گواهینامه SSL چیست و چگونه کار میکند؟

ssl چيست؟

SSL مخفف Secure Socket Layer به معني «لايه اتصال امن» و پروتکلي (مجموعه اي از قوانين) جهت برقراري ارتباطات ايمن ميان سرويس دهنده و سرويس گيرنده در اينترنت است. امروزه اينترنت به يکي از ارکان ارتباطي بين افراد و سازمان ها تبديل شده است. بسياري از ما روزانه اطلاعاتي از اين طريق مي گيريم يا مي فرستيم. اين اطلاعات از نظر اهميت با هم تفاوت زيادي دارند. برخي از اين اطلاعات مانند اخبار يک سايت اهميت امنيتي چنداني ندارند، اما در طرف ديگر اسناد شخصي مثل ايميل ها، رمز حساب هاي بانکي و ... قرار دارند که دوست نداريم به دست ديگران بيافتند. اطلاعاتي که در حالت عادي بين کاربران و دنياي اينترنت رد و بدل مي شوند، به گونه اي هستند که يک هکر يا خراب کار حرفه اي مي تواند آنها را ببيند و براي اهداف خود مورد سواستفاده قرار دهد. مثلا در يک خريد اينترنتي، زماني که قصد داريد براي پرداخت به حساب بانکي خود وارد شويد، سايت از شما رمزعبور مي خواهد. حال اگر سايت مورد نظر فاقد برنامه هاي امنيتي لازم باشد، ممکن است اطلاعات شما در ميانه راه بدون آنکه متوجه شويد، دزديده شوند و اگر بد شانس باشيد چند روز بعد که به حساب تان سر مي زنيد آن را خالي شده مي يابيد.

اطلاعات هر گواهينامه SSL

بطور معمول يك گواهينامه SSL داراي اطلاعات شما بعنوان دارنده گوهينامه ميباشد كه اين اطلاعات عبارتند از :

• نامه دامنه
• نام شركت شما
• نشاني شما
• شهر و ايالت شما
• كشور محل اقامت شما
• تاريخ انقضا گواهينامه

با خريد يك گواهينامه SSL علاوه بر آنكه اطلاعات كامل خود را به مشتري ارائه ميدهيد كه اين باعث ايجاد امنيت خاطر خريدار ميگردد تمامي اطلاعات رد و بدل شده مابين كامپيوتر بازديد كننده سايت شما و سرور وب سايت شما كد شده و قابل بازيابي نميباشد . در حال حاضر تمامي وب سايتهايي كه بخش فروش الكترونيك دارند از گواهينامه SSL براي بخش فروش الكترونيك خود استفاده ميكنند .

انواع  گواهی SSL

گواهینامه SSL دارای انواع مختلفی است، که هر نوع آن تامین کننده نیاز خاصی می باشد و از اعتبار و قیمت متفاوتی برخوردار است و علاوه بر تامین امنیت می تواند اعتبار یک سازمان را نمایش دهد. به منظور انتخاب بهترین نوع گواهینامه SSL و صرف مناسب ترین هزینه به منظور برآورده نمودن نیاز و کارایی مطلوب، لازم است ابتدا تعریفی از آنها داشته باشیم:

• گواهینامه اعتبار سنجی دامنه Domain Validated

در این نوع از گواهینامه SSL صادر کننده ی گواهینامه بر اساس نام دامنه اعتبار سنجی را انجام می دهد و به بررسی صحت یا اعتبار سازمان یا صاحب دامنه نمی پردازد و زمان بسیار کوتاهی از درخواست تا صدور دارد. به نحوی که بیشتر صادرکنندگان به صورت آنلاین و در لحظه آن را صادر می کنند، این گواهی بیشتر برای صاحبان وب سایت و اشخاص عادی یا به اصطلاح شخص حقیقی مناسب است که هدف از تهیه گواهی SSL برای آنها صرفا تغییر HTTP به HTTPS بوده. البته شرکت ها و اشخاص حقوقی نیز می توانند از این نوع گواهینامه استفاده کنند. به طور معمول، درخواست اعتبار سنجی یا گرفتن تایید در نوع DV از طریق ارسال ایمیل به یک آدرس از دامنه که صادر کننده مشخص می کند مثل admin@domain.com یا webmaster@domain.com انجام می شود و پس از دریافت مشخصات در ایمیل و لینک تایید گواهینامه SSL برای دامنه مورد نظر صادر می شود و صاحب وب سایت پس از نصب می تواند از قابلیت ( SSL/TLS) استفاده نماید. از لحاظ فنی این نوع گواهینامه مشکل امنیتی نخواهد داشت و تنها از جنبه اعتبار اهمیت دارد زیرا هیچ نامی از صاحب گواهی SSL یا سازمان مربوطه در بخش اصلاعات گواهینامه در مرورگر به بازدید کننده نمایش داده نمی شود.

• گواهینامه اعتبارسنجی سازمانی با Organization Validated 

این نوع گواهینامه SSL علاوه بر تامین امنیت در صدد تایید اعتبار یک کسب و کار و تجارت اینترنتی است و سطح اعتبار بسیار بالاتری نسبت به گواهینامه DV را دارا می باشد و بازدید کنندگان وب سایت مربوطه با مشاهده نام سازمان در بخش جزئیات گواهینامه با اطمینان از این وب سایت ها سرویس می گیرند. این نوع گواهینامه با توجه به مدارک مورد نیاز فقط به اشخاص حقوقی و صاحبان کسب و کار دارای مدارک رسمی دولتی از قبیل روزنامه رسمی قابل واگذاری می باشد. خرید گواهینامه OV نیاز به تایید کامل هویت درخواست کننده دارد. شرکت ها، سازمانهای دولتی، بانک ها، وزارتخانه ها و به طور کل اشخاص حقوقی از متقاضیان این نوع گواهینامه SSL هستند. درخواست کننده باید مدارک کامل ثبتی و قانونی و هویتی شرکت، سازمان و نهاد مربوطه را به همراه فرم های درخواست و معرفی یک شخص مسئول همراه مدارک در مرحله اول به صورت اینترنتی ارسال نموده و پس از قبول درخواست از سمت صادر کننده نسخه ترجمه شده تمام مدارک مهر شده را از طریق پست بین المللی مثل DHL به صادر کننده ارسال نماید. در صورت تهیه و فعال نمودن این نوع از گواهینامه، اطلاعات تایید شده هویت آن سازمان در بخش جزئیات گواهینامه SSL نشان داده می شود که خاص آن سازمان، شرکت و یا نهاد می باشد.

• گواهینامه اعتبار سنجی یا Extended Validation 

مشخصه اصلی گواهینامه EV نشان سبز رنگ در مرورگر است و دریافت آن بسیار شبیه گواهینامه OV ولی با اعتبار و ارزشی بالاتر است و معمولا سازمان های بزرگ در دنیا از جمله شرکت هایی مثل گوگل از این نوع گواهینامه استفاده می کنند. مدارک مورد نیاز برای سفارش این نوع از گواهینامه SSL همانند گواهینامه OV می باشد با این تفاوت که اهراز هویت سازمان و یا شرکت دقیق تر بوده و مدارک بیشتری و با دقت بالاتری مورد رسیدگی قرار می گیرد، به علاوه هزینه آن بالاتر است برای اعتبار سنجی کلیه اطلاعات از جمله شماره تلفن ها و اطلاعات وب بررسی می شود.

مزایای SSL

امروزه وجود SSL برای هر وب‌سایت و وبلاگ و به‌خصوص وب‌سایت‌های شرکتی از حالت گزینه درآمده و به یک ضرورت تبدیل شده است؛ چرا که مزایای غیرقابل انکاری دارد که اهمیت آن‌ها بر کسی پوشیده نیست، از جمله:

• SSL از اطلاعات محافظت می‌کند

کار اصلی گواهی SSL حفاظت از اطلاعاتی است که در ارتباط بین کاربر با سرور رد و بدل می‌شود. با نصب SSL هر بیت از داده‌ها رمزگذاری خواهد شد؛ به زبان ساده، اطلاعات قفل می‌شوند و کلید بازگشایی این قفل فقط در اختیار دریافت کننده مورد نظر قرار دارد. SSL علاوه بر محافظت از اطلاعات حساسی مانند رمزهای عبور و اطلاعات کارت‌های بانکی، در مقابله با لشکر هکرها و خرابکاران اینترنتی نیز به شما کمک می‌کند. ازآنجایی‌که داده‌ها توسط SSL به یک فرمت غیرقابل خواندن تبدیل می‌شوند، مهارت‌های هکرها در برابر فناوری رمزگذاری بی‌همتای SSL به یک شمشیر بی لبه می‌ماند.

•  SSL هویت شما را تأیید می‌کند

دومین وظیفه اصلی گواهی SSL، تأیید اعتبار وب‌سایت است. تردیدی وجود ندارد که حجم تقلب و کلاه‌برداری در اینترنت به‌طور روزافزونی در حال افزایش است و بسیاری از مردم چه از نظر مالی و چه در ابعاد دیگر، با استفاده کردن از وب‌سایت‌های تقلبی متحمل خسارت‌های جبران‌ناپذیری شده و می‌شوند.  هنگامی‌که می‌خواهید گواهی SSL نصب کنید باید وارد یک فرآیند اعتبارسنجی شوید که طی آن، بسته به نوع گواهینامه، هویت شما و سازمان متبوعتان سنجیده می‌شود. پس از تأیید اعتبار، وب‌سایت شما گواهینامه‌ای دریافت می‌کند که کاربر با توجه به آن می‌تواند مطمئن باشد که با همان کسی در تعامل است که باید باشد.  البته توجه داشته باشید که همان‌طور که ذکر شد، هویت سنجی بسته به نوع گواهینامه‌ای که به دنبال دریافت آن هستید متفاوت خواهد بود؛ به‌عنوان مثال، برخی از صادرکنندگان گواهینامه‌های SSL، از جمله وب‌سایت‌های رایگانی مانند Let’s Encrypt زیاد در این رابطه مته به خشخاش نمی‌گذارند. لذا به ‌عنوان صاحب یک کسب‌وکار معتبر پیشنهاد می‌شود که از گواهینامه‌های معتبرتری استفاده کنید که هویت شما را نیز تأیید می‌کنند.

•  SSL پیش‌نیاز اصلی دریافت نماد اعتماد دوستاره است

یکی از روش‌های شناخته‌شده برای تأیید اعتبار صاحبان کسب‌وکارها و محل کارشان داشتن نماد اعتماد است. در واقع، امروزه اگر وب‌سایت کسب‌وکار شما نماد اعتماد نداشته باشد هیچ‌کس به آن اعتماد نخواهد کرد. در حال حاضر، نماد اعتماد در دو سطح یک ستاره و دوستاره اعطا می‌شود که تفاوت عمده این دو در ضرورت وجود یک گواهی SSL معتبر یک‌ساله برای دریافت نماد دوستاره است. دقت داشته باشید که با گواهی‌های رایگان نمی‌توانید نماد دوستاره دریافت کنید. 

• SSL باعث تقویت حس اعتماد مشتری می‌شود

امروزه مشتریانی که حتی اندکی از دنیای وب و مخاطرات آن آگاهند ابداً به وب‌سایت‌هایی که گواهی SSL ندارند اعتماد نمی‌کنند؛ چرا که علاوه بر مشکلات مرتبط با سرقت و افشای اطلاعات شخصی و بانکی که پتانسیل روی دادن آن‌ها برای این‌گونه وب‌سایت‌ها وجود دارد، نداشتن گواهی SSL به نوعی به معنای بی‌مبالاتی صاحب وب‌سایت و کسب‌وکار مربوطه نیز خواهد بود. طبیعتاً با توجه به رقابتی که امروزه در دنیای کسب‌وکار موج می‌زند، کسی از فروشنده‌ای که برای امنیت کسب‌وکار و مشتریان خود اهمیتی قائل نیست خرید نخواهد کرد.

•  SSL باعث بهبود رتبه شما در نتایج موتورهای جستجو می‌شود

آیا SSL برای سئو نیز مفید است؟ پاسخ به این سؤال مثبت است. علیرغم اینکه هدف از SSL ایمن‌سازی تبادل اطلاعات بین بازدیدکننده و وب‌سایت است، اما وجود گواهی SSL به‌عنوان یک امتیاز در مبحث سئو نیز محسوب می‌شود. بر طبق نتایج بررسی‌های تجربی انجام‌گرفته، یکی از مؤلفه‌های تأثیرگذار در الگوریتم رتبه‌بندی گوگل، وجود SSL است.

علاوه بر این، گوگل نیز رسماً اعلام کرده است که اگر دو وب‌سایت از همه نظر با هم برابر باشند، اما یکی از آن‌ها گواهی SSL داشته باشد، احتمالاً در نتایج جستجو برای آن نسبت به دیگری اولویت قائل خواهد شد. در نتیجه، فعال‌سازی SSL در وب‌سایت و برای تمامی محتواهای داخل و خارج از آن به نفع سئوی سایت خواهد بود.

معایب استفاده از SSL

• بالا بودن هزینه تهیه و استفاده از SSL
• نیاز به دانش فنی برای نصب و راه‌اندازی پروتکل SSL
• افت سرعت محسوس به دلیل داشتن مشکل در اینترنت ایران
• اکثر شرکت‌های ارائه‌کننده برای دامنه IR. سرویس نمی‌دهند.

گواهینامه SSL روی ترافیک وب تاثیری نخواهد گذاشت

اگر گوگل کروم یک صفحه وب را به طور کامل بارگذاری نکند آمار این سایت تحت تاثیر قرار خواهد گرفت. تصور کنید چند نفر وارد سایت شما شوند و ببینند که اتصال سایت امن نیست ، اولین کاری که می کنند این است که بلافاصله سایت را ببندند. کاربران هنوز از مشاهده هشدارهای امنیتی وحشت دارند چون می ترسند قربانی هکرها شوند. اکثر کاربران امنیت خود را به هر چیزی ترجیح می دهند. بنابراین اگر سایت شما خوانده نشود و فورا بسته شود مسلما روی ترافیک سایت شما تاثیر می گذارد. علاوه بر این گواهینامه SSL برای سئو ضروری است. فقط کلمات کلیدی رتبه گوگل شما را بالا نمی برند بلکه اقدامات امنیتی مناسب هم می تواند روی رتبه تاثیر بگذارد و شما را در صفحه اول گوگل نمایش دهد و در نتیجه افراد بیشتری سایت شما را پیدا می کنند و وارد سایت شما می شوند.

گواهینامه SSL چگونه ایجاد می‌شود؟

زمانی که یک مرورگر به یک وب سایت امن از طریق SSL متصل می‌شود، مرورگر و سرویس دهنده یک نشست ایمن با تبادل پیام ساده تحت عنوان SSL Handshake شروع  می‌کنند. این روند توسط کاربر قابل مشاهده نیست. ارتباط SSL به کمک سه کلیدزیر، ارتباط ایمن را ایجاد می‌کند:

1. کلید عمومی
2. کلید خصوصی
3.  کلید نشست

هر چیزی که با کلید عمومی رمزگذاری شود توسط کلید خصوصی رمزگشایی خواهد شد و برعکس. به این صورت که در ابتدا مرورگر به یک وبسایت ایمن که دارای SSL هستند و با https شروع می‌شوند، متصل می شود. مرورگر درخواست می‌کند تا سرویس دهنده خودش را معرفی کند. سپس سرویس دهنده یک کپی از مدرک SSL  خود را برای مرورگر ارسال می کند که شامل کلید عمومی می‌شود. مرورگر مدرک دریافتی را با لیستی از مدارک SSL ای که توسط CA (وظیفه CA این است که هویت طرفین ارتباط، نشانی ها، تاریخ انقضای گواهینامه را بداند و براساس آن ها هویت ها را تعیین نماید.) معتبر هستند و هنوز منقضی نشده‌اند مطابقت می‌دهند. اگر مرورگر مدرک دریافتی را معتبر تشخیص دهد، یک مقدار را برای شروع جلسه ایجاد می‌کند و آن را با استفاده از کلید عمومی دریافتی از سرویس دهنده رمزنگاری می‌کند و این مقدار رمز شده را برای سرویس دهنده ارسال می‌کند. اگر سرویس دهنده نیز سرویس گیرنده را یک سرویس گیرنده مجاز بداند، با استفاده از کلید خصوصی خود مقدار را رمزگشایی می کند و یک مقدار شامل کلید نشست (session key) ایجاد می‌کند و به مرورگر می‌فرستد تا ارتباط امن آغاز شود. سرور و مرورگر حالا تمام داده ها را با کلید نشست رمزگذاری می‌کنند و داده‌ها را از طریق این ارتباط امن رد و بدل می‌کنند.