ارتباطات هر روز گستردهتر و پیچیدهتر میشوند؛ میلیونها وبسایت میزبان بازدیدکنندگان و جستجوگران دنیای گسترده اینترنت هستند. تولید محتوای مناسب برای سایت، طراحی زیبا و کاربرپسند، توجه به چگالی کلمات کلیدی، ایجاد سیستم پاسخگویی به مشتریان، اهمیت به الگوریتم های گوگل و... تنها بخشی از کار است، نباید از امنیت پیج نیز غافل شد!
همزمان با پیشرفت تکنولوژی، مخاطرات جدیدی نیز پیشروی بشر قرار گرفته است. کارشناسان فضای مجازی مداوم نسبت به مخاطرات و تهدیدات فضای مجازی به کاربران و مالکان وبسایتها هشدار میدهند؛ اما میبینیم که هر از چندی یک باگ امنیتی خبرساز میشود. به طور کلی، خطرات موجود در فضای مجازی را میتوان به شکل زیر فهرست کرد:
- درز اطلاعات شخصی کاربران
- فیشینگ و جرائم مالی
- هک و در اختیار گرفتن یک وبسایت و یا حساب کاربری
- نفوذ بدافزارها در سیستمهای شخصی و غیرشخصی
- کلاهبرداریهای اینترنتی
یکی از مهمترین مواردی که کاربران را بسیار تهدید میکند، درز اطلاعات شخصی و یا کاری آنهاست. کارشناسان امنیت فضای مجازی برای این مهم از رمزنگاری استفاده میکنند تا بتوانند در صورت درز اطلاعات نیز، امنیت داده را تضمین کنند.
گواهینامه اس اس ال چیست؟
گواهینامه اس اس ال (SSL) و یا همان Socket Secure Layer در واقع استانداردی فیمابین کاربر و وبسایت برای رمزنگاری دادهها میباشد. به معنای دیگر، گواهی SSL این امکان را به کاربران میدهد تا بدون نگرانی از افشای اطلاعات خود، دادههای خود را به صورت امن به وبسایتها ارسال کنند.
لزوم استفاده از گواهی SSL آنجا مشخص میشود که بدانیم، در ارسال اطلاعات بانکی به یک وبسایت پرداخت آنلاین، اگر از استاندارد گواهی SSL استفاد شود، در صورت سرقت اطلاعات، به علت رمزنگاری شدن دادهها، خطری متوجه کاربر نیست؛ نکته حائز اهمیت دیگر اینکه برای برقراری ارتباط از نوع اس اس ال، به Web Server Certificate نیاز است.
لزوم استفاده از گواهینامه اس اس ال
تصور کنید قصد خرید کالایی را دارید و دو فروشگاه عرضهکنندهی آن کالا نیز در دسترس شماست. یکی از این دو فروشگاه، بینام بوده و فروشنده آن نیز مشخص نیست، همچنین، هیچگونه شماره مجوز و یا تابلویی نیز ندارد؛ در طرف دیگر، فروشگاه فرضی شماره دو، دارای تابلو و شماره مجوز مشخص بوده که به محض ورود میتوانید دفتر مدیریت و نام آن را ببینید، حال سوال این است: کدام فروشگاه را برای خرید ترجیح میدهید؟
در فضای مجازی هم داستان به همین روال است! خریداران دوست دارند بدانند سرمایه خود را به چه کسی واگذار میکنند و چه اطمینانی وجود دارد که علاوه بر پول آنها، دادههای شخصیشان نیز به سرقت نرود. برای مشتریان فروشگاههای اینترنتی و به طور کلی، تمامی وبسایتهایی که دادههای شخصی از کاربران خود دریافت میکنند، اهمیت دارد که از عدم سرقت دادههای خود مطمئن باشند. آنها، این اطمینان را لازم دارند که دادهها و اطلاعات شخصیشان قابل رهگیری و تداخل نیست. این، دقیقا، همان جایی است که لزوم استفاده از گواهینامه اس اس ال مشخص میشود!
گواهینامه اس اس ال شامل چه اطلاعاتی است؟
گواهینامه اس اس ال را میتوان مجوز کسب و کار در فضای مجازی دانست! هر گواهی SSL شامل دادهها و اطلاعات شرکت و یا شخص حقیقی یا حقوقی دارندهی وبسایت است. اطلاعاتی نظیر:
- نام دامنه
- نام شرکت
- تاریخ انقضای گواهی SSL
- کشور محل شرکت
- شهر و استان محل فعالیت
- نشانی دقیق شرکت
در کنار موارد فوق که باعث امنیت خاطر مشتری میشود، گواهی SSL تمامی اطلاعات رد و بدل شده فیمابین کامپیوتر بازدیدکننده و سرور وبسایت را رمزنگاری میکند. اینکار، به افزایش ضریب امنیت وبسایت شما نیز کمک میکند.
نحوه عملکرد اس اس ال بر روی سرور
هر گواهی SSL شامل دو کلید عمومی و اختصاصی است. این دو کلید، به شیوهای که بعدا اشاره خواهیم کرد، برای رمزنگاری با یکدیگر همکاری میکنند. همچنین، SSL شامل یک Subject نیز میشود که نشان دهنده هویت مالک وبسایت و یا شرکت دارندهی گواهی است.
برای دریافت گواهی نامه اس اس ال نیاز است تا مراحل زیر را بپیمایید:
درخواست CSR
برای دریافت این گواهی باید بر روی سرور خود، درخواست امضای گواهی یا به اختصار CSR را ایجاد نمایید. با اینکار، یک کلید اختصاصی و یک کلید عمومی بر روی سرور شما ایجاد خواهد شد.
ارسال فایل CSR برای CA
پس از ایجاد CSR، فایل داده آن را برای مرجع صادرکننده SSL ارسال میکنید. این فایل داده، حاوی کلید عمومی است. صادرکننده گواهی (CA) از این فایل داده برای ایجاد ساختار داده متناسب با کلید اختصاصی استفاده میکند، بدون اینکه خود کلید به خطر بیافتد (صادر کننده گواهی SSL هیچگاه کلید اختصاصی را نمیبیند).
صدور گواهی و نصب آن بر روی سرور
پس از صدور گواهی SSL آن را بر روی سرور خود نصب میکنید. همراه با گواهی SSL، میبایست گواهی میانی را نیز نصب کنید. گواهی میانی وظیفه دارد از طریق برقراری ارتباط با گواهی root CA، اعتبار SSL شما را تامین کند. به همین سادگی!
اعتبار SSL
مهمترین بخش گواهی SSL، امضا الکترونیکی صادرکنندهی معتبر است. این گواهی را هر شرکت یا شخصی میتواند صادر کند اما مرورگرها فقط به گواهینامههایی اعتماد میکنند که در لیست پیشفرض آنها باشد. این لیست پیشفرض مرورگرها را مخزن root CA مینامند. برای اینکه شرکتی نامش در این مخزن باشد، میبایست مطابق با استانداردهای احراز هویت و امنیتی سازمانهای نظارتی رفتار کنند.
زمانیکه یک گواهی SSL صادر میشود، علاوه بر، سایت دریافتکننده، کاربران از صادرکننده گواهی نیز اطمینان دارند. از آنجا که کاربر به مرورگر و مرورگر به صادرکننده SSL اعتماد دارد، بنابراین، مرورگر این اطمینان خاطر را به کاربر میدهد که در وبسایتی ایمن قرار دارد. شرکتها و سازمانهای متعددی هستند که اعتبار کافی جهت صدور گواهی SSL را دارا میباشند؛ برای نمونه شرکتهای Comodo و DigiCert جزو این دسته هستند.
اس اس ال چگونه کار میکند؟
هنگامی که یک کاربر سعی میکند به سرور وبسایتی که مجهز به اس اس ال است متصل شود، پروسهای به نام SSL Handshake بین آن دو رخ میدهد ( این پروسه برای کاربر غیرقابلرویت بوده و بسیار سریع اتفاق میافتد).
به صورت کلی، سه کلید برای برقراری ارتباط SSL مورد استفاده قرار میگیرند: کلیدهای عمومی، اختصاصی و session. هر آنچه که به وسیله کلید عمومی رمزگذاری بشود، تنها به وسیله کلید اختصاصی میتواند رمزگشایی شود و بالعکس.
به طور کلی، در فرآیند اس اس ال:
- مرورگر به وبسایت دارای گواهی، متصل شده و از سرور میخواهد که هویت خود را ابراز نماید؛
- سرور بلافاصله یک نسخه از اس اس ال که شامل کلید عمومی نیز هست، ارسال میکند.
- مرورگر منقضی بودن یا نبودن گواهی همچنین اعتبار صادرکننده را بررسی مینماید و در صورتی که به سرور اعتماد کند، یک کلید session متقارن را ارسال میکند.
- سرور به وسیله کلید اختصاصی، session را رمزگشایی میکند.
- سرور و مرورگر تمامی اطلاعات ارسالی از طریق session را رمزنگاری میکنند.
خرید گواهی SSL
در هنگام خرید SSL باید به چند نکته مهم توجه کنید. به طور کلی، سه نوع گواهی SSL وجود دارد که بسته به نوع نیاز، میتوانید یکی از آنها را انتخاب کرده و از آن بهرهمند شوید:
- گواهینامه Domain-Validated SSL گواهینامهای با تضمین پایین است که بین چند دقیقه تا چند ساعت صادر میشود.
- گواهینامه Organization-Validated SSLگواهینامهای با تضمین بالاست که مالکیت دامنه اعتبارسنجی میشود. این گواهینامه برای وبسایت شرکتها و موسسات بسیار مناسب است. صدور این گواهی از چند ساعت تا چند روز به طول میانجامد.
- گواهینامه Extended-Validated SSL برای صدور این گواهی مدارک قانونی بیشتری را باید ارائه بدهید. همچنین، مدت زمان صدور این گواهی بین چند روز تا چند هفته است.
پس از انتخاب نوع گواهینامه مورد نظر، میتوانید از شرکتهای صادرکننده SSL، این گواهینامه را خریداری نمایید. برای نمونه، شرکتهایGeoTrust ،DigiCert ، Comodo و Symantec از اصلیترین صادرکنندگان گواهی SSL هستند. خوب است بدانید، شرکت Comodo در سال 2015 با سهم 33.6 درصدی از گواهینامههای صادرشده، برترین فروشنده SSL بوده است.
SSL، آری یا خیر؟!
بیایید برای درک لزوم استفاده از گواهینامه اس اس ال به مثال اولیه خودمان بازگردیم؛ فروشگاه بینام و نشان و فروشگاه خوش رنگ و لعاب! بیایید باور کنیم در عصری قرار داریم که کاربران دوست دارند درباره سایتها و مخاطب مجازی خود بیشتر بدانند. شاید بیراه نباشد که بگوییم در عصر شفافسازی قرار داریم. روزانه میلیونها بازدید از هزاران وبسایت در سرتاسر جهان در حال انجام است؛ بازدیدهایی که غالبا به رد و بدل شدن اطلاعات میانجامد. اطلاعاتی از جنس خرید، پرداخت، ثبتنام و ... . برای سهیم شدن در این بازار بزرگ مجازی نیاز است تا کاربران به شما اعتماد کرده و وبسایت شما را برای انجام امورات خود امن ببینند.
اگر وبسایت شما از قابلیت لاگین برخوردار است، اگر از قابلیت پرداخت الکترونیکی در سایت خود استفاده میکنید، اگر میخواهید فروشگاهی قابل اعتماد برای مشتریان خود باشید و هزار اما و اگر دیگر (!)، زمان آن رسیده است که دستبهجیب شده و نسبت به خرید گواهی SSL اقدام کنید. بدون شک اکنون لزوم استفاده از گواهینامه اس اس ال را بیش از هر زمان دیگر درک میکنید.
فراموش نکنید، این حق کاربران است که در دنیای دیجیتال مارکتینگ که هیچ چیز قابل اعتماد نیست، از تیک سبز سایت شما احساس امنیت کنند!
User Review
Total Score
No Comment Post yet
Submit Comment
Your Score