پروتکل اس اس ال (ssl) چیست؟
SSL یا لایه سوکت ایمن یک پروتکل امنیتی اینترنت مبتنی بر رمزگذاری است. اولین بار توسط Netscape در سال 1995 با هدف اطمینان از حفظ حریم خصوصی، احراز هویت و یکپارچگی داده ها در ارتباطات اینترنتی توسعه یافت. SSL سلف رمزگذاری مدرن TLS است که امروزه استفاده می شود.
وبسایتی که SSL/TLS را پیادهسازی میکند، به جای «HTTP»، در URL خود «HTTPS» دارد.
SSL/TLS چگونه کار می کند؟
به منظور ارائه درجه بالایی از حریم خصوصی، SSL داده هایی را که در سراسر وب منتقل می شوند رمزگذاری می کند. این بدان معنی است که هر کسی که سعی در رهگیری این داده ها داشته باشد، تنها ترکیبی از کاراکترهای مخدوش را می بیند که رمزگشایی تقریباً غیرممکن است.
SSL یک فرآیند احراز هویت (آموزش احراز هویت با laravel passport) به نام دست دادن بین دو دستگاه ارتباطی را آغاز می کند تا اطمینان حاصل شود که هر دو دستگاه واقعاً همان چیزی هستند که ادعا می کنند.
اس اس ال همچنین دادهها را به صورت دیجیتالی امضا میکند تا یکپارچگی دادهها را فراهم کند، و تأیید میکند که دادهها قبل از رسیدن به گیرنده مورد نظر خود دستکاری نشدهاند.
چندین نسخه از SSL وجود داشته است که هر کدام امن تر از قبلی است. در سال ۱۹۹۹ SSL به روز شد تا به TLS تبدیل شود.
چرا SSL/TLS مهم است؟
در اصل، دادهها در وب به صورت متن ساده منتقل میشد که هر کسی میتوانست آن را بخواند. به عنوان مثال، اگر یک مصرف کننده از یک وب سایت خرید بازدید کند، سفارش دهد و شماره کارت اعتباری خود را در وب سایت وارد کند، آن شماره کارت اعتباری بدون پنهان کردن در سراسر اینترنت پخش میشد.
SSL برای اصلاح این مشکل و محافظت از حریم خصوصی کاربر ایجاد شده است. با رمزگذاری هر داده ای که بین یک کاربر و یک وب سرور قرار می گیرد، SSL تضمین می کند که هر کسی که داده ها را رهگیری می کند فقط می تواند یک آشغال درهم از کاراکترها را ببیند. شماره کارت اعتباری مصرف کننده اکنون ایمن است و فقط برای وب سایت خریدی که آن را وارد کرده است قابل مشاهده است.
SSL همچنین انواع خاصی از حملات سایبری را متوقف می کند: سرورهای وب را احراز هویت می کند، که مهم است زیرا مهاجمان اغلب سعی می کنند وب سایت های جعلی را برای فریب کاربران و سرقت داده ها راه اندازی کنند. همچنین از دستکاری مهاجمان در داده های در حال انتقال، مانند مهر و موم ضد دستکاری روی ظرف داروها، جلوگیری می کند.
برای مطالعه بیشتر در مورد امنیت بهتر است وارد این لینک شود امنیت سایت چیست و چگونه آن را تامین کنیم؟
آیا SSL و TLS یکی هستند؟
SSL سلف مستقیم پروتکل دیگری به نام TLS (Transport Layer Security) است. در سال 1999 گروه وظیفه مهندسی اینترنت (IETF) به روز رسانی اس اس ال را پیشنهاد کرد. از آنجایی که این به روز رسانی توسط IETF در حال توسعه بود و نت اسکیپ دیگر درگیر نبود، نام آن به TLS تغییر یافت. تفاوت بین نسخه نهایی SSL (3.0) و اولین نسخه TLS زیاد نیست. تغییر نام برای نشان دادن تغییر در مالکیت اعمال شد.
از آنجایی که آنها بسیار به هم مرتبط هستند، این دو اصطلاح اغلب به جای یکدیگر و اشتباه گرفته می شوند. برخی از افراد هنوز از SSL برای اشاره به TLS استفاده می کنند، برخی دیگر از اصطلاح "رمزگذاری SSL/TLS" استفاده می کنند زیرا SSL هنوز تشخیص نام زیادی دارد.
آیا SSL هنوز به روز است؟
SSL از زمان SSL 3.0 در سال 1996 به روز نشده است و اکنون منسوخ شده است. چندین آسیب پذیری شناخته شده در پروتکل SSL وجود دارد و کارشناسان امنیتی توصیه می کنند استفاده از آن را متوقف کنید. در واقع، اکثر مرورگرهای وب مدرن دیگر اصلاً از اس اس ال پشتیبانی نمی کنند.
TLS یک پروتکل رمزگذاری به روز است که هنوز به صورت آنلاین در حال پیاده سازی است، حتی اگر بسیاری از مردم هنوز از آن به عنوان "رمزگذاری SSL" یاد می کنند. این می تواند منبع سردرگمی برای افرادی باشد که برای راه حل های امنیتی خرید می کنند. حقیقت این است که هر فروشنده ای که این روزها "SSL" را ارائه می دهد تقریباً مطمئناً محافظت TLS را ارائه می دهد که بیش از 20 سال است که یک استاندارد صنعتی بوده است. اما از آنجایی که بسیاری از افراد هنوز در جستجوی "محافظت SSL" هستند، این اصطلاح همچنان در بسیاری از صفحات محصول به طور برجسته به چشم می خورد.
وقتی بحث از امنیت وجود دارد رمز عبور و پسورد و اهمیت حفاظت از آن هم برای روزمرگی شما باید اهمیت داشته باشد
گواهی SSL چیست؟
SSL را فقط می توان توسط وب سایت هایی پیاده سازی کرد که دارای گواهینامه SSL هستند (از لحاظ فنی "گواهی TLS"). گواهی SSL مانند یک کارت شناسایی یا نشانی است که ثابت می کند کسی همان کسی است که می گوید. گواهینامه های اس اس ال توسط سرور یک وب سایت یا برنامه در وب ذخیره و نمایش داده می شوند.
یکی از مهم ترین اطلاعات در گواهی SSL، کلید عمومی وب سایت است. کلید عمومی رمزگذاری و احراز هویت را امکان پذیر می کند. دستگاه کاربر کلید عمومی را مشاهده می کند و از آن برای ایجاد کلیدهای رمزگذاری ایمن با سرور وب استفاده می کند. در همین حال وب سرور یک کلید خصوصی نیز دارد که مخفی نگه داشته می شود. کلید خصوصی داده های رمزگذاری شده با کلید عمومی را رمزگشایی می کند.
مقامات صدور گواهینامه (CA) مسئول صدور گواهینامه های SSL هستند.
انواع گواهینامه های SSL؟
انواع مختلفی از گواهینامه های SSL وجود دارد. بسته به نوع، یک گواهی می تواند برای یک وب سایت یا چندین وب سایت اعمال شود:
- Single-domain: یک گواهی SSL تک دامنه فقط برای یک دامنه اعمال می شود («دامنه» نام یک وب سایت است، مانند www.abc.com).
- Wildcard: مانند یک گواهینامه تک دامنه، یک گواهی SSL با حروف عام فقط برای یک دامنه اعمال می شود. با این حال، شامل زیر دامنه های آن دامنه نیز می شود. به عنوان مثال، یک گواهی نامه عام می تواند www.abc.com، blog.abc.com، و developers.abc.com را پوشش دهد، در حالی که یک گواهی نامه تک دامنه می تواند فقط اولین مورد را پوشش دهد.
- Multi-domain: همانطور که از نام آن مشخص است، گواهینامه های اس اس ال چند دامنه ای می توانند برای چندین دامنه غیر مرتبط اعمال شوند.
گواهینامه های SSL نیز دارای سطوح اعتبار سنجی مختلفی هستند. سطح اعتبار سنجی مانند یک بررسی پس زمینه است و بسته به دقت بررسی، سطح تغییر می کند.
- Domain Validation: این سختترین سطح اعتبارسنجی و ارزانترین است. تنها کاری که یک کسب و کار باید انجام دهد این است که ثابت کند دامنه را کنترل می کند.
- Organization Validation: این یک فرآیند عملی تر است: CA مستقیماً با شخص یا کسب و کاری که درخواست گواهی را دارد تماس می گیرد. این گواهی ها برای کاربران قابل اعتمادتر هستند.
- Extended Validation: این امر مستلزم بررسی کامل پیشینه یک سازمان قبل از صدور گواهی SSL است.
گواهی SSL شامل چه اطلاعاتی است؟
گواهینامه های SSL عبارتند از:
- نام دامنه ای که گواهی برای آن صادر شده است
- برای کدام شخص، سازمان یا دستگاه صادر شده است
- کدام مرجع گواهی آن را صادر کرده است
- امضای دیجیتال مرجع گواهی
- زیر دامنه های مرتبط
- تاریخ صدور گواهینامه
- تاریخ انقضای گواهینامه
- کلید عمومی (کلید خصوصی مخفی نگه داشته می شود)
کلیدهای عمومی و خصوصی مورد استفاده برای SSL اساساً رشته های طولانی از کاراکترها هستند که برای رمزگذاری و امضای داده ها استفاده می شوند. داده های رمزگذاری شده با کلید عمومی فقط با کلید خصوصی قابل رمزگشایی هستند.
چرا وب سایت ها به گواهی SSL نیاز دارند؟
یک وب سایت به یک گواهی SSL نیاز دارد تا اطلاعات کاربر را ایمن نگه دارد، مالکیت وب سایت را تأیید کند، از مهاجمان از ایجاد نسخه جعلی سایت جلوگیری کند و اعتماد کاربر را جلب کند.
رمزگذاری - رمزگذاری SSL/TLS به دلیل جفت شدن کلید عمومی-خصوصی که گواهینامه های SSL تسهیل می کنند امکان پذیر است. کلاینت ها (مانند مرورگرهای وب) کلید عمومی لازم برای باز کردن اتصال TLS را از گواهی SSL سرور دریافت می کنند.
احراز هویت - گواهیهای SSL تأیید میکنند که یک کلاینت با سرور صحیحی که در واقع مالک دامنه است صحبت میکند. این به جلوگیری از جعل دامنه و انواع دیگر حملات کمک می کند.
HTTPS - مهمتر از همه برای مشاغل، گواهی SSL برای آدرس وب HTTPS ضروری است. HTTPS شکل امن HTTP است و وبسایتهای HTTPS وبسایتهایی هستند که ترافیک آنها توسط SSL/TLS رمزگذاری شده است.
علاوه بر ایمن سازی داده های کاربر در حین انتقال، HTTPS سایت ها را از دیدگاه کاربر قابل اعتمادتر می کند. بسیاری از کاربران متوجه تفاوت بین آدرس وب http//: و https//: نمیشوند، اما بیشتر مرورگرها سایتهای HTTP را به روشهای قابلتوجهی به عنوان «ناامن» برچسبگذاری میکنند و سعی میکنند انگیزهای برای تغییر به HTTPS و افزایش امنیت ایجاد کنند.
در مورد حملات Brute Force و اهمیت امنیت بیشتر بدانید