SSL فناوری استانداردی است که برای ایجاد ارتباط امن و رمزگذاری شده بین یک مرورگر یا رایانه کاربر و یک سرور یا وبسایت استفاده میشود. این فناوری از دیده شدن یا سرقت هرگونه اطلاعات منتقل شده، از جمله اطلاعات شخصی یا مالی توسط هکرها جلوگیری میکند.
وقتی یک آیکون قفل در کنار آدرس URL در نوار آدرس مرورگر مشاهده میکنید، به این معنی است آن وبسایت توسط SSL محافظت میشود.
گواهی SSL چیست؟
گواهی SSL (Secure Sockets Layer) ، یک گواهی دیجیتال است که هویت یک وبسایت را تأیید کرده و یک ارتباط رمزگذاری شده را امکانپذیر میسازد. در واقع SSL پروتکلی امنیتی است که یک لینک رمزگذاری شده بین سرور وب و مرورگر وب ایجاد میکند.
SSL برای اولین بار در سال 1994 توسط نتاسکیپ (Netscape) معرفی شد. هدف از این فناوری ایجاد یک پروتکل امنیتی برای حفاظت از دادههای منتقلشده بین کاربران و سرورها بود.
از زمان معرفی SSL (حدود 30 سال پیش)، چندین نسخه از این پروتکل توسعه داده شدهاند که هر کدام در مقطعی با مشکلات امنیتی مواجه شدند. پس از آن، نسخه جدیدی با نام (Transport Layer Security) TLS ارائه شد که تا به امروز همچنان مورد استفاده است. با این حال، نام SSL همچنان رایج است و به پروتکل جدید نیز با همین نام قدیمی اشاره میشود.
گواهی SSL یک فایل داده است که در سرور اصلی وبسایت میزبانی میشود. این گواهی، امکان رمزگذاری SSL/TLS را فراهم میکند و شامل کلید عمومی وبسایت و هویت آن به همراه اطلاعات مرتبط میشود.
دستگاههایی که تلاش میکنند با سرور اصلی ارتباط برقرار کنند، به این فایل مراجعه میکنند تا کلید عمومی را دریافت کرده و هویت سرور را تأیید کنند. کلید خصوصی به صورت محرمانه و ایمن نگهداشته میشود.
چرا وبسایتها به گواهی SSL نیاز دارند؟
وبسایتها برای محافظت از اطلاعات کاربران، تأیید مالکیت وبسایت، جلوگیری از ساخت نسخههای جعلی سایت توسط مهاجمان و ایجاد اعتماد در کاربران به گواهی SSL نیاز دارند.
اگر یک وبسایت از کاربران میخواهد که اطلاعات شخصی مانند شماره کارت اعتباری را وارد کنند، یا اطلاعات محرمانهای مانند اطلاعات مالی را مشاهده کنند، ضروری است که این دادهها محرمانه باقی بمانند. گواهیهای SSL به حفظ محرمانگی تعاملات آنلاین کمک میکنند و به کاربران اطمینان میدهند که وبسایت معتبر است و میتوانند با خیال راحت اطلاعات شخصی خود را با آن به اشتراک بگذارند.
گواهی SSL به حفاظت از اطلاعات زیر کمک میکند:
- اطلاعات ورود به سیستم
- اطلاعات شخصی (نام کامل، آدرس، تاریخ تولد یا شماره تلفن)
- تراکنشهای کارت اعتباری یا اطلاعات حساب بانکی
- اسناد و قراردادهای قانونی
- سوابق پزشکی
- اطلاعات اختصاصی
همچنین گواهیهای SSL به وبسایتها امکان استفاده از یک آدرس وب HTTPS را میدهند. HTTPS شکل امن HTTP است، به این معنی که ترافیک وبسایتهای HTTPS توسط SSL رمزگذاری میشود.
اکثر مرورگرها سایتهای HTTP– یعنی سایتهایی که گواهی SSL ندارند – را با برچسب “ناامن” علامتگذاری میکنند. این موضوع سیگنال واضحی به کاربران میدهد که این سایت ممکن است قابل اعتماد نباشد و به کسب و کارها انگیزه میدهد تا از گواهی SSL برای دسترسی به HTTPS استفاده کنند.
گواهیهای SSL چگونه کار میکنند؟
SSL با اطمینان از این که دادههای منتقلشده بین کاربران و وبسایتها، یا بین دو سیستم، غیرقابل خواندن باقی میماند، عمل میکند. این پروتکل از الگوریتمهای رمزگذاری برای تغییر دادهها در حین انتقال استفاده میکند که مانع از دسترسی هکرها به اطلاعات در حین ارسال میشود. این دادهها میتواند شامل اطلاعات حساس مانند نامها، آدرسها، شماره کارتهای اعتباری، یا جزئیات مالی دیگر باشد.
فرآیند کار گواهی SSL
- یک مرورگر یا سرور تلاش میکند به وبسایتی (یعنی سرور وب) که با SSL ایمن شده متصل شود.
- مرورگر یا سرور از وبسرور درخواست میکند که خودش را شناسایی کند.
- وبسرور در پاسخ نسخهای از گواهی SSL خود را به مرورگر یا سرور ارسال میکند.
- مرورگر یا سرور بررسی میکند که آیا به گواهی SSL اعتماد دارد یا خیر. اگر گواهی معتبر باشد، این اعتماد به وبسرور اعلام میشود.
- سپس وبسرور یک تأییدیه دیجیتال امضا شده ارسال میکند تا جلسه رمزگذاری شده SSL آغاز شود.
- دادههای رمزگذاری شده بین مرورگر یا سرور و وبسرور به اشتراک گذاشته میشود.
این فرآیند گاهی به عنوان “SSL handshake.” یا ” دست دادن SSL ” شناخته میشود. اگرچه این فرآیند پیچیده به نظر میرسد، اما در کسری از ثانیه اتفاق میافتد.
چگونه بفهمیم یک وبسایت دارای گواهی SSL است؟
وقتی یک وبسایت با گواهی SSL ایمن میشود، مخفف HTTPS (که به معنای پروتکل انتقال ابرمتن امن است) در URL ظاهر میشود. بدون گواهی SSL، تنها حروف HTTP – بدون حرف “S”– نمایش داده میشود. همچنین یک آیکون قفل در نوار آدرس URL ظاهر میشود که نشانه اعتماد است و به بازدیدکنندگان اطمینان میدهد.
علاوه بر این مرورگرها علامتهای هشدار را زمانی که اتصال ایمن نیست نشان میدهند، این علامت مانند قفل قرمز، قفلی که بسته نیست، یا یک مثلث هشدار در بالای نماد قفل میباشذ.
برای مشاهده جزئیات گواهی SSL نیز میتوانید روی نماد قفل در نوار مرورگر کلیک کنید. جزئیات معمولاً شامل موارد زیر است:
- نام دامنهای که گواهی برای آن صادر شده است
- فرد، سازمان یا دستگاهی که گواهی به آن صادر شده
- مرجع صدور گواهی (Certificate Authority)
- امضای دیجیتال مرجع صدور گواهی
- زیردامنههای مرتبط
- تاریخ صدور گواهی
- تاریخ انقضای گواهی
- کلید عمومی (کلید خصوصی فاش نمیشود.
نحوه دریافت گواهی SSL
گواهی SSL مستقیماً از یک مرجع صدور گواهی (CA) قابل دریافت است. هزینه گواهی SSL بسته به سطح امنیت متفاوت است و میتواند از رایگان تا صدها دلار باشد.
برای دریافت گواهی، مراحل زیر باید انجام شود:
- انخاب نوع گواهی و خرید
- آمادهسازی سرور و بهروزرسانی اطلاعات و تایید هویت
- ایجاد درخواست امضای گواهی (CSR)
- ارسال درخواست به مرجع صدور گواهی
- تایید و صدور گواهی توسط CA
- نصب گواهی
مدت زمان دریافت گواهی SSL به نوع گواهی و مرجع صدور بستگی دارد.
