گواهی SSL چیبست؟ در این پست ما سعی خواهیم کرد، حداقل به برخی از پرسشهای مرتبط پاسخ بدهیم اما اجازه بدهید نگاهی به HTTP-HTTPS بیاندازیم.
انتقال دادهها با HTTP-HTTPS
هنگامیکه بازدید کنندگان آنلاین، وب سایتی را میخوانند یا وارد دادههای یک وب سایت میشوند، اطلاعاتی بین رایانهی خود و سروری که در آن سایت میزبان شده است رد و بدل میشود. این فرایند توسط یک پروتکل انتقال داده به HTTP (Hypertext transfer protocol) انجام میشود.
HTTP همچنین یک پروتکل جانبی به نام HTTPS (و یا گواهی SSL) را به همراه دارد. این نسخهی امن انتقال اطلاعات بین میزبان (سرویس دهنده) و سرویس گیرنده را در یک فرم رمزنگاری شده انجام میدهد، بدان معنا که اطلاعاتی که بین سرور و کاربر (سرویس گیرنده) رد و بدل میشود فقط در دسترس آن دو میباشد و هیچ شخص ثالثی در این میان وجود ندارد. برای مثال (ارایه دهندهی Wi-Fi و یا مدیر شبکه).
دادههای ارسال شده از سوی سرور میزبان با پروتکل رمز نگاری خود، رمز گذاری شده است. این رمز نگاری دادهها به وسیلهی SSL صورت میگیرد. نخستین پروتکل برای این منظور در نظر گرفته شده است.
نسخههای متعددی از پروتکل SSL وجود دارند که همهی آنها در برخی مواقع با مشکلات امنیتی روبرو میشوند. نسخهی اصلاح شده و تغییر نام داده شده که امروزه مورد استفاده قرار میگیرد، (Transport Layer Security) TLS نامیده میشود.
با این حال نصب SSL ضروری تلقی میشود و نسخههای قدیمی آن هم هنوز با همان اسم و نشان قبلی مشهود است. برای رمز نگاری یک وبسایت باید گواهینامهایی که به امضای دیجیتال معروف است وجود داشته باشد.این امضای دیجیتال یا گواهینامه بدین منظور است که نشان میدهد که مکانیسم رمز نگاری قابل اعتماد بوده و با پروتکل مطابقت داشته است.
علاوه بر نشانگر حرف S در HTTPS نشانگر دیگری وجود دارد که نمایانگر ایمن بودن و قابل اعتماد بودن گواهینامهی مرورگر است .سایتهایی که دارای چنین گواهینامهایی هستند با (یک شکل سپر مانند که در برخی از مرورگرها وجود دارد) یک قفل کوچک سبز رنگ به همراه کلمهی امن SECURE در کنار نام آن شرکت در نوار آدرس مرورگر دیده میشوند. البته این گواهینامه در انواع مختلفی ارائه میشود که تنها در نوع EV نام شرکت نمایش داده میشود.
روش دریافت گواهی SSL توسط سایت:
دو روش برای دریافت گواهینامهی معتبر وجود دارد.
۱- وجود یک وب مستر (طراح سایت و یا مدیر محتوای سایت) است که میتواند امضای دیجیتال را انجام دهد و کلید های رمز نگاری را ارایه دهد. که به چنین گواهی نامه هایی Self-Singed میگویند. هنگامی که تلاش برای دستیابی (ورود) به یک سایت صورت میگیرد، کاربران با هشدار پیام گواهینامه نامعتبر است مواجه میشوند. در چنین حالتی پنجرهی مرورگر به همراه کلمهی Secure به رنگ قرمز در می آید و یا حرف s در https (یا تمامی حروف آن) به جای رنگ سبز به رنگ قرمز تغییر رنگ میدهند. این تغییرات رنگ در نسخههای مختلف مرورگر مشهود است.
۲- بهترین راه خریداری گواهینامه های امضا شده از یک منبع (CA) قابل اعتماد است. این منبع قابل اعتماد به بررسی اسناد و مدارک صاحب سایت و همچنین حق مالکیت دامنه، میپردازد. منبع یک گواهینامهی معتبرباید متعلق به یک شرکت ثبت شدهی قانونی باشد. اگر چندین CAs به عنوان منبع قابل اعتماد وجود داشته باشند، شما میتوانید طبق سهام آبی) طبق تعریف بازار بورس، به انواعی از سهام ابر شرکتها گفته میشود که از نظر کیفیت، اطمینان، و قابلیت سودآوری شهرتی ملی داشته باشند.) تعریف شده آنها را انگشت شمار کنید.
شهرت CAتعیین کنندهی میزان اعتماد توزیع کنندگان مرورگر و نمایش سایت دارای گواهینامهی معتبر است. بهای یک گواهینامه بستگی به نوع و مدت اعتبار و شهرت CAs دارد.
انواع متعدد گواهی نامه SSL:
گواهینامههای امضا شده توسط CA، براساس (مدت) اعتبار مختلف گواهینامه، بها و یا اینکه چه کسی و یا چگونه آنها را دریافت میکند طبقه بندی میشوند.
گواهی SSL نوع اعتبار سنجی دامنه
برای بدست آوردن گواهی یک دامنهی معتبر موجودیت دامنه درخواست کننده باید ثبت شود. این گواهی شرایط اتصال ایمن را فراهم میکند. اما این شرایط اطلاعات مربوط به سازمان، و یا اسنادی برای انتشار آن نیست. دریافت چنین گواهی، بیشتر از چند دقیقه به طول نمیانجامد. این نوع گواهینامه را DV میگویند.
گواهی SSL نوع اعتبار سنجی سازمانی
این نوع گواهینامه سطح اعتباری بسیار بالاتری را دارد که نه تنها نشان دهندهی دامنه با اتصال ایمن است بلکه حقیقتاً اعتبار سنجی سازمانی گواهینامه را مشخص میکند. بررسی تمامی مدارک و صدور مجوز آنها، چند روزی زمان میبرد. اگرمرورگر سایت دارای گواهینامه DV یا OV باشد قفل مرورگر به همراه کلمهی SRCURE و یا حروف HTTPS به رنگ خاکستری و یا سبز درمی آید.
گواهی SSL نوع اعتبار سنجی تمدید شده
در آخر، ما گواهینامهایی با اعتبار و ارزشی بالاتر را در اختیار داریم که بسیار شبیه به گواهینامهی OV است و همچون برای آن تنها سازمانهای بزرگ و قانونی هستند که میتوانند تمامی مدارک لازم برای صدور گواهینامه را فراهم کنند و نام و مکان آن سازمانها در نوار آدرس سایت به رنگ سبز نمایش داده شود. گواهینامههای EV برای مرورگرها معتبر است و نسبت به سایر، گران تر هستند. (اعتبار این گواهی نامه قابل تمدید و یا اکثراً طولانی مدت است.) و برای بار دوم میتوان گفت که شما میتوانید با کلیک کردن بروی اسم سازمان و یا کلمهی SECURE، اطلاعاتی را در رابطه با گواهینامه (همچون: چه کسی و چه زمانی آن را منتشر کرده، مدت اعتبار آن چند روزه و یا بهای پرداختی آن چقدر است) بدست بیاورید.
مشکلات گواهی SSL:
امنیت و حفاظت از داده های کاربری، اصول کلیدی هستند که توسعه دهندگان بزرگ مرورگرها مانند، گوگل و موزیلا از آن استفاده میکنند. طبق یکی از مطالعات گوگل مشخص شده است که یکی از بزرگترین شرکتها (Symantec) در سال گذشته بیش از ۳۰۰۰۰ گواهی تمدید اعتبار سنجی EV نادرست صادر کرده است. شرکت گوگل هم در پاییز سال ۲۰۱۷ (برای مجازات) این شرکت بابت ایجاد بی اعتمادی تدریجی به گواهی SSL آن را اعلام کرد تا مانع دسترسی کاربران به چنین صفحاتی شوند. حرکت موثر گوگل وب سایتها را مجبور به خرید گواهینامههای معتبر میکند.
بر این اساس طبق این رویه، تقاضا برای خدمات CA افزایش پیدا کرد و باعث شد تا مرحله ی چک کردن اسنادی که تاثیر منفی روی کنترل کیفیت داشت سرعت ببخشد. امروزه ممکن است برخی از گواهینامههای صادر شده، قابل اعتماد نباشند. شرکت گوگل اظهار داشت که همه ی گواهینامه ها برای بررسی کامل، از جانب سیستم و استانداردهای جهانی باید تایید شوند. شرکت موزیلا هم قصد دارد برنامه های تایید گواهینامه ی خود را مستحکم کند.
با توجه به مواردی که ذکر شد، هنوز نمیتوان از صحت گواهینامه و صادر کنندهی آن اطمینان پیدا کرد. حتی در مورد گواهینامه های EV که با تمامی الزامات امنیتی مطابقت دارد نیز متن سبز رنگ، بدون هیچ قید و شرطی نمیتواند قابل اعتماد باشد.
وضعیت گواهینامههای SSL نوع EV بس اسفناک است. وبسایت PHISHER میتواند برای مثال اسامی برخی از شرکتها را به طرز مشکوکی شبیه به موارد مشابه آن شرکت ثبت کند تا بتواند در قبال آن گواهینامه EV را از این سایت دریافت کند. به این طریق که اسامی شرکتهای مشخص در نوار آدرس وبسایت PHISHER به رنگ سبز ظاهر میشود و آن را معتبر جلوه میدهد.
بنابراین هنگام استفاده از صفحات وب سایتها، کاربران باید ملاحظات بیشتری را لحاظ قوانین و دستورالعملها را دنبال کنند.