همه چیز درباله گواهی SSL و انواع آن

نسرین ذاکریمقالهSSL امنیت وب گواهی امنیتی۱۳۹۷-۰۲-۱۳۱۳۹۷-۰۵-۱۴

ارسال شده در ۱۳-۰۲-۱۳۹۷ در ۱۱:۵۰ ق.ظ۱۳۹۷-۰۵-۱۴

گواهی SSL یک استاندارد وب برای کد کردن اطلاعات بین کاربر و وبسایت است. یک اتصال رمز نگاری نشده ایمن نیست. آیا این موضوع صحت دارد؟ این گواهینامه از کجا آمده؟ چه تفاوتی بین SSL و TLS وجود دارد؟ و در هر حال گواهینامه ی دیجیتال چه کاری را برای ایمن بودن انجام می‌دهد؟

گواهی SSL چیبست؟ در این پست ما سعی خواهیم کرد، حداقل به برخی از پرسش‌های مرتبط پاسخ بدهیم اما اجازه بدهید نگاهی به HTTP-HTTPS بیاندازیم.

انتقال داده‌ها با HTTP-HTTPS

هنگامیکه بازدید کنندگان آنلاین، وب سایتی را می‌خوانند یا وارد داده‌های یک وب سایت می‌شوند، اطلاعاتی بین رایانه‌ی خود و سروری که در آن سایت میزبان شده است رد و بدل می‌شود. این فرایند توسط یک پروتکل انتقال داده به HTTP (Hypertext transfer protocol) انجام می‌شود.

HTTP همچنین یک پروتکل جانبی به نام HTTPS (و یا گواهی SSL) را به همراه دارد. این نسخه‌ی امن انتقال اطلاعات بین میزبان (سرویس دهنده) و سرویس گیرنده را در یک فرم رمزنگاری شده انجام می‌دهد، بدان معنا که اطلاعاتی که بین سرور و کاربر (سرویس گیرنده) رد و بدل می‌شود فقط در دسترس آن دو می‌باشد و هیچ شخص ثالثی در این میان وجود ندارد. برای مثال (ارایه دهنده‌ی Wi-Fi و یا مدیر شبکه).

داده‌های ارسال شده از سوی سرور میزبان با پروتکل رمز نگاری خود، رمز گذاری شده است. این رمز نگاری داده‌ها به وسیله‌ی SSL صورت می‌گیرد. نخستین پروتکل برای این منظور در نظر گرفته شده است.

نسخه‌های متعددی از پروتکل SSL وجود دارند که همه‌ی آنها در برخی مواقع با مشکلات امنیتی روبرو می‌شوند. نسخه‌ی اصلاح شده و تغییر نام داده شده که امروزه مورد استفاده قرار میگیرد، (Transport Layer Security) TLS نامیده می‌شود.

با این حال نصب SSL ضروری تلقی می‌شود و نسخه‌های قدیمی آن هم هنوز با همان اسم و نشان قبلی مشهود است. برای رمز نگاری یک وبسایت باید گواهینامه‌ایی که به امضای دیجیتال معروف است وجود داشته باشد.این امضای دیجیتال یا گواهینامه بدین منظور است که نشان می‌دهد که مکانیسم رمز نگاری قابل اعتماد بوده و با پروتکل مطابقت داشته است.

علاوه بر نشانگر حرف S در HTTPS نشانگر دیگری وجود دارد که نمایانگر ایمن بودن و قابل اعتماد بودن گواهینامه‌ی مرورگر است .سایت‌هایی که دارای چنین گواهینامه‌ایی هستند با (یک شکل سپر مانند که در برخی از مرورگرها وجود دارد) یک قفل کوچک سبز رنگ به همراه کلمه‌ی امن SECURE در کنار نام آن شرکت در نوار آدرس مرورگر دیده می‌شوند. البته این گواهینامه در انواع مختلفی ارائه می‌شود که تنها در نوع EV نام شرکت نمایش داده می‌شود.

روش دریافت گواهی SSL توسط سایت:

دو روش برای دریافت گواهینامه‌ی معتبر وجود دارد.

۱- وجود یک وب مستر (طراح سایت و یا مدیر محتوای سایت) است که می‌تواند امضای دیجیتال را انجام دهد و کلید های رمز نگاری را ارایه دهد. که به چنین گواهی نامه هایی Self-Singed می‌گویند. هنگامی که تلاش برای دستیابی (ورود) به یک سایت صورت می‌گیرد، کاربران با هشدار پیام گواهینامه نامعتبر است مواجه می‌شوند. در چنین حالتی پنجره‌ی مرورگر به همراه کلمه‌ی Secure به رنگ قرمز در می آید و یا حرف s در https (یا تمامی حروف آن) به جای رنگ سبز به رنگ قرمز تغییر رنگ می‌دهند. این تغییرات رنگ در نسخه‌های مختلف مرورگر مشهود است.

۲- بهترین راه خریداری گواهینامه های امضا شده از یک منبع (CA) قابل اعتماد است. این منبع قابل اعتماد به بررسی اسناد و مدارک صاحب سایت و همچنین حق مالکیت دامنه، می‌پردازد. منبع یک گواهینامه‌ی معتبرباید متعلق به یک شرکت ثبت شده‌ی قانونی باشد. اگر چندین CAs به عنوان منبع قابل اعتماد وجود داشته باشند، شما می‌توانید طبق سهام آبی) طبق تعریف بازار بورس، به انواعی از سهام ابر شرکتها گفته می‌شود که از نظر کیفیت، اطمینان، و قابلیت سودآوری شهرتی ملی داشته باشند.) تعریف شده آنها را انگشت شمار کنید.

شهرت CAتعیین کننده‌ی میزان اعتماد توزیع کنندگان مرورگر و نمایش سایت دارای گواهینامه‌ی معتبر است. بهای یک گواهینامه بستگی به نوع و مدت اعتبار و شهرت CAs دارد.

انواع متعدد گواهی نامه SSL:

گواهینامه‌های امضا شده توسط CA، براساس (مدت) اعتبار مختلف گواهینامه، بها و یا اینکه چه کسی و یا چگونه آنها را دریافت می‌کند طبقه بندی می‌شوند.

گواهی SSL نوع اعتبار سنجی دامنه

برای بدست آوردن گواهی یک دامنه‌ی معتبر موجودیت دامنه درخواست کننده باید ثبت شود. این گواهی شرایط اتصال ایمن را فراهم می‌کند. اما این شرایط اطلاعات مربوط به سازمان، و یا اسنادی برای انتشار آن نیست. دریافت چنین گواهی، بیشتر از چند دقیقه به طول نمی‌انجامد. این نوع گواهینامه را DV می‌گویند.

گواهی SSL نوع اعتبار سنجی سازمانی

این نوع گواهینامه سطح اعتباری بسیار بالاتری را دارد که نه تنها نشان دهنده‌ی دامنه‌ با اتصال ایمن است بلکه حقیقتاً اعتبار سنجی سازمانی گواهینامه را مشخص می‌کند. بررسی تمامی مدارک و صدور مجوز آنها، چند روزی زمان می‌برد. اگرمرورگر سایت دارای گواهینامه DV یا OV باشد قفل مرورگر به همراه کلمه‌ی SRCURE و یا حروف HTTPS به رنگ خاکستری و یا سبز درمی آید.

گواهی SSL نوع اعتبار سنجی تمدید شده

در آخر، ما گواهینامه‌ایی با اعتبار و ارزشی بالاتر را در اختیار داریم که بسیار شبیه به گواهینامه‌ی OV است و همچون برای آن تنها سازمان‌های بزرگ و قانونی هستند که می‌توانند تمامی مدارک لازم برای صدور گواهینامه را فراهم کنند و نام و مکان آن سازمان‌ها در نوار آدرس سایت به رنگ سبز نمایش داده شود. گواهینامه‌های EV برای مرورگرها معتبر است و نسبت به سایر، گران تر هستند. (اعتبار این گواهی نامه قابل تمدید و یا اکثراً طولانی مدت است.) و برای بار دوم می‌توان گفت که شما می‌توانید با کلیک کردن بروی اسم سازمان و یا کلمه‌ی SECURE، اطلاعاتی را در رابطه با گواهینامه (همچون: چه کسی و چه زمانی آن را منتشر کرده، مدت اعتبار آن چند روزه و یا بهای پرداختی آن چقدر است) بدست بیاورید.

مشکلات گواهی SSL:

امنیت و حفاظت از داده های کاربری، اصول کلیدی هستند که توسعه دهندگان بزرگ مرورگرها مانند، گوگل و موزیلا از آن استفاده می‌کنند. طبق یکی از مطالعات گوگل مشخص شده است که یکی از بزرگترین شرکتها (Symantec) در سال گذشته بیش از ۳۰۰۰۰ گواهی تمدید اعتبار سنجی EV نادرست صادر کرده است. شرکت گوگل هم در پاییز سال ۲۰۱۷ (برای مجازات) این شرکت بابت ایجاد بی اعتمادی تدریجی به گواهی SSL آن را اعلام کرد تا مانع دسترسی کاربران به چنین صفحاتی شوند. حرکت موثر گوگل وب سایت‌ها را مجبور به خرید گواهینامه‌های معتبر می‌کند.

بر این اساس طبق این رویه، تقاضا برای خدمات CA افزایش پیدا کرد و باعث شد تا مرحله ی چک کردن اسنادی که تاثیر منفی روی کنترل کیفیت داشت سرعت ببخشد. امروزه ممکن است برخی از گواهینامه‌های صادر شده، قابل اعتماد نباشند. شرکت گوگل اظهار داشت که همه ی گواهینامه ها برای بررسی کامل، از جانب سیستم و استانداردهای جهانی باید تایید شوند. شرکت موزیلا هم قصد دارد برنامه های تایید گواهینامه ی خود را مستحکم کند.

با توجه به مواردی که ذکر شد، هنوز نمیتوان از صحت گواهینامه و صادر کننده‌ی آن اطمینان پیدا کرد. حتی در مورد گواهینامه های EV که با تمامی الزامات امنیتی مطابقت دارد نیز متن سبز رنگ، بدون هیچ قید و شرطی نمی‌تواند قابل اعتماد باشد.

وضعیت گواهینامه‌های SSL نوع EV بس اسفناک است. وبسایت PHISHER می‌تواند برای مثال اسامی برخی از شرکتها را به طرز مشکوکی شبیه به موارد مشابه آن شرکت ثبت کند تا بتواند در قبال آن گواهینامه EV را از این سایت دریافت کند. به این طریق که اسامی شرکتهای مشخص در نوار آدرس وبسایت PHISHER به رنگ سبز ظاهر می‌شود و آن را معتبر جلوه می‌دهد.

بنابراین هنگام استفاده از صفحات وب سایت‌ها، کاربران باید ملاحظات بیشتری را لحاظ قوانین و دستورالعمل‌ها را دنبال کنند.