اولین اقدام ضروری بعد از طراحی سایت فعالسازی SSL است. SSL و گواهینامههای دیجیتال یک عنصر اساسی در سیستمهای اطلاعاتی امروز هستند. بدون گواهینامههای دیجیتال، تجارت الکترونیکی، خرید آنلاین، دستگاههای تلفن همراه، ورود ایمن به حسابهای آنلاین، برنامههای SaaS، ابر عمومی یا تقریباً هر یک از سیستمهای فناوری اطلاعاتی که امروز تجارت به آنها وابسته است را نخواهیم داشت. این که شما میتوانید این گواهینامهها را ببینید یا نه مهم نیست، ارتباطات، سرگرمی و خدماتی که هر روز به آنها اعتماد میکنید به گواهینامههای دیجیتال بستگی دارد.
گواهینامهها از نظر فنی کاملاً پیشرفته هستند که شامل مدلهای اعتماد، رمزنگاری، استانداردهای صنعت، شرایط احراز هویت و موارد دیگر میشوند. بنابراین گاهی اوقات ممکن است درک آن برای شخصی که مدرک علوم کامپیوتر ندارد سخت باشد.
به همین دلیل با زبانی ساده، SSL را مورد بررسی قرار دهیم.
SSL چیست؟
SSL یا Secure Sockets Layer، نام عمومی پروتکل امنیتی است که بین سیستمهای موجود در اینترنت آزاد (open internet) استفاده میشود. این عبارت میتواند به اتصالات ایمن شده با استفاده از این پروتکل یا گواهینامههای واقعی که به عنوان استقامت یک سیستم صادر و استفاده میشود، اشاره کند.
پروتکل SSL برای فعال کردن ارتباطات مطمئن بین رایانهها از طریق شبکه اینترنت آزاد به وجود آمده است. اما SSL بهترین روش برای زیرساختهای موجود در فایروال نیز محسوب میشود. SSL با کم کم برقرار کردن ارتباطات ماشین به ماشین با دو کیفیت اصلی، ارتباطات مطمئن را امکان پذیر میکند:
- هویت معتبر شناخته شده
- جریان دادههای رمزگذاری شده
وقتی میگوییم هویت معتبر شناخته شده، منظور ما این است که پروتکل SSL دستگاهی را که در حال دریافت اطلاعات است (که ما از آن به عنوان کلاینت یاد میکنیم) را قادر میسازد تا هویت دستگاه ارائه دهنده این اطلاعات را تایید کند (که ما به آن سرور میگوییم) برای بسیاری از موارد استفاده، هویت دستگاههای دو طرف معامله، کلاینت و سرور، توسط SSL به این ترتیب تأیید میشود.
جریان دادههای رمزگذاری شده به توانایی رمزگذاری دادههای در حال حرکت به هر دو طریق در اتصال امن SSL اشاره دارد. رمزگذاری دادهها بخشی ضروری برای حفظ ارتباطات خصوصی در اینترنت آزاد است، در غیر این صورت امکان جاسوسی از محتوای ارسال شده بین دستگاه ها وجود دارد.
شیوه رمزنگاری اطلاعات در SSL به چه صورت است؟
برای فعال کردن جلسات آنلاین رمزگذاری شده، گواهینامههای SSL مورد نیاز هستند، اما اکثر مردم متوجه نیستند که خود گواهیها رمزگذاری را انجام نمیدهند. بلکه رمزگذاری و رمزگشایی به ترتیب توسط دستگاهی که اطلاعات را ارسال میکند و دستگاهی که اطلاعات را دریافت میکند، انجام میشود. با این حال، با راه اندازی پروتکلهای اتصال، ماشینهای کلاینت و سرور به هیچ وجه از انتقال رمزگذاری شده استفاده نخواهند کرد، مگر اینکه گواهی SSL مستقر در محل باشد.
دلیل اینکه برای فعال کردن رمزگذاری به یک گواهینامه SSL نیاز است این است که بدون اطلاع از هویت طرف مقابل، رمزگذاری هیچ محافظی در برابر سرقت اطلاعات ندارد. برای درک دلیل این پروتکل ، یک مثال را در نظر بگیرید.
فرض کنید شما مجبورید یک کالای بسیار ارزشمند مانند یک نقاشی به ارزش میلیونها دلار را در شهر حمل کنید. وقتی شما در خیابانها حرکت میکنید، میخواهید اطمینان حاصل کنید که نقاشی به سرقت نمیرود. شاید شما یک ماشین زرهی استخدام کرده اید تا نقاشی را برداشته، آن را به آدرسی که مشخص کردهاید منتقل کرده و به گیرنده تحویل دهد. اگر خدمه اتومبیل زرهی کار خود را به درستی انجام دهند، نقاشی شما بدون هیچ گونه حادثهای با خیال راحت به مقصد میرسد.
در این تشبیه ماشین زره پوش، مانند رمزگذاری است. رمزگذاری یک دفاع نفوذ ناپذیر است به طوری که هیچ کس نمیتواند اطلاعات شما را که در حال ارسال در اینترنت است را، بدست آورد. اما در مثال شما مکان مشخصی را که باید نقاشی تحویل داده شود را نیز معین کردهاید. کامیون زره پوش فقط بیرون نرفت و نقاشی را به هر کسی که درخواست تحویل نقاشی را داشت، تحویل نداد. بلکه این نقاشی را فقط به فرد مناسب در محل مناسب تحویل داد. احراز هویت، مانند آدرس تحویل، در این تشبیه است. احراز هویت این اطمینان را میدهد که طرفی که اطلاعات ارزشمند شما را دریافت میکند در واقع همان فرد مورد نظر شما است.
دلیل اینکه برای انجام رمزگذاری به گواهینامههای SSL (هویت معتبر) نیاز است این است که در غیر این صورت شرایط مانند ارسال ماشین زره پوش بدون دستورالعمل برای محل تحویل نقاشی میلیون دلاری است. در صورت تحویل اشیای با ارزش به شخص اشتباه، تمام این محافظتها بی معنی خواهد بود. برای اعمال هر دوی این محافظتها، مولفههای استاندارد زیرساخت IT اگر SSL موجود نباشد، آنها نیز اجرایی نمیشوند.
انواع گواهینامه SSL
گواهینامههای SSL شامل رمزگذاری و اعتبار سنجی و شماره دامنه هستند. هر کدام دارای سه طبقهبندی هستند و میتوان از آنها در وب سایت SSL درخواست کرد. گواهینامهها توسط یک مجوز صدور گواهینامه (CA) پردازش میشوند، که نرم افزاری است که به طور خاص برای اجرای و اعطای این گواهینامهها طراحی شده است.
برای رمزگذاری و گواهینامههای اعتبار سنجی، اعتبار دامنه، سازمان و اعتبار سنجی گسترده وجود دارد.
هدف اصلی گواهینامههای SSL اعتبار سنجی هویت یک سرور در شبکه است. هر گواهی حاوی اطلاعاتی در مورد نهادی است که برای آن صادر شده است. اطلاعات دقیق موجود، تابعی از اعتبارسنجی گواهی است. SSL در سه سطح اعتبار سنجی ارائه میشود.
1- DV SSL certificate (اعتبار سنجی دامنه)
اعتبار سنجی دامنه کمترین سطح احراز هویت موجود در یک گواهینامه SSL است. در مورد گواهینامه DV ، تنها چیزی که در مورد هویت دارنده گواهینامه احراز هویت شده است این است که این مالک به طور واقعی نام دامنهای که گواهینامه برای آن صادر شده است، را کنترل میکند.
مزیت اصلی گواهینامههای DV این است که ممکن است در عرض چند دقیقه صادر شوند. توصیه میشود گواهینامههای DV برای مواردی که نیاز به رمزگذاری یا وجود یک گواهینامه دارند اما هدف فیشینگ یا کلاهبرداری نیستند و در مواردی که ایجاد اطمینان، در بازدیدکننده وب سایت مهم نیست، مورد استفاده قرار بگیرند.
2- OV SSL certificate (اعتبار سنجی شرکت/سازمان)
اعتبارسنجی سازمان، سطح متوسط احراز هویت برای گواهینامههای SSL است. یک گواهینامه OV شامل مدعی مالکیت در مورد هویت سازمانی که گواهینامه برای آن صادر شده و محل استقرار این سازمان است. احراز هویت OV بیشتر به صلاحدید صدور مجوز اختصاص داده میشود. اگرچه این گواهینامهها اطلاعاتی راجع به هویت سازمان ارائه میدهند، اما از آنجا که فرآیندهای احراز هویت در سطح بالایی جهانی نگهداری و کنترل نمیشوند، مرورگرهای معروف، نام شرکت را در داخل نوار آدرس نمایش نمیدهند.
3- EV SSL certificate (اعتبار سنجی پیشرفته)
اعتبار سنجی پیشرفته بالاترین سطح احراز هویت SSL است. هویت دارنده گواهینامه EV مطابق با مجموعه استانداردی از پروتکلها تأیید میشود که آنطور که مدعی هستند برای استفاده گسترده در دنیای واقعی بسیار قابل اعتماد هستند و اثبات میشوند. از آنجا که اعتماد بالایی به اطلاعات موجود در این گواهینامهها وجود دارد، همه مرورگرهای محبوب نشانگر اعتماد سبز (نوار آدرس سبز)، از جمله نام سازمان را در نوار آدرس در سمت چپ URL نشان میدهند. اکثر مرورگرها به اطلاعات اضافی مانند شهری که سازمان در آن مستقر است و سازمان صدور گواهینامهای که این گواهی را صادر کرده است، دسترسی پیش فرض دارند.
گواهینامههای EV برای هر برنامهای که به حداکثر رساندن اعتبار معاملات یا اعتماد مشتری در آن مهم است، هر برنامه شامل اطلاعات با ارزش مانند اطلاعات قابل شناسایی شخصی (PII) یا شماره کارت اعتباری، یا هر برنامهای که در آن توصیه میشود که باید از این گواهینامه استفاده کرد، مورد نیاز هستند. EV استاندارد واقعی برای مشاغل آنلاین مانند بانکها، فروشگاهها، کارگزاریها، سایتهای مالیاتی، مراقبتهای بهداشتی و حسابهای رسانههای اجتماعی است.
TLS چیست و تفاوت آن با SSL
Transport Layer Security یا به اختصار TLS پروتکل جانشین SSL است. TLS نسخه بهبود یافته SSL است. TLS کاری تقریباً مشابه SSL و با استفاده از رمزگذاری برای محافظت از انتقال دادهها و اطلاعات انجام میدهد. این دو اصطلاح اغلب به جای هم در صنعت به کار میروند اگرچه SSL هنوز هم به طور گستردهای استفاده میشود.
هنگامی که نسخه بعدی پروتکل در سال ۱۹۹۹ منتشر شد، توسط گروه ویژه مهندسی اینترنت (IETF) استاندارد شد و نام جدیدی به آن داده شد: Transport Layer Security یا TLS. همانطور که در مشخصات TLS ذکر شده است، تفاوت این پروتکل و SSL 3.0 چشمگیر نیست. بنابراین، در واقع مسئله TLS در مقابل SSL نیست. در عوض، این دو یک سری پروتکل به طور مداوم در حال به روز شدن را تشکیل میدهند و اغلب به صورت SSL / TLS به کار برده میشوند.
پروتکل TLS همه نوع ترافیک اینترنتی را رمزگذاری میکند و متداول ترین ترافیک وب است. اگر URL در آدرس شما با “https” شروع شود، میدانید که مرورگر شما از طریق TLS متصل است و یک نشانگر با یک قفل وجود دارد که به شما می گوید اتصال امن است، اما TLS ممکن است توسط برنامههای دیگر مانند ایمیل نیز مورد استفاده قرار گیرد.
TLS در واقع فقط نسخه جدیدتر SSL است و برخی از آسیب پذیریهای امنیتی موجود در پروتکلهای SSL قبلی را برطرف میکند.
5 مزیت مهم SSL
دریافت گواهی SSL مزایایی زیادی برای وبسایتها دارد و علاوه بر مشاغل فعال در دنیای آنلاین، به وب سایتها دیگر نیز توصیه میشود، از SSL استفاده کنند.
برای درک بهتر چرایی استفاده از SSL اجازه دهید، چند مورد از مهمترین مزایای آن را مورد ببرسی قرار دهیم.
1- حفاظت از اطلاعات
عملکرد اصلی یک گواهینامه SSL محافظت از ارتباطات سرور و کلاینت است. هنگام نصب SSL، هر بیت از اطلاعات رمزگذاری میشود. در حالت عادی، دادهها قفل هستند و فقط گیرنده مورد نظر (مرورگر یا سرور) میتوانند قفل آنها را باز کنند زیرا هیچ کس دیگری نمیتواند کلید باز کردن آنها را داشته باشد. SSL در حالی که با دادههای حساس مانند شناسه، گذرواژه، شماره کارت اعتباری و غیره سر و کار دارید، به شما کمک میکند در برابر ارتش هکرها از اطلاعات خود محافظت کنید. از آنجا که دادهها توسط SSL به قالب غیرقابل رمزگشایی تبدیل میشوند، مهارتهای هکر در برابر فناوری رمزگذاری غیر قابل عبور گواهینامههای SSL ناکارآمد خواهد بود.
2- تایید هویت
دومین مزیت اصلی گواهی SSL ارائه تأیید اعتبار به یک وب سایت است. تأیید هویت یکی از مهمترین جنبههای امنیت در وب است. مواردی وجود داشته است که افراد مبالغ بسیار بالایی از سرمایه خود را در وب سایتهای جعلی از دست داده اند. اینجاست که گواهی SSL وارد عمل میشود.
هنگامی که میخواهید یک گواهینامه SSL نصب کنید، باید مراحل تایید اعتبار را که توسط شخص ثالث مستقلی به نام CA تنظیم شده است را طی کنید. بسته به نوع گواهی، CA هویت شما و سازمان شما را تایید میکند. هنگامی که هویت خود را اثبات کردید، وب سایت شما دارای شاخصهای اعتمادی است که وقتی کاربران آنها را میبینند، میدانند با چه کسی صحبت میکنند.
این گواهیها را مشابه حسابهای تایید شده یا تیک آبی در توییتر در نظر بگیرید. تنها تفاوت در اینجا این است که شما باید هویت خود را برای وب سایت دیگری به جای حساب Twitter تایید کنید. چنین راستی آزمایی اطمینان حاصل میکند که هیچ متقلبی وب سایتی جعلی ایجاد نمیکند که خود را جای دیگری بگذارد. در اصطلاح فنی، این کار را فیشینگ مینامند. بنابراین، SSL به کاربران کمک میکند تا به وب سایت واقعی شما بروند، کاربران را از تقلب نجات میدهد و شهرت شما را افزایش میدهد.
3- پیشنیاز برای نماد تجارت الکترونیک ( اینماد)
شما برای دریافت اینماد ثابت و دو ستاره طبق قوانین نیاز به دریافت گواهی SSL دارد. و بدون در اختیار داشتن گواهی ssl دریافت اینماد ثابت ممکن نخواهد بود.
4- اعتماد کاربر
جدا از رمزگذاری و احراز هویت، گواهینامههای SSL از نظر اعتماد مشتری بسیار حیاتی هستند. شناسایی آسان علائم به کاربران اطلاع میدهد که دادههای ارسالی آنها ایمن خواهد بود. و اگر یک OV یا EV SSL نصب کرده باشند، آنها میتوانند جزئیات سازمان شما را ببینند. هنگامی که آنها بدانند که شما یک نهاد قانونی هستید، به احتمال زیاد با شما تجارت میکنند یا حتی سایت شما را دوباره مرور میکنند.
5- پیروی از الگوریتم گورخر
گوگل تغییراتی را در الگوریتم خود ایجاد کرد تا وب سایتهای دارای HTTPS (گواهینامه SSL) را اولویت قرار دهد. این امر در مطالعات مختلف انجام شده توسط متخصصان سئو در سراسر جهان مشهود بوده است. بنابراین اگر به دنبال بهبود رتبه خود در صفحه نتایج گوگل هستید بهتر است دریافت گزینه SSL را در نظر بگیرید. در الگوریتم گورخر که بر فعالیت سایتهای فروشگاهی تمرکز دارد داشتن گواهینامه SSL امتیاز مهمی محسوب میشود.
از کجا بفهمیم یک وبسایت دارای گواهی نامهی SSL است؟
اگر URL به جای «http» با «https» آغاز شود، سایت با استفاده از گواهی SSL ایمن شده است. نماد قفل که در یک مرورگر وب نمایش داده میشود همچنین نشان میدهد که یک سایت با گواهی SSL از اتصال ایمن برخوردار است.
پروتکل SSL اطمینان حاصل میکند که داده های موجود در آن سایت از طریق رمزگذاری و تایید SSL / TLS ایمن هستند. مهم است که اطمینان حاصل کنید که هر وب سایتی که اطلاعات حساس به آن منتقل می شود از SSL استفاده میکند.
به تصویر زیر نگاه کنید، وبسایت نوین مارکتینگ، در آدرس سایت خود HTTPS دارد و کنار آدرس نیز علامت قفل دیده میشود.
3 باور غلط در مورد SSL
با گسترش استفاده از SSL باورهایی غلطی در مورد آن مانند محدودیت استفاده، کاهش سرعت سایت و غیره مطرح شدهاند، که پایه و اساسی ندارند، در ادامه با توضیحات سعی میکنیم این باورهای غلط را برطرف کنیم.
1- صرفا برای سایتهای فروشگاهی است
احتمالاً شنیده اید که فقط سایتهایی که به اطلاعات شخصی احتیاج دارند نیاز به گواهینامه SSL دارند. این یک باور اشتباهی است، شما باید رمزگذاری را در سایتهایی که اطلاعات خصوصی درخواست میکنند، مشاهده کنید. هنگام ثبت نام و ورود به سیستم، حتما باید تیک آدرس نوار “https” را ببنید.
اما رمزگذاری برای همه سایتها، چه تجارت الکترونیکی و چه یک وبلاگ کوچک، امری حیاتی است.
در مرحله اول، گوگل به طور پیش فرض از یک نسخه امن از یک سایت استفاده میکند. کاربران گوگل کروم که به سایتی مراجعه میکنند که فاقد گواهی SSL است، در عوض یک صفحه هشدار مشاهده میکنند. این هشدار به آنها اطلاع میدهد که صفحه ایمن نیست.
اکنون اکثر کاربران از بررسی ارتباطات ایمن اطلاع دارند، بنابراین نصب گواهی SSL نشانه این است که شما به عنوان مالک سایت حریم خصوصی آنها را جدی میگیرید.
در واقع، شما به مخاطبان خود این پیام را منتقل ميکنید، که یک سازمان حرفهای هستید.
2- ربطی به رشد سایت ندارد
اگر گوگل کروم یک صفحه وب را به طور کامل بارگیری نکند، آمار آن سایت تحت تاثیر قرار میگیرد، این تاثیر بسیار چشمگیر است، تصور کنید که چند نفر ممکن است متوجه شوند که اتصال آنها امن نیست و بلافاصله صفحه را ترک کنند.
مشکل این است که، حتی وقتی دادههای کاربران در معرض خطر نباشد، مردم با دیدن هشدارهای امنیتی وحشت میکنند. آنها خود را قربانی هکرها فرض میکنند. خوشبختانه اکثر کاربران امنیت خود را بر راحتی ترجیح میدهند. بنابراین اگر آنها نتوانند سایت شما را تایید کنند، به راحتی سایت دیگری را جستجو میکنند که اطلاعات مشابهی را ارائه میدهد.
علاوه بر این، گواهی SSL برای سئو سایت ضروری است. سئو فقط محدود به کلمات کلیدی نیست، گوگل اگر مطمئن شود که یک وبسایت اقدامات امنیتی مناسبی را انجام داده، این صفحه را بالاتر از دیگری رتبه بندی میکند. طبیعتا هرچه یک سایت به بالای نتایج جستجو نزدیکتر باشد، افراد بیشتری صفحه را بازدید میکنند.
3- سرعت سایت را کند میکند
با افزایش مخاطب بالقوه، ممکن است نگران باشید که آدرس HTTPS سایت شما را کند کند. خوشبختانه رمزگذاری هیچ تاثیری محسوس بر سرعت وب سایت شما ندارد.
دلیلش این است که، در بیشتر موارد، HTTPS در واقع به HTTP/2، (تجدید نظر در پروتکل استاندارد HTTP) اشاره دارد و برای کاهش ۵۰ درصدی در زمان بارگذاری صفحه از طریق فشرده سازی دادهها و کاهش فرایندهای طراحی شده، ارائه شده است.
وب از سال ۱۹۹۹ در حال استفاده از HTTP است.HTTP / 2 با تمرکز بر روی عملکرد، ارتقا یافته این است.
اگر به دنبال مدرک هستید، برخی از سایتهای مورد علاقه خود را بررسی کنید، محبوبترین آنها (از جمله شبکههای اجتماعی مانند فیس بوک) دارای گواهی SSL هستند و سرعت آنها بسیار مناسب است.
همین امروز SSL سایت خود را فعال کنید
اولین قدم تعیین نوع گواهینامه مورد نیاز شماست. به عنوان مثال، اگر میزبانی محتوا در چندین سیستم عامل (در دامنهها / زیر دامنههای جداگانه باشد) ممکن است به این معنی باشد که شما به گواهینامههای SSL مختلف نیاز دارید.
برای اکثر افراد، یک گواهی استاندارد SSL موارد مورد نیاز را پوشش میدهد. اما برای شرکتهای یک صنعت درگیر با امور مالی و اطلاعات، مانند امور مالی یا بیمه، شاید ارزش داشته باشد که با یک مشاور I.T. (فناوری اطلاعات) صحبت کنید. با این کار اطمینان حاصل میشود که شما شرایط خاص گواهی SSL را در صنعت خود برآورده می کنید.
هزینههای گواهینامههای SSL متفاوت است، اما شما میتوانید یک گواهینامه رایگان دریافت کنید یا برای دریافت گواهی ماهانه هزینه پرداخت کنید. از طرف رایگان منابعی گواهینامهها را بدون هیچ هزینه ای ارائه میدهد، اما اکیدا توصیه میشود از شخصی در زمینه DNS و تنظیمات فنی وب سایت کمک بگیرید. این گواهیها نیز هر ۹۰ روز منقضی میشوند، بنابراین در فواصل مختلف اطمینان حاصل کنید، که آنها به روز هستند.
یکی از ملاحظات اصلی دیگر دوره اعتبار یک گواهینامه است. بیشتر گواهینامههای استاندارد SSL که خریداری میکنید به صورت پیش فرض برای یک تا دو سال در دسترس هستند، اما اگر به دنبال گزینههای طولانی مدت هستید، گواهینامههای پیشرفتهتری را در نظر بگیرید که دورههای طولانیتری را ارائه میدهند.
سخن پایانی
استاندارد SSL / TLS از زمان صدور اولین گواهینامه SSL در سال ۱۹۹۵ به طور مداوم در حال تکامل است. در آن بازه زمانی گواهی توسعه یافته و بستههای امنیتی وب به آن اضافه شده و تعداد زیادی ویژگی مدیریت و تمدید گواهینامه همراه با آن ارائه میشوند.
همه این توسعهها به این دلیل به وجود آمد که برنامههای آنلاین، زیرساختهای فناوری اطلاعات و استفاده از دستگاه در طول زمان تغییر کردند. بنابراین گواهینامهها متناسب با نیازهای جدید تنظیم میشوند. گواهینامههای SSL طی پنج سال یا ده سال دیگر چگونه خواهند بود؟ هیچکس نمیداند. اما ما اطمینان بالایی داریم که هویت مورد اعتماد یک دستگاه، سایت یا کسب و کار مانند همیشه مهم خواهد بود و گواهینامهها همچنان پشتوانه هویتی هستند که ارتباطات آنلاین را امکان پذیر میکنند.