افشای اطلاعات خود، داده‌های خود را به صورت امن به وب‌سایت‌ها ارسال کنند.

لزوم استفاده از گواهی SSL آن‌جا مشخص می‌شود که بدانیم، در ارسال اطلاعات بانکی به یک وب‌سایت پرداخت آنلاین، اگر از استاندارد گواهی SSL استفاد شود، در صورت سرقت اطلاعات، به علت رمزنگاری شدن داده‌ها، خطری متوجه کاربر نیست؛ نکته حائز اهمیت دیگر این‌که برای برقراری ارتباط از نوع اس اس ال، به Web Server Certificate نیاز است.

لزوم استفاده از گواهینامه اس اس ال

تصور کنید قصد خرید کالایی را دارید و دو فروشگاه عرضه‌کننده‌ی آن کالا نیز در دسترس شماست. یکی از این دو فروشگاه، بی‌نام بوده و فروشنده آن نیز مشخص نیست، همچنین، هیچ‌گونه شماره مجوز و یا تابلویی نیز ندارد؛ در طرف دیگر، فروشگاه فرضی شماره دو، دارای تابلو و شماره مجوز مشخص بوده که به محض ورود می‌توانید دفتر مدیریت و نام آن را ببینید، حال سوال این است: کدام فروشگاه را برای خرید ترجیح می‌دهید؟

در فضای مجازی هم داستان به همین روال است! خریداران دوست دارند بدانند سرمایه خود را به چه کسی واگذار می‌کنند و چه اطمینانی وجود دارد که علاوه بر پول آن‌ها، داده‌‌های شخصیشان نیز به سرقت نرود. برای مشتریان فروشگاه‌های اینترنتی و به طور کلی، تمامی وب‌سایت‌هایی که داده‌های شخصی از کاربران خود دریافت می‌کنند، اهمیت دارد که از عدم سرقت داده‌های خود مطمئن باشند. آن‌ها، این اطمینان را لازم دارند که داده‌ها و اطلاعات شخصی‌شان قابل رهگیری و تداخل نیست. این، دقیقا، همان جایی است که لزوم استفاده از گواهینامه اس اس ال مشخص می‌شود!

گواهینامه اس اس ال شامل چه اطلاعاتی است؟

گواهینامه اس اس ال را می‌توان مجوز کسب و کار در فضای مجازی دانست! هر گواهی SSL شامل داده‌ها و اطلاعات شرکت و یا شخص حقیقی یا حقوقی دارنده‌ی وب‌سایت است. اطلاعاتی نظیر:

• نام دامنه
• نام شرکت
• تاریخ انقضای گواهی SSL
• کشور محل سکونت شرکت
• شهر و استان محل فعالیت
• نشانی دقیق شرکت

در کنار موارد فوق که باعث امنیت خاطر مشتری می‌شود، گواهی SSL تمامی اطلاعات رد و بدل شده فی‌مابین کامپیوتر بازدیدکننده و سرور وب‌سایت را رمزنگاری می‌کند. این‌کار، به افزایش ضریب امنیت وب‌سایت شما نیز کمک می‌کند.

نحوه عملکرد اس اس ال بر روی سرور

هر گواهینامه SSL شامل دو کلید عمومی و اختصاصی است. این دو کلید، به شیوه‌ای که بعدا اشاره خواهیم کرد، برای رمزنگاری با یکدیگر همکاری می‌کنند. همچنین، SSL شامل یک Subject نیز می‌شود که نشان‌دهنده هویت مالک وب‌سایت و یا شرکت دارنده‌ی گواهی است.

برای دریافت گواهینامه اس اس ال نیاز است تا مراحل زیر را بپیمایید:

1- درخواست CSR

برای دریافت این گواهی باید بر روی سرور خود، درخواست امضای گواهی یا به اختصار CSR را ایجاد نمایید. با این‌کار، یک کلید اختصاصی و یک کلید عمومی بر روی سرور شما ایجاد خواهد شد.

2- ارسال فایل CSR برای CA

پس از ایجاد CSR، فایل داده آن را برای مرجع صادرکننده SSL ارسال می‌کنید. این فایل داده، حاوی کلید عمومی است. صادرکننده گواهی (CA) از این فایل داده برای ایجاد ساختار داده متناسب با کلید اختصاصی استفاده می‌کند، بدون اینکه خود کلید به خطر بیافتد (صادرکننده گواهی SSL هیچ‌گاه کلید اختصاصی را نمی‌بیند).

3- صدور گواهی و نصب آن بر روی سرور

پس از صدور گواهی SSL آن را بر روی سرور خود نصب می‌کنید. همراه با گواهی SSL، می‌بایست گواهی میانی را نیز نصب کنید. گواهی میانی وظیفه دارد از طریق برقراری ارتباط با گواهی root CA، اعتبار SSL شما را تامین کند. به همین سادگی!

4- اعتبار SSL

مهم‌ترین بخش گواهی SSL، امضا الکترونیکی صادرکننده‌ی معتبر است. این گواهی را هر شرکت یا شخصی می‌تواند صادر کند، اما مرورگرها فقط به گواهینامه‌هایی اعتماد می‌کنند که در لیست پیش‌فرض آن‌ها باشد. این لیست پیش‌فرض مرورگرها را مخزن root CA می‌نامند. برای اینکه شرکتی نامش در این مخزن باشد، می‌بایست مطابق با استانداردهای احراز هویت و امنیتی سازمان‌های نظارتی رفتار کنند.

زمانیکه یک گواهی SSL صادر می‌شود، علاوه بر، سایت دریافت‌کننده، کاربران از صادرکننده گواهی نیز اطمینان دارند. از آن‌جا که کاربر به مرورگر و مرورگر به صادرکننده SSL اعتماد دارد؛ بنابراین، مرورگر این اطمینان خاطر را به کاربر می‌دهد که در وب‌سایت ایمنی قرار دارد. شرکت‌ها و سازمان‌های متعددی هستند که اعتبار کافی جهت صدور گواهی SSL را دارا می‌باشند؛ برای نمونه شرکت‌های Comodo و DigiCert جزو این دسته هستند.

اس اس ال چگونه کار می‌کند؟

هنگامی که یک کاربر سعی می‌کند به سرور وب‌سایتی که مجهز به اس اس ال است متصل شود، پروسه‌ای به نام SSL Handshake بین آن دو رخ می‌دهد (این پروسه برای کاربر غیرقابل‌رویت بوده و بسیار سریع اتفاق می‌افتد).

به صورت کلی، سه کلید برای برقراری ارتباط SSL مورد استفاده قرار می‌گیرند: کلیدهای عمومی، اختصاصی و session. هر آن‌چه که به وسیله کلید عمومی رمزگذاری بشود، تنها به وسیله کلید اختصاصی می‌تواند رمزگشایی شود و بالعکس.

به طور کلی، در فرآیند اس اس ال:

• مرورگر به وب‌سایت دارای گواهی، متصل شده و از سرور می‌خواهد که هویت خود را ابراز نماید؛
• سرور بلافاصله یک نسخه از اس اس ال که شامل کلید عمومی نیز هست، ارسال می‌کند.
• مرورگر منقضی بودن یا نبودن گواهی همچنین، اعتبار صادرکننده را بررسی می‌نماید و در صورتی که به سرور اعتماد کند، یک کلید session متقارن را ارسال می‌کند.
• سرور به وسیله کلید اختصاصی، session را رمزگشایی می‌کند.
• سرور و مرورگر تمامی اطلاعات ارسالی از طریق session را رمزنگاری می‌کنند.

خرید گواهی SSL چگونه است؟

در هنگام خرید SSL باید به چند نکته مهم توجه کنید. به طور کلی، سه نوع گواهی SSL وجود دارد که بسته به نوع نیاز، می‌توانید یکی از آن‌ها را انتخاب کرده و از آن بهره‌مند شوید:

• گواهینامه Domain-Validated SSL گواهینامه‌ای با تضمین پایین است که بین چند دقیقه تا چند ساعت صادر می‌شود.
• گواهینامه Organization-Validated SSL گواهینامه‌ای با تضمین بالاست که مالکیت دامنه اعتبارسنجی می‌شود. این گواهینامه برای وب‌سایت شرکت‌ها و موسسات بسیار مناسب است. صدور این گواهی از چند ساعت تا چند روز به طول می‌انجامد.
• گواهینامه Extended-Validated SSL برای صدور این گواهی مدارک قانونی بیشتری را باید ارائه بدهید. همچنین، مدت زمان صدور این گواهی بین چند روز تا چند هفته است.

پس از انتخاب نوع گواهینامه مورد نظر، می‌توانید از شرکت‌های صادرکننده SSL، این گواهینامه را خریداری نمایید. برای نمونه، شرکت‌های GeoTrust ،DigiCert ،Comodo و Symantec از اصلی‌ترین صادرکنندگان گواهی SSL هستند. خوب است بدانید، شرکت Comodo در سال 2015 با سهم 33.6 درصدی از گواهینامه‌های صادرشده، برترین فروشنده SSL بوده است.

SSL، آری یا خیر؟!

بیایید برای درک لزوم استفاده از گواهینامه اس اس ال به مثال اولیه خودمان بازگردیم؛ فروشگاه بی‌نام و نشان و فروشگاه خوش رنگ و لعاب! بیایید باور کنیم در عصری قرار داریم که کاربران دوست دارند درباره سایت‌ها و مخاطب مجازی خود بیشتر بدانند. شاید بی‌راه نباشد که بگوییم در عصر شفاف‌سازی قرار داریم. روزانه میلیون‌ها بازدید از هزاران وب‌سایت در سرتاسر جهان در حال انجام است؛ بازدیدهایی که غالبا به رد و بدل شدن اطلاعات می‌انجامد. اطلاعاتی از جنس خرید، پرداخت، ثبت‌نام و … . برای سهیم شدن در این بازار بزرگ مجازی، نیاز است تا کاربران به شما اعتماد کرده و وب‌سایت شما را برای انجام امورات خود امن ببینند.

اگر وب‌سایت شما از قابلیت لاگین برخوردار است، اگر از قابلیت پرداخت الکترونیکی در سایت خود استفاده می‌کنید، اگر می‌خواهید فروشگاهی قابل اعتماد برای مشتریان خود باشید و هزار اما و اگر دیگر (!)، زمان آن رسیده است که دست‌به‌جیب شده و نسبت به خرید گواهی SSL اقدام کنید. بدون شک، اکنون لزوم استفاده از گواهینامه اس اس ال را بیش از هر زمان دیگر درک می‌کنید.

فراموش نکنید، این حق کاربران است که در دنیای دیجیتال مارکتینگ که هیچ چیز قابل اعتماد نیست، از تیک سبز سایت شما احساس امنیت کنند!