SSL چیست؟ ضرورت استفاده از گواهینامه SSL

SSL Secure socket level اس اس ال چیست؟ urlfa.com

‌SSL مخفف Secure Socket Layer به معني «لايه اتصال امن» و پروتکلي (مجموعه اي از قوانين) جهت برقراري ارتباطات ايمن ميان سرويس دهنده و سرويس گيرنده در اينترنت است.امروزه اينترنت به يکي از ارکان ارتباطي بين افراد و سازمان ها تبديل شده است. بسياري از ما روزانه اطلاعاتي از اين طريق می‌گيريم يا می‌فرستيم. اين اطلاعات از نظر اهميت با هم تفاوت زيادي دارند. برخي از اين اطلاعات مانند اخبار يک سايت اهميت امنيتي چنداني ندارند، اما در طرف ديگر اسناد شخصي مثل ايميل‌ها، رمز حساب هاي بانکي و … قرار دارند که دوست نداريم به دست ديگران بيافتند.
اطلاعاتي که در حالت عادي بين کاربران و دنياي اينترنت رد و بدل می‌شوند، به گونه اي هستند که يک هکر يا خراب کار حرفه اي می‌تواند آنها را ببيند و براي اهداف خود مورد سواستفاده قرار دهد. مثلا در يک خريد اينترنتي، زماني که قصد داريد براي پرداخت به حساب بانکي خود وارد شويد، سايت از شما رمزعبور می‌خواهد. حال اگر سايت مورد نظر فاقد برنامه هاي امنيتي لازم باشد، ممکن است اطلاعات شما در ميانه راه بدون آنکه متوجه شويد، دزديده شوند و اگر بد شانس باشيد چند روز بعد که به حساب تان سر می‌زنيد آن را خالي شده می‌يابيد.

اما احتمال اين اتفاق بسيار اندک است، زيرا اکثر حساب هاي بانکي و سايت هايي از اين قبيل که با اطلاعات حساس و مهم در ارتباط اند، معمولا از روش هايي براي رمزگذاري (Encrypt) اطلاعات استفاده می‌کنند. در اين حالت اگر اطلاعات در ميان راه دزديده شوند جاي نگراني نخواهد بود، زيرا شکستن رمز آنها تقريبا غيرممکن است.

اطلاعات معمولاً کي و کجا دزديده می شوند؟

زماني که آدرس يک سايت را در مرورگر وارد می‌کنيم اطلاعات بين کامپيوتر ما و کامپيوتري که سايت روي آن قرار دارد (سرور) در حال رد و بدل هستند. پس اگر بتوانيم به طريقي ارتباط بين کامپيوتر خود و کامپيوتر سرور را امن کنيم اطلاعات ما دزديده نخواهند شد.

اطلاعات در اينترنت چگونه جابجا می شوند؟

اطلاعات در اينترنت – درست مثل فرستادن يک نامه- به صورت فايل هاي متني جابجا می شوند. همان طور که يک نامه از زماني که در صندوق پست گذاشته می‌شود تا زماني که به صاحبش می‌رسد در دست افراد مختلفي قرار می‌گيرد، به همان صورت نيز اطلاعات ما توسط سيستم هاي زيادي دست به دست می‌شود تا به سايت يا شخص مورد نظر می‌رسد. اگر اطلاعات به صورت عادي فرستاده شوند، هر کدام از سيستم هاي بين راه می‌توانند آنها را ببينند. پس براي جلوگيري از خوانده شدن و سرقت احتمالي، بايد آنها را رمزگذاري کرد. با يک مثال مسئله را روشن تر می‌کنم. فرض کنيد می‌خواهيد براي نامزد خود يک نامه بنويسيد. اما دوست نداريد افراد خانواده او بتوانند آن نامه را بخوانند. يکي از راه ها اين است که نوشته ها را به رمز بنويسيد، رمزي که فقط نامزدتان از آن سر در بياورد! در اينترنت هم براي اينکه هکرها نتوانند اطلاعات را بفهمند، آنها را به رمز در می‌آورند. يکي از بهترين و متداول ترين روش‌هاي رمز گذاري اينترنتي، استفاده از پروتکل اس ال ال است.

اس اس ال چيست؟

از اين پروتکل براي امن کردن پروتکل هاي غيرامن نظيرHTTP ،LDAP ، IMAP و … استفاده می‌شود. بر اين اساس يکسري الگوريتم هاي رمزنگاري بر روي داده هاي خام که قرار است از يک کانال ارتباطي غيرامن مثل اينترنت عبور کنند، اعمال میشود و محرمانه ماندن داده‌ها را در طول انتقال تضمين می‌کند.

به بيان ديگر شرکتي که صلاحيت صدور و اعطاء گواهي هاي ديجيتال اس اس ال را دارد، براي هر کدام از دو طرفي که قرار است ارتباطات ميان شبکه‌اي امن داشته باشند، گواهي‌هاي مخصوص سرويس دهنده و سرويس گيرنده را صادر می‌کند و با مکانيزم هاي احراز هويت خاص خود، هويت هر کدام از طرفين را براي طرف مقابل تأييد می‌کند. البته علاوه بر اين تضمين می‌کند، اگر اطلاعات حين انتقال به سرقت رفت، براي رباينده قابل درک و استفاده نباشد که اين کار را به کمک الگوريتم هاي رمزنگاري و کليدهاي رمزنگاري نامتقارن و متقارن انجام می‌دهد.

ملزومات ارتباط بر پايه اس اس ال

براي داشتن ارتباطات امن مبتني بر اس اس ال عموماً به دو نوع گواهي ديجيتال اس اس ال، يکي براي سرويس دهنده و ديگري براي سرويس گيرنده و يک مرکز صدور و اعطاي گواهينامه ديجيتال (Certificate authorities) نياز است. وظيفه CA اين است که هويت طرفين ارتباط، نشاني ها، حساب هاي بانکي و تاريخ انقضاي گواهينامه را بداند و براساس آن ها هويت ها را تعيين نمايد. رمزنگاري
رمزنگاري (Cryptography) علم به رمز در آوردن (encryption) اطلاعات است. توضيح روش هاي بسيار پيچيده اي که امروزه براي رمزنگاري استفاده می‌‌شود از حوصله اين مطلب خارج است، اما براي رفع ابهام، در زير به يکي از ساده ترين روش هاي رمزنگاري می‌پردازيم:
می‌دانيم که هر حرف در الفبا جايگاهي دارد. مثلا حرف «الف قبل از ب» و «حرف م قبل از ن» قرار دارد.
حال، اگر بخواهيد يک جمله را به رمز در آوريد. در ساده ترين شکل ممکن، هر حرف را با حرف بعدي خود در الفبا جايگزين می‌کنيد.
يعني به جاي «الف» حرف «ب»، به جاي «ب» حرف «پ»، … ، به جاي «ه» حرف «ي» و به جاي حرف «ي» حرف «الف» را می‌گذاريد.
با اين کار مي توان جمله «بابا آب داد» را به جمله بي معني «پبپب بپ ذبذ» تبديل کرد که اگر فردي کليد رمز را نداشته باشد، به هيچ وجه از آن سر در نمي آورد.

اس اس ال چگونه کار می کند؟

اس اس ال در واقع پروتکلي است که در آن ارتباطات بوسيله يک کليد، رمزگذاري (Encryption) می‌شوند. زماني که قرار است يکسري اطلاعات را به صورت اس اس ال به يک سايت که سرور (server) اش گواهي نامه اس اس ال را دارد (در آدرس سايت https است) ارسال شود. ابتدا بايد از يک کليد به عنوان قالبي براي به رمز در آوردن اطلاعات بين خدمات گيرنده (کاربر) و خدمات دهنده (سرور) استفاده شود. براي ساخت اين کليد نياز به چند مرحله هماهنگي به شرح زير است.

1. وقتي سروري بخواهد پروتکل اس اس ال را فعال کند. ابتدا يک کليد عمومی (Public Key) می‌سازد.
2. سپس کليد عمومی را همراه با يک درخواست گواهي نامه اس اس ال به يکي از صادرکنندگان اين گواهي نامه ها مثل وريساين (Verisign) می‌فرستد.
3. وريساين نيز ابتدا مشخصات و ميزان قابل اعتماد بودن و امنيت سرور را ارزيابي کرده و کليد عمومي را دوباره رمزگذاري می‌کند و براي سرور می‌فرستد تا در انتقال اطلاعات خود از آن استفاده کند. به کليد جديد کليد امنيتي (private key) می‌گويند.
4. حال هر زمان که کاربر بخواهد از طريق پروتکل اس اس ال به اين سايت دست يابد، ابتدا کامپيوتر کاربر يک کليد عمومي براي سرور می‌فرستد (هر کامپيوتري کليد مخصوص به خود را دارد).
5. سرور نيز اين کليد عمومی را با کليد امنيتي خود مخلوط کرده و از آن کليد جديدي می‌سازد. سپس آن را به کامپيوتر کاربر میفرستد.
6. از اين به بعد تمامی اطلاعاتي که بين کاربر و سرور جابجا می‌شوند با اين کليد جديد رمز گذاري می‌شوند.

واضح است که نيازي به دانستن تمام اين جزييات نيست و ما جهت رفع کنجکاوي آنها را آورده ايم. فقط اين را بدانيد که با استفاده از اين سرويس اطلاعات کاملا رمزنگاري و باز کردن آنها تقريبا غير ممکن است. تنها وظيفه شما به عنوان کاربر اين است که از اين امکانات استفاده کنيد و پروتکل اس اس ال را در مرورگر، ايميل و ديگر حساب هاي خود که سرور آن به شما اين امکان را می‌دهد، فعال کنيد.

اگر هم يک مدير سرور هستيد، سعي کنيد گواهي نامه پروتکل اس اس ال را از صادرکنندگان آن مثل Verisign و Thawte خريداري و در اختيار بازديدکنندگان خود بگذاريد.

چگونه مي توان مطمئن شد، يک سايت از اس اس ال استفاده می کند؟

اين بخش بسيار ساده اما مهم و حياتي است. براي اين کار ابتدا وارد آن سايت شويد. زماني که صفحه به طور کامل بارگذاري (load) شد، به ابتداي آدرس آن نگاه کنيد. می‌بايست به جاي http حروف https نوشته شده باشد (منظور از حرف s در پايان http عبارت secure است). البته در اين حالت يک علامت قفل هم در مرورگر ديده می‌شود. جاي اين قفل در مرورگرهاي مختلف متفاوت است. در فايرفاکس و اينترنت اکسپلورر در پايين و سمت راست صفحه، در نوار وضعيت (status bar) و در مرورگرهاي سافاري، کروم و اپرا در سمت راست آدرس ديده می‌شود.

نکته جالب در خصوص اين قفل کوچک اين است که با دو بار کليک کردن بر روي آن، می‌توانيد مشخصات کامل گواهي اس اس ال سايت مورد نظر را ببينيد. مهم‌ترين نکته در خصوص اين اطلاعات تاريخ خريد و انقضاي اين گواهينامه است که بايد به آن توجه داشته باشيد.
حتي اگر اطلاعات چندان مهمی را رد و بدل نمی‌کنيد، پيشنهاد می‌کنيم که از اس اس ال استفاده کنيد. وقتي سرويسي با امنيت بالا و رايگان در اختيارتان قرار می‌گيرد، چرا از آن بهره نبريد؟ در زير چند نمونه از روش هاي استفاده از اين پروتکل را می‌توانيد مطالعه کنيد.

مرورگر

در فايرفاکس 3 پروتکل اس اس ال به صورت پيش فرض فعال است. البته براي فعال و غير فعال کردن اين امکان مي‌توانيد به روش زير اقدام کنيد:

از منوي Tools فايرفاکس، گزينه Options را انتخاب کنيد. در پنجره باز شده از سربرگ Advanced بخش Encryption را باز کنيد. می‌بينيد که به صورت پيش فرض Use SSL 3.0 تيک خورده است.

Firefox > Tools > Options > Advanced > Encryption

چگونه اس اس ال ايميل را فعال کنيم؟

اگر خواهان ارتباط ايميلي امني هستيد، توصيه می‌کنيم از ايميل شرکت گوگل که به اختصار جيميل ناميده می‌شود، استفاده کنيد. در پايين اطلاعات لازم براي فعال کردن پروتکل اس اس ال در جيميل آورده شده است.

به جيميل خود وارد شويد و در کادر بالا در سمت راست دکمه Setting را پيدا کنيد (در سمت چپ کلمه Setting، نام جيميل شما و در سمت راست آن کلمه Help نوشته شده است.). روي Setting کليک کنيد.

حساب هاي بانکي

در ايران همه بانک هاي ارائه دهنده خدمات بانکداري الکترونيک، از پروتکل اس اس ال استفاده می‌کنند. گفتيم که براي اطمينان از اين موضوع کافي است در صفحات خدمات اينترنتي بانک خود که اطلاعات مهم (مثل حساب کاربري يا رمز ورود) را درج و ارسال می‌کنيد، به آدرس نگاه کنيد. بايد https در ابتداي آدرس وجود داشته باشد. علاوه براين توصيه می‌شود با مراجعه به بانک تان، نحوه استفاده امن از خدمات اينترنتي شان را سؤال کنيد.

در اينجا نگاهي اجمالي به وضعيت پروتکل اس اس ال در بانک ها ايران می‌اندازيم.

بانک هاي صادرات، ملي، ملت، تجارت، اقتصاد نوين، سامان، پارسيان، کشاورزي، صنعت و معدن، توسعه صادرات، پاسارگاد، سرمايه و پست بانک در سيستم خدمات اينترنتي خود از پروتکل اس اس ال استفاده می‌کنند.

البته بانکداري الکترونيک در ايران چندان هم امن نيست، براي مثال هنگام تأليف اين مطلب ما در استفاده از سيستم بانک داري الکترونيک بانک هاي سپه و مسکن با SSL هاي منقضي شده روبرو شديم.

لازم به ذکر است که هدف ما از بردن نام بانک ها فقط کمک به اگاهي و افزايش امنيت خوانندگان گرامی است. تا توجه بيشتري به امنيت ارتباطات خود داشته باشند.

به طور خلاصه هميشه به اين موضوع توجه داشته باشيد که ارتباطات شما در اينترنت توسط هکرها و کلاهبرداران قابل خواندن و سرقت است. مگر اينکه به صورت امن و رمزنگاري شده منتقل شوند.

بسيار مهم و حياتي است که هنگام اتصال به سرويس هاي مهم مانند حساب‌هاي بانکي، ايميل و اکانت هاي مهم تان از SSL استفاده کنيد. بنابراي هميشه به ابتداي آدرس اين سايت‌ها نگاه کنيد و دقت کنيد که روي حالتhttps باشند. در غير اين صورت شما نمیتوانيد از امنيت ارتباطات خود اطمينان داشته باشيد.

کروم Chrome و SSL

امنیت برای گوگل به‌عنوان یک غول جستجو و شرکتی که برای بقای خود به‌شدت به اینترنت وابسته است اهمیت فراوانی دارد؛ در نتیجه، این شرکت از نسخه 62 مرورگر خود موسوم به «کروم» برای همه وب‌سایت‌هایی که بدون داشتن گواهینامه SSL از هر نوعی از فرم‌های ثبت اطلاعات استفاده می‌کنند، هشداری را مبنی بر ناامن بودن آن‌ها برای کاربر نمایش می‌دهد. توجه داشته باشید که بر طبق نتایج یک تحقیق، 85 درصد از کاربران به بازدید از وب‌سایتی که امن نیست ادامه نمی‌دهند. بنابراین باید دقت کنید که اگر در وب‌سایتتان از هر نوعی از فرم استفاده می‌کنید، حتی فرم ثبت ایمیل یا فرم جستجو، باید گواهی SSL معتبر داشته باشید تا مرورگر کروم وب‌سایت شما را بدون مشکل برای کاربر نمایش بدهد. نکته دیگری که باید به آن توجه داشته باشید این است که اگر بخشی از محتوای وب‌سایتتان، مثلاً تصاویر یا ویدئوهای آن را در آدرس یا پلتفرم دیگری بارگذاری کرده‌اید، آن منبع نیز باید گواهی SSL داشته باشد و گواهی وب‌سایت شما قابل تسری به آن نیست. به‌طورکلی، فارغ از اینکه در کدام صفحه یا صفحات وب‌سایت شما فرم وجود دارد، بهتر است که گواهی SSL را برای کل سایتتان فعال کنید؛ چرا که وجود این اعتبارنامه می‌تواند برای سئوی شما نیز مزایایی داشته باشد که در قسمت بعد به شرح آن می‌پردازیم.

مزایای SSL

امروزه وجود SSL برای هر وب‌سایت و وبلاگ و به‌خصوص وب‌سایت‌های شرکتی از حالت گزینه درآمده و به یک ضرورت تبدیل شده است؛ چرا که مزایای غیرقابل انکاری دارد که اهمیت آن‌ها بر کسی پوشیده نیست، از جمله:

1. SSL از اطلاعات محافظت می‌کند

کار اصلی گواهی SSL حفاظت از اطلاعاتی است که در ارتباط بین کاربر با سرور رد و بدل می‌شود. با نصب SSL هر بیت از داده‌ها رمزگذاری خواهد شد؛ به زبان ساده، اطلاعات قفل می‌شوند و کلید بازگشایی این قفل فقط در اختیار دریافت کننده مورد نظر قرار دارد.SSL علاوه بر محافظت از اطلاعات حساسی مانند رمزهای عبور و اطلاعات کارت‌های بانکی، در مقابله با لشکر هکرها و خرابکاران اینترنتی نیز به شما کمک می‌کند. ازآنجایی‌که داده‌ها توسط SSL به یک فرمت غیرقابل خواندن تبدیل می‌شوند، مهارت‌های هکرها در برابر فناوری رمزگذاری بی‌همتای SSL به یک شمشیر بی لبه می‌ماند.

2. SSL هویت شما را تأیید می‌کند

دومین وظیفه اصلی گواهی SSL، تأیید اعتبار وب‌سایت است. تردیدی وجود ندارد که حجم تقلب و کلاه‌برداری در اینترنت به‌طور روزافزونی در حال افزایش است و بسیاری از مردم چه از نظر مالی و چه در ابعاد دیگر، با استفاده کردن از وب‌سایت‌های تقلبی متحمل خسارت‌های جبران‌ناپذیری شده و می‌شوند. هنگامی‌که می‌خواهید گواهی SSL نصب کنید باید وارد یک فرآیند اعتبارسنجی شوید که طی آن، بسته به نوع گواهینامه، هویت شما و سازمان متبوعتان سنجیده می‌شود. پس از تأیید اعتبار، وب‌سایت شما گواهینامه‌ای دریافت می‌کند که کاربر با توجه به آن می‌تواند مطمئن باشد که با همان کسی در تعامل است که باید باشد. البته توجه داشته باشید که همان‌طور که ذکر شد، هویت سنجی بسته به نوع گواهینامه‌ای که به دنبال دریافت آن هستید متفاوت خواهد بود؛ به‌عنوان مثال، برخی از صادرکنندگان گواهینامه‌های SSL، از جمله وب‌سایت‌های رایگانی مانند Let’s Encrypt زیاد در این رابطه مته به خشخاش نمی‌گذارند. لذا به ‌عنوان صاحب یک کسب‌وکار معتبر پیشنهاد می‌شود که از گواهینامه‌های معتبرتری استفاده کنید که هویت شما را نیز تأیید می‌کنند.

3. SSL پیش‌نیاز اصلی دریافت نماد اعتماد دوستاره است

یکی از روش‌های شناخته‌شده برای تأیید اعتبار صاحبان کسب‌وکارها و محل کارشان داشتن نماد اعتماد است. در واقع، امروزه اگر وب‌سایت کسب‌وکار شما نماد اعتماد نداشته باشد هیچ‌کس به آن اعتماد نخواهد کرد. در حال حاضر، نماد اعتماد در دو سطح یک ستاره و دوستاره اعطا می‌شود که تفاوت عمده این دو در ضرورت وجود یک گواهی SSL معتبر یک‌ساله برای دریافت نماد دوستاره است. دقت داشته باشید که با گواهی‌های رایگان نمی‌توانید نماد دوستاره دریافت کنید.

4. SSL باعث تقویت حس اعتماد مشتری می‌شود

امروزه مشتریانی که حتی اندکی از دنیای وب و مخاطرات آن آگاهند ابداً به وب‌سایت‌هایی که گواهی SSL ندارند اعتماد نمی‌کنند؛ چرا که علاوه بر مشکلات مرتبط با سرقت و افشای اطلاعات شخصی و بانکی که پتانسیل روی دادن آن‌ها برای این‌گونه وب‌سایت‌ها وجود دارد، نداشتن گواهی SSL به نوعی به معنای بی‌مبالاتی صاحب وب‌سایت و کسب‌وکار مربوطه نیز خواهد بود. طبیعتاً با توجه به رقابتی که امروزه در دنیای کسب‌وکار موج می‌زند، کسی از فروشنده‌ای که برای امنیت کسب‌وکار و مشتریان خود اهمیتی قائل نیست خرید نخواهد کرد.

5. SSL باعث بهبود رتبه شما در نتایج موتورهای جستجو می‌شود

آیا SSL برای سئو نیز مفید است؟ پاسخ به این سؤال مثبت است. علیرغم اینکه هدف از SSL ایمن‌سازی تبادل اطلاعات بین بازدیدکننده و وب‌سایت است، اما وجود گواهی SSL به‌عنوان یک امتیاز در مبحث سئو نیز محسوب می‌شود. بر طبق نتایج بررسی‌های تجربی انجام‌گرفته، یکی از مؤلفه‌های تأثیرگذار در الگوریتم رتبه‌بندی گوگل، وجود SSL است.علاوه بر این، گوگل نیز رسماً اعلام کرده است که اگر دو وب‌سایت از همه نظر با هم برابر باشند، اما یکی از آن‌ها گواهی SSL داشته باشد، احتمالاً در نتایج جستجو برای آن نسبت به دیگری اولویت قائل خواهد شد. در نتیجه، فعال‌سازی SSL در وب‌سایت و برای تمامی محتواهای داخل و خارج از آن به نفع سئوی سایت خواهد بود.

وردپرس WordPress و SSL: معرفی افزونه‌هایی برای نصب و مدیریت SSL در وردپرس

اگر برای مدیریت محتوای وب‌سایت خود از سیستم مدیریت محتوای وردپرس استفاده می‌کنید، افزونه‌های رایگان زیر می‌توانند در نصب و مدیریت SSL به شما کمک کنند:• Really Simple SSL: این افزونه نصب گواهی SSL خریداری شده را آسان می‌کند. Insecure Content Fixer: معمولاً کار شما پس از خریداری و نصب گواهی SSL کاملاً تمام نمی‌شود. اگر وب‌سایتتان حاوی ارجاعاتی به آدرس‌های http باشد که از طریق کدهای استاتیک ایجاد شده‌اند، هیچ بعید نیست که برخی از فایل‌ها همچنان از طریق آدرس http در صفحه بارگذاری شوند. در اینصورت پس از بارگذاری صفحه در کنار آدرس آن یک علامت هشدار درج خواهد شد. این افزونه در پیدا کردن و رفع چنین مشکلاتی به شما کمک می‌کند.• WP Force SSL: پس از آنکه گواهی را خریداری و نصب و مشکلات احتمالی را رفع و رجوع کردید، باید کاری کنید که کاربرانی که از لینک‌های حاوی http استفاده می‌کنند نیز به آدرس https انتقال داده شوند. این افزونه کل ترافیکی که به سمت وب‌سایت شما می‌آید را به آدرس https آن ارجاع می‌دهد تا همه کاربران فقط از حالت امن وب‌سایت استفاده کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *