SSL چیست؟ http در مقابل https
لایه سوکت ایمن (SSL) یک پروتکل امنیتی است که حریم خصوصی، احراز هویت و یکپارچگی ارتباطات اینترنتی را فراهم میکند. SSL در نهایت به امنیت لایه حمل و نقل (TLS) تبدیل شد.
اهداف یادگیری
پس از خواندن این مطلب شما قادر خواهید بود:
- SSL را تعریف کنید
- تفاوت بین SSL و TLS را درک کنید
- گواهینامههای SSL را درک کنید
SSL چیست؟
SSL یا لایه سوکت ایمن، یک پروتکل امنیتی اینترنت مبتنی بر رمزگذاری است. اولین بار توسط Netscape در سال 1995 با هدف اطمینان از حفظ حریم خصوصی، احراز هویت و یکپارچگی دادهها در ارتباطات اینترنتی توسعه یافت. SSL پیشینه رمزگذاری مدرن TLS است که امروزه استفاده میشود.
وبسایتی که SSL/TLS را پیادهسازی میکند به جای « HTTP » در URL خود « HTTPS » دارد.
SSL/TLS چگونه کار میکند؟
- به منظور ارائه درجه بالایی از حریم خصوصی، SSL دادههایی را که در سراسر وب منتقل میشوند رمزگذاری میکند. این بدان معنی است که هر کسی که سعی در رهگیری این دادهها داشته باشد، تنها ترکیبی از کاراکترهای مخدوش را میبیند که رمزگشایی آن تقریباً غیرممکن است.
- SSL یک فرآیند احراز هویت به نام “دست دادن” بین دو دستگاه ارتباطی را آغاز میکند تا اطمینان حاصل کند که هر دو دستگاه واقعاً همان چیزی هستند که ادعا میکنند.
- SSL همچنین دادهها را به صورت دیجیتالی امضا میکند تا یکپارچگی دادهها را فراهم کند و تأیید میکند که دادهها قبل از رسیدن به گیرنده مورد نظر خود دستکاری نشدهاند.
چندین نسخه از SSL وجود داشته است که هر کدام امن تر از قبلی است. در سال 1999 SSL به روز شد تا به TLS تبدیل شود.
چرا SSL/TLS مهم است؟
در اصل، دادهها در وب به صورت متن ساده منتقل میشد که هر کسی میتوانست آن را بخواند. به عنوان مثال، اگر یک مصرف کننده از یک وبسایت خرید بازدید کند، سفارش دهد و شماره کارت اعتباری خود را در وبسایت وارد کند، آن شماره کارت اعتباری بدون پنهان کردن در سراسر اینترنت حرکت میکند.
SSL برای اصلاح این مشکل و محافظت از حریم خصوصی کاربر ایجاد شده است. با رمزگذاری هر دادهای که بین یک کاربر و یک وب سرور قرار میگیرد، SSL تضمین میکند که هر کسی که دادهها را رهگیری میکند، فقط میتواند یک کد درهم از کاراکترها را ببیند. شماره کارت اعتباری مصرف کننده اکنون ایمن است و فقط برای وبسایت خریدی که آن را وارد کرده است قابل مشاهده است.
SSL همچنین انواع خاصی از حملات سایبری را متوقف میکند: سرورهای وب را احراز هویت میکند که مهم است زیرا مهاجمان اغلب سعی میکنند وبسایتهای جعلی را برای فریب کاربران و سرقت دادهها راهاندازی کنند. همچنین از دستکاری اطلاعات در حین انتقال، مانند مهر و موم ضد دستکاری روی ظرف دارو، از مهاجمان جلوگیری میکند.
آیا SSL و TLS یکسان هستند؟
SSL پیشینه مستقیم پروتکل دیگری به نام TLS (Transport Layer Security) است. در سال 1999 گروه وظیفه مهندسی اینترنت (IETF) به روز رسانی SSL را پیشنهاد کرد. از آنجایی که این به روز رسانی توسط IETF در حال توسعه بود و Netscape دیگر درگیر آن نبود، نام آن به TLS تغییر یافت. تفاوت بین نسخه نهایی SSL (3.0) و اولین نسخه TLS زیاد نیست. تغییر نام برای نشان دادن تغییر در مالکیت اعمال شد.
از آنجایی که آنها بسیار به هم مرتبط هستند، این دو اصطلاح اغلب به جای یکدیگر و اشتباه گرفته میشوند. برخی از افراد هنوز از SSL برای اشاره به TLS استفاده میکنند، برخی دیگر از اصطلاح “رمزگذاری SSL/TLS” استفاده میکنند زیرا SSL هنوز تشخیص نام زیادی دارد.
آیا SSL هنوز به روز است؟
SSL از زمان SSL 3.0 در سال 1996 به روز نشده است و اکنون منسوخ شده است. چندین آسیب پذیری شناخته شده در پروتکل SSL وجود دارد و کارشناسان امنیتی توصیه میکنند استفاده از آن را متوقف کنید. در واقع، اکثر مرورگرهای وب مدرن دیگر اصلاً از SSL پشتیبانی نمیکنند.
TLS یک پروتکل رمزگذاری به روز است که هنوز به صورت آنلاین در حال پیاده سازی است، حتی اگر بسیاری از مردم هنوز از آن به عنوان “رمزگذاری SSL” یاد میکنند. این میتواند منبع سردرگمی برای افرادی باشد که برای راه حلهای امنیتی خرید میکنند. حقیقت این است که هر فروشندهای که این روزها “SSL” را ارائه میدهد تقریباً مطمئناً محافظت TLS را ارائه میدهد که بیش از 20 سال است که یک استاندارد صنعتی بوده است. اما از آنجایی که بسیاری از افراد هنوز در جستجوی “محافظت SSL” هستند، این اصطلاح همچنان در بسیاری از صفحات محصول به طور برجسته به چشم میخورد.
گواهی SSL چیست؟
SSL را فقط میتوان توسط وبسایتهایی پیاده سازی کرد که دارای گواهینامه SSL هستند (از لحاظ فنی “گواهی TLS”). گواهی SSL مانند یک کارت شناسایی یا نشانی است که ثابت میکند کسی همان کسی است که میگوید. گواهینامههای SSL توسط سرور وبسایت یا برنامه در وب ذخیره و نمایش داده میشوند.
یکی از مهم ترین اطلاعات در گواهی SSL، کلید عمومی وبسایت است. کلید عمومی رمزگذاری و احراز هویت را امکان پذیر میکند. دستگاه کاربر کلید عمومی را مشاهده میکند و از آن برای ایجاد کلیدهای رمزگذاری ایمن با سرور وب استفاده میکند. در همین حال وب سرور یک کلید خصوصی نیز دارد که مخفی نگه داشته میشود. کلید خصوصی دادههای رمزگذاری شده با کلید عمومی را رمزگشایی میکند.
مقامات صدور گواهینامه (CA) مسئول صدور گواهینامههای SSL هستند.
انواع گواهینامههای SSL چیست؟
انواع مختلفی از گواهینامههای SSL وجود دارد. بسته به نوع، یک گواهی میتواند برای یک وبسایت یا چندین وبسایت اعمال شود:
- یک دامنه: یک گواهی SSL تک دامنه فقط برای یک دامنه اعمال میشود («دامنه» نام یک وبسایت است، مانند techyaran.ir).
- Wildcard: مانند گواهینامه تک دامنه، گواهی SSL با حروف عام فقط برای یک دامنه اعمال میشود. با این حال، شامل زیر دامنههای آن دامنه نیز میشود. به عنوان مثال، یک گواهی نامه عام میتواند www.google.com، cloud.google.com و developers.google.com را پوشش دهد، در حالی که یک گواهی نامه تک دامنه میتواند فقط اولین را پوشش دهد.
- چند دامنه: همانطور که از نام آن مشخص است، گواهینامههای SSL چند دامنه میتوانند برای چندین دامنه غیر مرتبط اعمال شوند.
گواهینامههای SSL نیز دارای سطوح اعتبار سنجی مختلفی هستند. سطح اعتبار سنجی مانند یک بررسی پس زمینه است و بسته به دقت بررسی، سطح تغییر میکند.
- اعتبار سنجی دامنه: این سخت ترین سطح اعتبارسنجی و ارزان ترین است. تنها کاری که یک کسب و کار باید انجام دهد این است که ثابت کند دامنه را کنترل میکند.
- اعتبار سنجی سازمان: این یک فرآیند عملی تر است: CA مستقیماً با شخص یا کسب و کاری که درخواست گواهی میکند تماس میگیرد. این گواهیها برای کاربران قابل اعتمادتر هستند.
- اعتبار سنجی توسعه یافته: این امر به بررسی پیشینه کامل یک سازمان قبل از صدور گواهی SSL نیاز دارد.
چگونه یک کسب و کار میتواند گواهی SSL دریافت کند؟
Cloudflare گواهینامههای SSL رایگان را برای هر کسب و کاری ارائه میدهد. یک وبسایت محافظت شده توسط Cloudflare میتواند SSL را با چند کلیک فعال کندوبسایتها ممکن است نیاز به تنظیم گواهی SSL روی سرور اصلی خود نیز داشته باشند: این مطلب دستورالعملهای بیشتری دارد.
>