اهمیت امن بودن و امنیت در تعاملات آنلاین بر کسی پوشیده نیست. همان طور که در بحث امنیت سایبری خواندیم (امنیت سایبری چیست و چطور می توان آن را تامین کرد؟) تامین امنیت کاربر و اطلاعات آن از مهمترین وظایف ارایه دهندگان خدمات آنلاین است. در این محتوا قصد پرداختن به پروتکلی امنیتی SSL را داریم. چیستی و چگونگی کارش را بررسی و انواع آن را معرفی میکنیم.
- فرق بین HTTP و HTTPS چیست؟
- Ssl چیست و چه می کند؟
- SSL Handshake چیست؟
- گواهینامه ssl چیست؟
- انواع گواهینامه SSL
- چگونه ssl را فعال کنیم؟
- مزایا و معایب داشتن ssl
- خطای ssl چیست؟
فرق بین HTTP و HTTPS چیست؟
S موجود در HTTPS بیانگر Secure است. HTTPS همان HTTP است که SSL دارد. آدرس وبسایتی که HTTPS دارد دارای گواهینامه SSL است که مراجع صدور گواهینامه برایش صادر کردهاند. ترافیک ورودی و خروجی از این وبسایت، اعتبارسنجی و با پروتکل SSL/TLS رمزگذاری میشود.
وبسایتهایی که HTTP هستند ناامن و ناایمن هستند بنابراین HTTPS نه تنها در تامین امنیت کاربر و اطلاعات کاربر مهم است بلکه در جلب اعتماد کاربر نقش مهمی دارد. این نکته در خرید آنلاین بسیار مهم است. برای اطلاعات بیشتر در مورد خرید آنلاین مقاله “خرید آنلاین چیست؛ خرید اینترنتی چگونه انجام می شود؟” را بخوانید.
Ssl چیست و چه می کند؟
SSL مخفف عبارت Secure Socket Layer است و پروتکلی است برای رمزگذاری و امنیت ارتباطاتی که روی بستر اینترنت انجام میشود. پروتکل SSL، پروتکل امن سایت های اینترنتی است.
برقراری ارتباط امن بین کلاینت و سرور، وظیفه اصلی SSL است اما SSL میتواند ایمیل، VoIP و دیگر ارتباطات را روی شبکههای ناامن، امن کند.
با وجود SSL، هم دیتای HTTP که کاربر به وبسایت میفرستد (با کلیک یا پر کردن فرم یا…) و هم دیتای HTTP که وبسایت به کاربر میفرستد، رمزگذاری میشود. دریافت کننده دیتا، این دیتای رمزگذاری شده را با کلید، رمزگشایی شود.
اما TLS چیست؟ پروتکل TLS – Transport Layer Secutiry پروتکل آپدیت شده SSL است. بهتر است برای وبسایت خود از جدیدترین نسخه TLS استفاده نمایید.
برای اینکه بهتر درک کنید Ssl چگونه کار می کند، نکات زیر را مرور کنید:
- ارتباطات امن با SSL Handshake شروع میشوند که در آن، دو طرفِ ارتباط، یک ارتباط امن باز میکنند و کلید عمومی – Public Key تبادل میکنند.
- در طول SSL Handshake، دو طرفِ ارتباط، session keys ایجاد میکنند که کار آن رمزگذاری و رمزگشایی تمام ارتباطاتِ بعد از SSL Handshake است.
- در هر نشست جدید، session key های مختلفی برای رمزگذاری ارتباطات استفاده میشود.
- SSL مطمئن میشود طرفی که در سمت سرور یا وبسایتی است که کاربر با آن تعامل دارد، دقیقا همان کسی است که ادعا میکند.
- در ارتباطات SSL و در سمت سرور، کد MAC – message authentication code وجود دارد که یک امضای دیجیتالی برای تایید اصل بودن ارتباط از سمت وبسایت واقعی است. نتیجه آن این است که سرور میفهمد از حمله در میانه راه جلوگیری میشود و دیتا در انتقال، عوض نشده است.
SSL Handshake چیست؟
نشستهای ارتباطات SSL با SSL Handshake شروع میشوند که از رمزگذاری نامتقارن Asymmetric استفاده میکند یعنی از دو کلید متفاوت برای دو سمت ارتباط استفاده میکند. این تکنیک را رمزگذاری کلید عمومی مینامند. در این تکنیک از دو کلید عمومی و خصوصی استفاده میشود: کلید عمومی که توسط سرور به به همه داده میشود و کلید خصوصی – Private Key که تنها نزد سرور باقی میماند. دیتای رمزنگاری شده با کلید عمومی فقط با کلید خصوصی رمزگشایی و رمزگذاری میشود.
در طول SSL Handshake، کلاینت و سرور از کلید عمومی و خصوصی استفاده میکنند تا به صورت تصادفی، دیتایی را جابجا کنند که کلید جدیدی به نام Session Key برای رمزگذاری ایجاد میکند. این کلید در رمزگذاری متقارن – Symmetric استفاده میشود.
برخلاف رمزگذاری نامتقارن، در رمزگذاری متقارن، هر دو طرفِ ارتباط از یک کلید استفاده میکنند. پس از SSL Handshake، هر دو طرف از کلید نشست برای رمزگذاری استفاده میکنند و وقتی کلید نشست استفاده میشود، کلیدهای خصوصی و عمومی استفاده نمیشوند. کلیدهای نشست، کلیدهای موقتی هستند که پس از پایان نشست دیگر استفاده نمیشوند و یک ستِ جدید کلید نسشت، به صورت رندوم برای نشست بعدی ایجاد میشود.
گواهینامه ssl چیست؟
گواهینامه ssl فایلی است که روی سرور اصلی وبسایت نصب میشود. این فایل حاوی کلید عمومی و هویت صاحب وبسایت و دیگر اطلاعات است. ترافیک وبسایت بدون گواهینامه ssl نمیتواند با SSL رمزگذاری شود.
از نظر تکنیکی، هر صاحب وبسایتی میتواند گواهینامه ssl خودش را ایجاد کند که گواهینامه های self-signed نام دارند. اما مرورگرها این گواهینامه ها را به عنوان گواهینامه ssl قابل اعتماد در نظر نمیگیرند.
برای خرید سرور hp و تعمیر سرور hp با خیال راحت روی لینک بزنید.
انواع گواهینامه SSL
انواع SSL عبارتند از:
Domain Validation یا DV: اگر هدف شما از فعال کردن SSL روی وبسایت خود این است که از HTTP به HTTPS منتقل شوید، این نوع SSL برای شما مناسب است. زمان صدور آن کم و فقط با تایید اعتبار دامنه قابل انجام است.
organization validation یا OV: اعتبار این نوع SSL از نوع قبلی بیشتر است و اعتماد مشتریان به شما بیشتر خواهد بود چرا که سطح بالاتری از اعتبار را فراهم میکند. لذا برای خرید SSL OV باید حتما احراز هویت انجام شود و مدارک کامل ثبتی به همراه ترجمه آن را داشته باشید و پس از ارسال درخواست به صورت آنلاین باقی مراحل را طی کنید.
Extended Validation یا EV: از آنجا که SSL EV از SSL OV سطح بالاتری از اعتبار را دارد برای دریافت آن باید مدارک بیشتری ارایه شود و با دریافت آن نوار سبز رنگی در مرورگر خواهید گرفت.
چگونه ssl را فعال کنیم؟
صاحبان وبسایت باید از مرجع صدور گواهینامه، گواهینامه ssl را تهیه و روی وبسرورشان نصب کنند (گاهی وب هاست ها هم این کار را انجام میدهند). مرجع صدور گواهینامه تایید میکند که آنچه صاحب وبسایت ادعا میکند هست، واقعا همان است. این مرجع، کپی گواهینامه صادر شده را نگه میدارد.
شرکتهای ارایه دهنده SSL عبارتند از: Comodo Secure و Veri Sign و Open Trust و NetLock. از طرفی مراجع زیادی مسئول صدور گواهینامه ssl رایگان هستند. برای خرید SSL در ایران به صورت واسطه میتوان از شرکتهایی که پشتیبانی خوبی دارند استفاده کرد. البته که اصولا نباید هنگام مهاجرت از HTTP به HTTPS در کارایی تاثیری دیده شود. برای گرفتن نماد اعتماد الکترونیک دو ستاره باید گواهینامه SSL داشته باشید.
مزایا و معایب داشتن ssl
مزایای داشتن ssl عبارت است از:
- مرورگر به همراه آدرس وبسایت دارای SSL/TSL، قفل یا نوار سبز رنگ نمایش میدهد که باعث افزایش اعتماد به سایت شما میشود مثلا کاربر با اطمینان بیشتری از شما خرید میکند.
- افزایش امنیت اطلاعات: با SSL از اطلاعات شما محافظت میشود. ممکن است حتی رقیب شما از اطلاعات شما به نفع خود و به ضرر شما استفاده کند.
- برای اینکه بتوانید از بانکها درگاه پرداخت مستقیم بگیرید باید برای وب سایت، اینماد دو ستاره داشته باشید که پیش زمینه آن داشتن SSL است.
- بهبود سئو و رتبه سایت
از معایب داشتن SSL این است که به دلیل پروسه رمزگذاری، منابع بیشتری از سرور باید استفاده شود. هزینه آن هم در صورت عدم استفاده از نسخه رایگان، قابل توجه است.
خطای ssl چیست؟
گاهی به دلیل تنظیم نبودن ساعت و تاریخ سیستم و یا آپدیت نبودن سیستم عامل و مرورگر، با خطای ssl مواجه میشویم. با انجام تنظیمات درست و آپدیت و گاهی ریاستارت کردن، این خطا رفع میشود. برای اطمینان از اینکه ایراد از مرورگر نیست میتوانید مرورگر را عوض کنید. همچنین با تست باز کردن سایتهای HTTP اقدام به تست مرورگرکنید اینطوری متوجه میشوید ایراد از SSL است یا نه.
گاهی ممکن است خطای احراز ssl به صورت صفحه قرمز رنگی با عنوان Certificate is not Trusted باشد که دلیل عمده آن بروز خطا در ارایه دهنده سرویس است.