گواهی SSL/TLS چیست؟

گواهی SSL/TLS چیست؟

گواهی SSL/TLS یک شیء دیجیتال است که به سیستم‌ها امکان می‌دهد هویت را تأیید کرده و سپس با استفاده از پروتکل لایه سوکت‌های امن/امنیت لایه انتقال (SSL/TLS) یک ارتباط شبکه‌ای رمزنگاری‌شده با سیستم دیگر برقرار کنند. گواهی‌ها در یک سیستم رمزنگاری به نام زیرساخت کلید عمومی (PKI) استفاده می‌شوند. PKI راهی برای یک طرف فراهم می‌کند تا هویت طرف دیگر را با استفاده از گواهی‌ها تأیید کند، اگر هر دو به یک شخص ثالث مورد اعتماد – که به عنوان مرجع گواهی (CA) شناخته می‌شود – اعتماد داشته باشند. بنابراین، گواهی‌های SSL/TLS به عنوان کارت‌های شناسایی دیجیتال عمل می‌کنند تا ارتباطات شبکه‌ای را ایمن کنند، هویت وب‌سایت‌ها را در اینترنت و همچنین منابع در شبکه‌های خصوصی تأیید کنند.

چرا گواهی‌های SSL/TLS مهم هستند؟

گواهی‌های SSL/TLS اعتماد را در میان کاربران وب‌سایت ایجاد می‌کنند. کسب‌وکارها گواهی‌های SSL/TLS را روی سرورهای وب نصب می‌کنند تا وب‌سایت‌های ایمن‌شده با SSL/TLS ایجاد کنند. ویژگی‌های یک صفحه وب ایمن‌شده با SSL/TLS به شرح زیر است:

• آیکون قفل و نوار آدرس سبز در مرورگر وب
• پیشوند https در آدرس وب‌سایت در مرورگر
• یک گواهی SSL/TLS معتبر. می‌توانید با کلیک و گسترش آیکون قفل در نوار آدرس URL بررسی کنید که آیا گواهی SSL/TLS معتبر است یا خیر. پس از برقراری ارتباط رمزنگاری‌شده، تنها مشتری و سرور وب می‌توانند داده‌های ارسالی را ببینند.

در زیر به برخی از مزایای گواهی‌های SSL/TLS اشاره می‌کنیم:

1. حفاظت از داده‌های خصوصی
   مرورگرها گواهی SSL/TLS هر وب‌سایتی را تأیید می‌کنند تا ارتباطات ایمن با سرور وب‌سایت را آغاز و حفظ کنند. فناوری SSL/TLS به اطمینان از رمزنگاری تمام ارتباطات بین مرورگر شما و وب‌سایت کمک می‌کند.
2. افزایش اعتماد مشتری
   مشتریان آگاه به اینترنت اهمیت حریم خصوصی را درک می‌کنند و می‌خواهند به وب‌سایت‌هایی که بازدید می‌کنند اعتماد کنند. یک وب‌سایت محافظت‌شده با SSL/TLS دارای آیکون قفل سبز است که مشتریان آن را ایمن می‌دانند. محافظت SSL/TLS به مشتریان کمک می‌کند تا بدانند داده‌هایشان هنگام اشتراک با کسب‌وکار شما محافظت می‌شود.
3. پشتیبانی از انطباق با مقررات
   برخی از کسب‌وکارها باید با مقررات صنعتی برای محرمانگی و حفاظت از داده‌ها انطباق داشته باشند. برای مثال، کسب‌وکارهای صنعت کارت پرداخت باید به استاندارد PCI DSS پایبند باشند. PCI DSS یک الزام صنعتی برای ارائه تراکنش‌های آنلاین ایمن است، از جمله ایمن‌سازی سرور وب با گواهی SSL/TLS.
4. بهبود سئو
   موتورهای جستجوی اصلی، محافظت SSL/TLS را به عنوان یک عامل رتبه‌بندی برای بهینه‌سازی موتور جستجو (SEO) قرار داده‌اند. یک وب‌سایت ایمن‌شده با SSL/TLS احتمالاً در موتور جستجو رتبه بالاتری نسبت به وب‌سایتی مشابه بدون گواهی SSL/TLS خواهد داشت. این امر بازدیدکنندگان از موتورهای جستجو به وب‌سایت محافظت‌شده با SSL/TLS را افزایش می‌دهد.

اصول کلیدی در فناوری گواهی SSL/TLS چیست؟

SSL/TLS مخفف لایه سوکت‌های امن و امنیت لایه انتقال است. این یک پروتکل یا قانون ارتباطی است که به سیستم‌های کامپیوتری اجازه می‌دهد تا با خیال راحت در اینترنت با یکدیگر صحبت کنند. گواهی‌های SSL/TLS به مرورگرهای وب اجازه می‌دهند تا اتصالات شبکه رمزگذاری شده را به وب‌سایت‌ها با استفاده از پروتکل SSL/TLS شناسایی و برقرار کنند.

رمزنگاری

رمزنگاری به معنای درهم‌سازی پیام اصلی است به‌گونه‌ای که فقط گیرنده مورد نظر بتواند آن را رمزگشایی کند. برای مثال، شما کلمه cat را به ecv تغییر می‌دهید با جابجایی هر حرف دو مکان به جلو در الفبا. گیرنده قانون (یا کلید) را می‌داند و هر حرف را دو مکان به عقب برمی‌گرداند تا کلمه واقعی را بخواند. رمزنگاری SSL/TLS بر این مفهوم با استفاده از رمزنگاری کلید عمومی، با دو کلید مختلف برای رمزگذاری و رمزگشایی پیام، بنا شده است. PKI راهی برای یک طرف فراهم می‌کند تا هویت طرف دیگر را با استفاده از گواهی‌ها تأیید کند، اگر هر دو به یک شخص ثالث مورد اعتماد – یعنی مرجع گواهی – اعتماد داشته باشند. مرجع گواهی، گواهی را تأیید کرده و هر دو طرف را قبل از شروع ارتباط احراز هویت می‌کند.

دو نوع کلید عبارتند از:

1. کلید عمومی: مرورگر و وب سرور با رمزگذاری و رمزگشایی اطلاعات با استفاده از جفت کلیدهای عمومی و خصوصی ارتباط برقرار می‌کنند. کلید عمومی یک کلید رمزنگاری است که وب سرور در گواهی SSL/TLS به مرورگر می‌دهد. مرورگر از این کلید برای رمزگذاری اطلاعات قبل از ارسال آن به وب سرور استفاده می‌کند.
2. کلید خصوصی: فقط وب سرور کلید خصوصی را دارد. فایلی که توسط کلید خصوصی رمزگذاری شده است، فقط توسط کلید عمومی قابل رمزگشایی است و بالعکس. اگر کلید عمومی فقط بتواند فایلی را که توسط کلید خصوصی رمزگذاری شده است رمزگشایی کند، توانایی رمزگشایی آن فایل تضمین می‌کند که گیرنده و فرستنده مورد نظر همان کسانی هستند که ادعا می‌کنند.

احراز هویت
سرور کلید عمومی را در گواهی SSL/TLS به مرورگر ارسال می‌کند. مرورگر گواهی را از یک شخص ثالث مورد اعتماد تأیید می‌کند. بنابراین، می‌تواند تأیید کند که سرور وب همان است که ادعا می‌کند.

امضای دیجیتال
امضای دیجیتال یک عدد منحصربه‌فرد برای هر گواهی SSL/TLS است. گیرنده یک امضای دیجیتال جدید تولید می‌کند و آن را با امضای اصلی مقایسه می‌کند تا اطمینان حاصل کند که طرف‌های خارجی گواهی را در حین انتقال در شبکه دستکاری نکرده‌اند.

چه کسی گواهی‌های SSL/TLS را تأیید می‌کند؟

مرجع گواهی (CA) سازمانی است که گواهی‌های SSL/TLS را به مالکان وب، شرکت‌های میزبانی وب یا کسب‌وکارها می‌فروشد. CA جزئیات دامنه و مالک را قبل از صدور گواهی SSL/TLS تأیید می‌کند. برای تبدیل شدن به یک CA، سازمان باید الزامات خاصی را که توسط سیستم‌عامل، مرورگرها یا شرکت‌های دستگاه‌های موبایل تعیین شده‌اند برآورده کند و برای فهرست شدن به عنوان مرجع گواهی ریشه درخواست دهد. این امر برای ایجاد اعتماد در میان کاربران اینترنت مهم است. برای مثال، خدمات اعتماد آمازون یک مرجع گواهی است و می‌تواند گواهی‌های SSL/TLS را برای وب‌سایت‌ها صادر کند.

مدت اعتبار گواهی SSL/TLS چقدر است؟

گواهی SSL/TLS حداکثر دوره اعتبار ۱۳ ماه دارد. اعتبار گواهی SSL/TLS در طول سال‌ها به‌تدریج کاهش یافته است. هدف از این کار کاهش ریسک‌های امنیتی است که بر کسب‌وکارها و کاربران وب تأثیر می‌گذارد. برای مثال، طرف‌های غیرمعتبر ممکن است از یک گواهی SSL/TLS معتبر از یک دامنه منقضی‌شده برای ایجاد یک وب‌سایت غیرمجاز استفاده کنند.

با کوتاه کردن دوره اعتبار، احتمال سوءاستفاده از گواهی‌های SSL/TLS کاهش می‌یابد. وقتی گواهی SSL/TLS منقضی می‌شود، بازدیدکنندگان وب در مرورگر هشداری دریافت می‌کنند که وب‌سایت ناامن است. سازمان گواهی SSL/TLS قدیمی را باطل کرده و آن را با یک گواهی جدید جایگزین می‌کند. فرآیند تمدید باید قبل از انقضای گواهی قبلی انجام شود تا از حوادث امنیتی جلوگیری شود.

چه اطلاعاتی در گواهی SSL/TLS وجود دارد؟

یک گواهی SSL/TLS حاوی اطلاعات زیر است:

• نام دامنه
• مرجع صدور گواهی
• امضای دیجیتال مرجع صدور گواهی
• تاریخ صدور
• تاریخ انقضا
• کلید عمومی
• نسخه SSL/TLS

TLS چیست؟

TLS مخفف امنیت لایه انتقال است. این جانشین و ادامه نسخه ۳.۰ پروتکل SSL/TLS است. فقط تفاوت‌های فنی جزئی بین SSL/TLS و TLS وجود دارد. مانند SSL/TLS، TLS یک کانال انتقال داده رمزگذاری شده بین یک مرورگر و وب سرور فراهم می‌کند. گواهی‌های SSL/TLS مدرن از پروتکل TLS به جای SSL/TLS استفاده می‌کنند، اما SSL/TLS همچنان یک مخفف محبوب در بین متخصصان امنیتی است. در حالی که دقیقاً یکسان نیستند، اصطلاحات SSL و TLS معمولاً به معنای یکسان استفاده می‌شوند. آنها همچنین ممکن است به پروتکل رمزگذاری رمزنگاری به عنوان SSL/TLS اشاره کنند.

گواهی SSL/TLS چگونه کار می‌کند؟

مرورگرها از گواهی SSL/TLS برای شروع یک ارتباط ایمن با سرور وب از طریق فرآیند دست‌دهی SSL/TLS استفاده می‌کنند. دست‌دهی SSL/TLS بخشی از فناوری ارتباطی پروتکل انتقال امن متنی (HTTPS) است. این ترکیبی از HTTP و SSL/TLS است. HTTP پروتکلی است که مرورگرهای وب برای ارسال اطلاعات به‌صورت متن ساده به سرور وب استفاده می‌کنند. HTTP داده‌های رمزنگاری‌نشده را منتقل می‌کند، به این معنا که اطلاعات ارسالی از مرورگر می‌توانند توسط اشخاص ثالث رهگیری و خوانده شوند. مرورگرها از HTTP با SSL/TLS یا HTTPS برای ارتباط کاملاً ایمن استفاده می‌کنند.

دست‌دهی SSL/TLS
دست‌دهی SSL/TLS شامل مراحل زیر است:

1. مرورگر یک وب‌سایت ایمن‌شده با SSL/TLS را باز کرده و به سرور وب متصل می‌شود.
2. مرورگر با درخواست اطلاعات شناسایی، تلاش می‌کند تا اصالت سرور وب را تأیید کند.
3. سرور وب گواهی SSL/TLS را که شامل یک کلید عمومی است به عنوان پاسخ ارسال می‌کند.
4. مرورگر گواهی SSL/TLS را تأیید می‌کند و اطمینان حاصل می‌کند که معتبر است و با دامنه وب‌سایت مطابقت دارد. پس از رضایت مرورگر از گواهی SSL/TLS، از کلید عمومی برای رمزگذاری و ارسال پیامی که شامل یک کلید جلسه مخفی است استفاده می‌کند.
5. سرور وب از کلید خصوصی خود برای رمزگشایی پیام و بازیابی کلید جلسه استفاده می‌کند. سپس از کلید جلسه برای رمزگذاری و ارسال یک پیام تأیید به مرورگر استفاده می‌کند.
6. اکنون، هم مرورگر و هم سرور وب به استفاده از همان کلید جلسه برای تبادل ایمن پیام‌ها تغییر می‌کنند.

کلید جلسه
کلید جلسه ارتباط رمزنگاری‌شده بین مرورگر و سرور وب را پس از تکمیل احراز هویت اولیه SSL/TLS حفظ می‌کند. کلید جلسه یک کلید رمزنگاری برای رمزنگاری متقارن است. رمزنگاری متقارن از یک کلید یکسان برای رمزگذاری و رمزگشایی استفاده می‌کند. رمزنگاری نامتقارن توان محاسباتی زیادی مصرف می‌کند. بنابراین، سرور وب به رمزنگاری متقارن تغییر می‌کند که برای حفظ ارتباط SSL/TLS به محاسبات کمتری نیاز دارد.

انواع گواهی‌های SSL/TLS چیست؟

گواهی‌های SSL/TLS بر اساس اعتبارسنجی و دامنه متفاوت هستند. گواهی‌هایی با سطوح مختلف اعتبارسنجی به شرح زیر طبقه‌بندی می‌شوند:

• گواهی‌های اعتبارسنجی تمدید شده
• گواهی‌های اعتبارسنجی شده سازمان
• گواهی‌های اعتبارسنجی شده دامنه

گواهی‌های SSL/TLS که از انواع مختلف دامنه پشتیبانی می‌کنند عبارتند از:

• گواهی تک دامنه
• گواهی Wildcard
• گواهی چند دامنه

گواهی‌های اعتبارسنجی گسترده
گواهی اعتبارسنجی گسترده (EV SSL/TLS) یک گواهی دیجیتال است که بالاترین سطح رمزنگاری، اعتبارسنجی و اعتماد را دارد. هنگام درخواست برای EV SSL/TLS، سازمان یا مالک وب تحت بررسی‌های دقیق توسط مراجع گواهی قرار می‌گیرد. این شامل تأیید آدرس فیزیکی کسب‌وکار، درخواست صحیح گواهی و حقوق انحصاری برای استفاده از دامنه است.

کسب‌وکارها از EV SSL/TLS برای محافظت از کاربران در برابر اشخاص ثالث غیرمجاز استفاده می‌کنند. این امر زمانی مهم است که شرکت داده‌های حساس مانند تراکنش‌های مالی و سوابق پزشکی را در وب‌سایت پردازش می‌کند. گواهی EV SSL/TLS شامل جزئیات سازمان کسب‌وکار است که می‌توان آن را در مرورگر مشاهده کرد.

گواهی‌های اعتبارسنجی سازمانی
گواهی‌های اعتبارسنجی سازمانی (OV SSL/TLS) از نظر اعتبارسنجی و اعتماد در رتبه دوم پس از EV SSL/TLS قرار دارند. مانند EV SSL/TLS، شرکت‌ها هنگام درخواست برای OV SSL/TLS باید فرآیند تأیید را طی کنند. اگرچه فرآیند بررسی کمتر سختگیرانه است، متقاضیان باید مالکیت دامنه را به مراجع گواهی اثبات کنند.

گواهی OV SSL/TLS شامل اطلاعات کسب‌وکار تأییدشده است و می‌توان آن را در مرورگر بررسی کرد. کسب‌وکارهای تجاری و رو به مشتری از گواهی OV SSL/TLS برای ایجاد اعتماد در میان مشتریان استفاده می‌کنند. OV SSL/TLS رمزنگاری قوی برای محافظت از حریم خصوصی مشتریان هنگام مرور وب فراهم می‌کند.

گواهی‌های اعتبارسنجی دامنه
گواهی‌های اعتبارسنجی دامنه (DV SSL/TLS) گواهی‌های دیجیتالی هستند که کمترین سطح اعتبارسنجی را دارند. همچنین هزینه درخواست آن‌ها کمترین است. برخلاف EV SSL و OV SSL/TLS، متقاضیان گواهی DV فرآیند بررسی کمتری را طی می‌کنند. متقاضی با پاسخ به یک ایمیل یا تماس تلفنی تأیید، مالکیت دامنه را اثبات می‌کند.

گواهی DV اطلاعات کامل سازمان یا کسب‌وکار متقاضی را شامل نمی‌شود. بنابراین، اطمینان بالایی به کاربران ارائه نمی‌دهد. گواهی‌های DV برای وب‌سایت‌های اطلاعاتی مانند وبلاگ‌ها مناسب هستند. آن‌ها برای درگاه‌های پرداخت، کسب‌وکارهای مراقبت‌های بهداشتی یا سایر وب‌سایت‌هایی که داده‌های حساس را مدیریت می‌کنند ایده‌آل نیستند.

گواهی‌های تک‌دامنه SSL/TLS
گواهی تک‌دامنه SSL/TLS گواهی‌ای است که تنها یک دامنه یا زیردامنه را محافظت می‌کند. دامنه آدرس اصلی یا URL یک وب‌سایت است، مانند amazon.com. زیردامنه آدرسی وب است با یک افزونه متنی که قبل از دامنه اصلی قرار می‌گیرد، مانند aws.amazon.com.

برای مثال، می‌توانید از یک گواهی تک‌دامنه SSL/TLS برای http://example.com استفاده کنید. اما نمی‌توانید از این گواهی برای http://example.com و sub.example.com به‌طور همزمان استفاده کنید.

گواهی‌های وایلدکارد SSL/TLS
گواهی وایلدکارد SSL/TLS گواهی‌ای است که یک دامنه و تمام زیردامنه‌های آن را محافظت می‌کند. برای مثال، می‌توانید از یک گواهی وایلدکارد SSL/TLS برای محافظت از http://example.com، blog.example.com و shop.example.com استفاده کنید.

گواهی‌های چنددامنه SSL/TLS
گواهی‌های چنددامنه که به عنوان گواهی‌های ارتباطات یکپارچه نیز شناخته می‌شوند، محافظت SSL/TLS را برای چندین نام دامنه که روی سرورهای یکسان یا متفاوت با مالکیت یکسان میزبانی می‌شوند، ارائه می‌دهند. برای مثال، شما یک گواهی چنددامنه برای http://example1.com، domain2.co.uk، shop.business3.com و chat.message.au خریداری می‌کنید.