ssl چيست؟
SSL مخفف Secure Socket Layer به معني «لايه اتصال امن» و پروتکلي (مجموعه اي از قوانين) جهت برقراري ارتباطات ايمن ميان سرويس دهنده و سرويس گيرنده در اينترنت است. امروزه اينترنت به يکي از ارکان ارتباطي بين افراد و سازمان ها تبديل شده است. بسياري از ما روزانه اطلاعاتي از اين طريق مي گيريم يا مي فرستيم. اين اطلاعات از نظر اهميت با هم تفاوت زيادي دارند. برخي از اين اطلاعات مانند اخبار يک سايت اهميت امنيتي چنداني ندارند، اما در طرف ديگر اسناد شخصي مثل ايميل ها، رمز حساب هاي بانکي و ... قرار دارند که دوست نداريم به دست ديگران بيافتند. اطلاعاتي که در حالت عادي بين کاربران و دنياي اينترنت رد و بدل مي شوند، به گونه اي هستند که يک هکر يا خراب کار حرفه اي مي تواند آنها را ببيند و براي اهداف خود مورد سواستفاده قرار دهد. مثلا در يک خريد اينترنتي، زماني که قصد داريد براي پرداخت به حساب بانکي خود وارد شويد، سايت از شما رمزعبور مي خواهد. حال اگر سايت مورد نظر فاقد برنامه هاي امنيتي لازم باشد، ممکن است اطلاعات شما در ميانه راه بدون آنکه متوجه شويد، دزديده شوند و اگر بد شانس باشيد چند روز بعد که به حساب تان سر مي زنيد آن را خالي شده مي يابيد.
اطلاعات هر گواهينامه SSL
بطور معمول يك گواهينامه SSL داراي اطلاعات شما بعنوان دارنده گوهينامه ميباشد كه اين اطلاعات عبارتند از :
- نامه دامنه
- نام شركت شما
- نشاني شما
- شهر و ايالت شما
- كشور محل اقامت شما
- تاريخ انقضا گواهينامه
با خريد يك گواهينامه SSL علاوه بر آنكه اطلاعات كامل خود را به مشتري ارائه ميدهيد كه اين باعث ايجاد امنيت خاطر خريدار ميگردد تمامي اطلاعات رد و بدل شده مابين كامپيوتر بازديد كننده سايت شما و سرور وب سايت شما كد شده و قابل بازيابي نميباشد . در حال حاضر تمامي وب سايتهايي كه بخش فروش الكترونيك دارند از گواهينامه SSL براي بخش فروش الكترونيك خود استفاده ميكنند .
انواع گواهی SSL
گواهینامه SSL دارای انواع مختلفی است، که هر نوع آن تامین کننده نیاز خاصی می باشد و از اعتبار و قیمت متفاوتی برخوردار است و علاوه بر تامین امنیت می تواند اعتبار یک سازمان را نمایش دهد. به منظور انتخاب بهترین نوع گواهینامه SSL و صرف مناسب ترین هزینه به منظور برآورده نمودن نیاز و کارایی مطلوب، لازم است ابتدا تعریفی از آنها داشته باشیم:
- گواهینامه اعتبار سنجی دامنه Domain Validated
در این نوع از گواهینامه SSL صادر کننده ی گواهینامه بر اساس نام دامنه اعتبار سنجی را انجام می دهد و به بررسی صحت یا اعتبار سازمان یا صاحب دامنه نمی پردازد و زمان بسیار کوتاهی از درخواست تا صدور دارد. به نحوی که بیشتر صادرکنندگان به صورت آنلاین و در لحظه آن را صادر می کنند، این گواهی بیشتر برای صاحبان وب سایت و اشخاص عادی یا به اصطلاح شخص حقیقی مناسب است که هدف از تهیه گواهی SSL برای آنها صرفا تغییر HTTP به HTTPS بوده. البته شرکت ها و اشخاص حقوقی نیز می توانند از این نوع گواهینامه استفاده کنند. به طور معمول، درخواست اعتبار سنجی یا گرفتن تایید در نوع DV از طریق ارسال ایمیل به یک آدرس از دامنه که صادر کننده مشخص می کند مثل admin@domain.com یا webmaster@domain.com انجام می شود و پس از دریافت مشخصات در ایمیل و لینک تایید گواهینامه SSL برای دامنه مورد نظر صادر می شود و صاحب وب سایت پس از نصب می تواند از قابلیت ( SSL/TLS) استفاده نماید. از لحاظ فنی این نوع گواهینامه مشکل امنیتی نخواهد داشت و تنها از جنبه اعتبار اهمیت دارد زیرا هیچ نامی از صاحب گواهی SSL یا سازمان مربوطه در بخش اصلاعات گواهینامه در مرورگر به بازدید کننده نمایش داده نمی شود.
- گواهینامه اعتبارسنجی سازمانی با Organization Validated
این نوع گواهینامه SSL علاوه بر تامین امنیت در صدد تایید اعتبار یک کسب و کار و تجارت اینترنتی است و سطح اعتبار بسیار بالاتری نسبت به گواهینامه DV را دارا می باشد و بازدید کنندگان وب سایت مربوطه با مشاهده نام سازمان در بخش جزئیات گواهینامه با اطمینان از این وب سایت ها سرویس می گیرند. این نوع گواهینامه با توجه به مدارک مورد نیاز فقط به اشخاص حقوقی و صاحبان کسب و کار دارای مدارک رسمی دولتی از قبیل روزنامه رسمی قابل واگذاری می باشد. خرید گواهینامه OV نیاز به تایید کامل هویت درخواست کننده دارد. شرکت ها، سازمانهای دولتی، بانک ها، وزارتخانه ها و به طور کل اشخاص حقوقی از متقاضیان این نوع گواهینامه SSL هستند. درخواست کننده باید مدارک کامل ثبتی و قانونی و هویتی شرکت، سازمان و نهاد مربوطه را به همراه فرم های درخواست و معرفی یک شخص مسئول همراه مدارک در مرحله اول به صورت اینترنتی ارسال نموده و پس از قبول درخواست از سمت صادر کننده نسخه ترجمه شده تمام مدارک مهر شده را از طریق پست بین المللی مثل DHL به صادر کننده ارسال نماید. در صورت تهیه و فعال نمودن این نوع از گواهینامه، اطلاعات تایید شده هویت آن سازمان در بخش جزئیات گواهینامه SSL نشان داده می شود که خاص آن سازمان، شرکت و یا نهاد می باشد.
- گواهینامه اعتبار سنجی یا Extended Validation
مشخصه اصلی گواهینامه EV نشان سبز رنگ در مرورگر است و دریافت آن بسیار شبیه گواهینامه OV ولی با اعتبار و ارزشی بالاتر است و معمولا سازمان های بزرگ در دنیا از جمله شرکت هایی مثل گوگل از این نوع گواهینامه استفاده می کنند. مدارک مورد نیاز برای سفارش این نوع از گواهینامه SSL همانند گواهینامه OV می باشد با این تفاوت که اهراز هویت سازمان و یا شرکت دقیق تر بوده و مدارک بیشتری و با دقت بالاتری مورد رسیدگی قرار می گیرد، به علاوه هزینه آن بالاتر است برای اعتبار سنجی کلیه اطلاعات از جمله شماره تلفن ها و اطلاعات وب بررسی می شود.
مزایای SSL
امروزه وجود SSL برای هر وبسایت و وبلاگ و بهخصوص وبسایتهای شرکتی از حالت گزینه درآمده و به یک ضرورت تبدیل شده است؛ چرا که مزایای غیرقابل انکاری دارد که اهمیت آنها بر کسی پوشیده نیست، از جمله:
- SSL از اطلاعات محافظت میکند
کار اصلی گواهی SSL حفاظت از اطلاعاتی است که در ارتباط بین کاربر با سرور رد و بدل میشود. با نصب SSL هر بیت از دادهها رمزگذاری خواهد شد؛ به زبان ساده، اطلاعات قفل میشوند و کلید بازگشایی این قفل فقط در اختیار دریافت کننده مورد نظر قرار دارد. SSL علاوه بر محافظت از اطلاعات حساسی مانند رمزهای عبور و اطلاعات کارتهای بانکی، در مقابله با لشکر هکرها و خرابکاران اینترنتی نیز به شما کمک میکند. ازآنجاییکه دادهها توسط SSL به یک فرمت غیرقابل خواندن تبدیل میشوند، مهارتهای هکرها در برابر فناوری رمزگذاری بیهمتای SSL به یک شمشیر بی لبه میماند.
- SSL هویت شما را تأیید میکند
دومین وظیفه اصلی گواهی SSL، تأیید اعتبار وبسایت است. تردیدی وجود ندارد که حجم تقلب و کلاهبرداری در اینترنت بهطور روزافزونی در حال افزایش است و بسیاری از مردم چه از نظر مالی و چه در ابعاد دیگر، با استفاده کردن از وبسایتهای تقلبی متحمل خسارتهای جبرانناپذیری شده و میشوند. هنگامیکه میخواهید گواهی SSL نصب کنید باید وارد یک فرآیند اعتبارسنجی شوید که طی آن، بسته به نوع گواهینامه، هویت شما و سازمان متبوعتان سنجیده میشود. پس از تأیید اعتبار، وبسایت شما گواهینامهای دریافت میکند که کاربر با توجه به آن میتواند مطمئن باشد که با همان کسی در تعامل است که باید باشد. البته توجه داشته باشید که همانطور که ذکر شد، هویت سنجی بسته به نوع گواهینامهای که به دنبال دریافت آن هستید متفاوت خواهد بود؛ بهعنوان مثال، برخی از صادرکنندگان گواهینامههای SSL، از جمله وبسایتهای رایگانی مانند Let’s Encrypt زیاد در این رابطه مته به خشخاش نمیگذارند. لذا به عنوان صاحب یک کسبوکار معتبر پیشنهاد میشود که از گواهینامههای معتبرتری استفاده کنید که هویت شما را نیز تأیید میکنند.
- SSL پیشنیاز اصلی دریافت نماد اعتماد دوستاره است
یکی از روشهای شناختهشده برای تأیید اعتبار صاحبان کسبوکارها و محل کارشان داشتن نماد اعتماد است. در واقع، امروزه اگر وبسایت کسبوکار شما نماد اعتماد نداشته باشد هیچکس به آن اعتماد نخواهد کرد. در حال حاضر، نماد اعتماد در دو سطح یک ستاره و دوستاره اعطا میشود که تفاوت عمده این دو در ضرورت وجود یک گواهی SSL معتبر یکساله برای دریافت نماد دوستاره است. دقت داشته باشید که با گواهیهای رایگان نمیتوانید نماد دوستاره دریافت کنید.
- SSL باعث تقویت حس اعتماد مشتری میشود
امروزه مشتریانی که حتی اندکی از دنیای وب و مخاطرات آن آگاهند ابداً به وبسایتهایی که گواهی SSL ندارند اعتماد نمیکنند؛ چرا که علاوه بر مشکلات مرتبط با سرقت و افشای اطلاعات شخصی و بانکی که پتانسیل روی دادن آنها برای اینگونه وبسایتها وجود دارد، نداشتن گواهی SSL به نوعی به معنای بیمبالاتی صاحب وبسایت و کسبوکار مربوطه نیز خواهد بود. طبیعتاً با توجه به رقابتی که امروزه در دنیای کسبوکار موج میزند، کسی از فروشندهای که برای امنیت کسبوکار و مشتریان خود اهمیتی قائل نیست خرید نخواهد کرد.
- SSL باعث بهبود رتبه شما در نتایج موتورهای جستجو میشود
آیا SSL برای سئو نیز مفید است؟ پاسخ به این سؤال مثبت است. علیرغم اینکه هدف از SSL ایمنسازی تبادل اطلاعات بین بازدیدکننده و وبسایت است، اما وجود گواهی SSL بهعنوان یک امتیاز در مبحث سئو نیز محسوب میشود. بر طبق نتایج بررسیهای تجربی انجامگرفته، یکی از مؤلفههای تأثیرگذار در الگوریتم رتبهبندی گوگل، وجود SSL است.
علاوه بر این، گوگل نیز رسماً اعلام کرده است که اگر دو وبسایت از همه نظر با هم برابر باشند، اما یکی از آنها گواهی SSL داشته باشد، احتمالاً در نتایج جستجو برای آن نسبت به دیگری اولویت قائل خواهد شد. در نتیجه، فعالسازی SSL در وبسایت و برای تمامی محتواهای داخل و خارج از آن به نفع سئوی سایت خواهد بود.
معایب استفاده از SSL
- بالا بودن هزینه تهیه و استفاده از SSL
- نیاز به دانش فنی برای نصب و راهاندازی پروتکل SSL
- افت سرعت محسوس به دلیل داشتن مشکل در اینترنت ایران
- اکثر شرکتهای ارائهکننده برای دامنه IR. سرویس نمیدهند.
گواهینامه SSL روی ترافیک وب تاثیری نخواهد گذاشت
اگر گوگل کروم یک صفحه وب را به طور کامل بارگذاری نکند آمار این سایت تحت تاثیر قرار خواهد گرفت. تصور کنید چند نفر وارد سایت شما شوند و ببینند که اتصال سایت امن نیست ، اولین کاری که می کنند این است که بلافاصله سایت را ببندند. کاربران هنوز از مشاهده هشدارهای امنیتی وحشت دارند چون می ترسند قربانی هکرها شوند. اکثر کاربران امنیت خود را به هر چیزی ترجیح می دهند. بنابراین اگر سایت شما خوانده نشود و فورا بسته شود مسلما روی ترافیک سایت شما تاثیر می گذارد. علاوه بر این گواهینامه SSL برای سئو ضروری است. فقط کلمات کلیدی رتبه گوگل شما را بالا نمی برند بلکه اقدامات امنیتی مناسب هم می تواند روی رتبه تاثیر بگذارد و شما را در صفحه اول گوگل نمایش دهد و در نتیجه افراد بیشتری سایت شما را پیدا می کنند و وارد سایت شما می شوند.
گواهینامه SSL چگونه ایجاد میشود؟
زمانی که یک مرورگر به یک وب سایت امن از طریق SSL متصل میشود، مرورگر و سرویس دهنده یک نشست ایمن با تبادل پیام ساده تحت عنوان SSL Handshake شروع میکنند. این روند توسط کاربر قابل مشاهده نیست. ارتباط SSL به کمک سه کلیدزیر، ارتباط ایمن را ایجاد میکند:
- کلید عمومی
- کلید خصوصی
- کلید نشست
هر چیزی که با کلید عمومی رمزگذاری شود توسط کلید خصوصی رمزگشایی خواهد شد و برعکس. به این صورت که در ابتدا مرورگر به یک وبسایت ایمن که دارای SSL هستند و با https شروع میشوند، متصل می شود. مرورگر درخواست میکند تا سرویس دهنده خودش را معرفی کند. سپس سرویس دهنده یک کپی از مدرک SSL خود را برای مرورگر ارسال می کند که شامل کلید عمومی میشود. مرورگر مدرک دریافتی را با لیستی از مدارک SSL ای که توسط CA (وظیفه CA این است که هویت طرفین ارتباط، نشانی ها، تاریخ انقضای گواهینامه را بداند و براساس آن ها هویت ها را تعیین نماید.) معتبر هستند و هنوز منقضی نشدهاند مطابقت میدهند. اگر مرورگر مدرک دریافتی را معتبر تشخیص دهد، یک مقدار را برای شروع جلسه ایجاد میکند و آن را با استفاده از کلید عمومی دریافتی از سرویس دهنده رمزنگاری میکند و این مقدار رمز شده را برای سرویس دهنده ارسال میکند. اگر سرویس دهنده نیز سرویس گیرنده را یک سرویس گیرنده مجاز بداند، با استفاده از کلید خصوصی خود مقدار را رمزگشایی می کند و یک مقدار شامل کلید نشست (session key) ایجاد میکند و به مرورگر میفرستد تا ارتباط امن آغاز شود. سرور و مرورگر حالا تمام داده ها را با کلید نشست رمزگذاری میکنند و دادهها را از طریق این ارتباط امن رد و بدل میکنند.