گواهی SSL/TLS چیست؟

گواهی SSL/TLS چیست؟

گواهی SSL/TLS یک شیء دیجیتال است که به سیستم‌ها اجازه می‌دهد هویت را تأیید کرده و سپس با استفاده از پروتکل لایه سوکت‌های امن/لایه انتقال امن (SSL/TLS) یک اتصال شبکه رمزگذاری شده به سیستم دیگری برقرار کنند. گواهی‌ها در یک سیستم رمزنگاری شناخته شده به عنوان زیرساخت کلید عمومی (PKI) استفاده می‌شوند. PKI راهی را برای یک طرف فراهم می‌کند تا هویت طرف دیگر را با استفاده از گواهی‌ها تأیید کند، در صورتی که هر دو به یک شخص ثالث – که به عنوان مرجع صدور گواهی شناخته می‌شود – اعتماد داشته باشند. بنابراین گواهی‌های SSL/TLS به عنوان کارت‌های شناسایی دیجیتال برای ایمن سازی ارتباطات شبکه، ایجاد هویت وب‌سایت‌ها در اینترنت و همچنین منابع در شبکه‌های خصوصی عمل می‌کنند.

چرا گواهی‌های SSL/TLS مهم هستند؟

گواهی‌های SSL/TLS اعتماد را در بین کاربران وب‌سایت ایجاد می‌کنند. کسب و کارها گواهی‌های SSL/TLS را روی سرورهای وب نصب می‌کنند تا وب‌سایت‌های ایمن با SSL/TLS ایجاد کنند. ویژگی‌های یک صفحه وب ایمن با SSL/TLS به شرح زیر است:

• یک نماد قفل و نوار آدرس سبز در مرورگر وب
• پیشوند https در آدرس وب‌سایت در مرورگر
• یک گواهی SSL/TLS معتبر. می‌توانید با کلیک و باز کردن نماد قفل در نوار آدرس URL، اعتبار گواهی SSL/TLS را بررسی کنید.

پس از برقراری اتصال رمزگذاری شده، فقط کلاینت و وب سرور می‌توانند داده‌های ارسال شده را ببینند.

در زیر به برخی از مزایای گواهی‌های SSL/TLS اشاره می‌کنیم:

محافظت از داده‌های خصوصی: مرورگرها گواهی SSL/TLS هر وب‌سایتی را برای شروع و حفظ اتصالات ایمن با سرور وب‌سایت تأیید می‌کنند. فناوری SSL/TLS به تضمین رمزگذاری تمام ارتباطات بین مرورگر شما و وب‌سایت کمک می‌کند.

تقویت اعتماد مشتری: مشتریانی که با اینترنت آشنا هستند، اهمیت حریم خصوصی را درک می‌کنند و می‌خواهند به وب‌سایت‌هایی که بازدید می‌کنند اعتماد کنند. یک وب‌سایت محافظت شده با SSL/TLS دارای نماد قفل سبز است که مشتریان آن را ایمن می‌دانند. محافظت SSL/TLS به مشتریان کمک می‌کند تا بدانند که هنگام اشتراک‌گذاری داده‌های خود با کسب و کار شما، از داده‌های آنها محافظت می‌شود.

پشتیبانی از انطباق با مقررات: برخی از کسب و کارها باید از مقررات صنعت برای محرمانه بودن و محافظت از داده‌ها پیروی کنند. به عنوان مثال، کسب و کارها در صنعت کارت پرداخت باید به PCI DSS پایبند باشند. PCI DSS یک الزام صنعتی برای ارائه تراکنش‌های آنلاین ایمن، از جمله ایمن سازی وب سرور با گواهی SSL/TLS است.

بهبود سئو: موتورهای جستجوی اصلی، محافظت SSL/TLS را به یک عامل رتبه‌بندی برای بهینه‌سازی موتور جستجو تبدیل کرده‌اند. یک وب‌سایت ایمن با SSL/TLS به احتمال زیاد در موتور جستجو رتبه بالاتری نسبت به یک وب‌سایت مشابه بدون گواهی SSL/TLS خواهد داشت. این امر بازدیدکنندگان از موتورهای جستجو را به وب‌سایت محافظت شده با SSL/TLS افزایش می‌دهد.

اصول کلیدی در فناوری گواهی SSL/TLS چیست؟

SSL/TLS مخفف لایه سوکت‌های امن و امنیت لایه انتقال است. این یک پروتکل یا قانون ارتباطی است که به سیستم‌های کامپیوتری اجازه می‌دهد تا با خیال راحت در اینترنت با یکدیگر صحبت کنند. گواهی‌های SSL/TLS به مرورگرهای وب اجازه می‌دهند تا اتصالات شبکه رمزگذاری شده را به وب‌سایت‌ها با استفاده از پروتکل SSL/TLS شناسایی و برقرار کنند.

رمزگذاری: رمزگذاری به معنای تغییر دادن پیام اصلی به گونه‌ای است که فقط توسط گیرنده مورد نظر قابل رمزگشایی باشد. به عنوان مثال، شما کلمه “گربه” را با جابجایی هر حرف به جلو در الفبا به اندازه دو مکان، به “هجوه” تغییر می‌دهید. گیرنده قانون (یا کلید) را می‌داند و هر حرف را به اندازه دو مکان به عقب برمی‌گرداند تا کلمه واقعی را بخواند. رمزگذاری SSL/TLS با استفاده از رمزنگاری کلید عمومی، با دو کلید مختلف برای رمزگذاری و رمزگشایی یک پیام، بر این مفهوم بنا شده است. PKI راهی را برای یک طرف فراهم می‌کند تا هویت طرف دیگر را با استفاده از گواهی‌ها تأیید کند، در صورتی که هر دو به یک شخص ثالث – که به عنوان مرجع صدور گواهی شناخته می‌شود – اعتماد داشته باشند. مرجع صدور گواهی، گواهی را تأیید می‌کند و هر دو طرف را قبل از شروع ارتباط احراز هویت می‌کند.

دو نوع کلید عبارتند از:

کلید عمومی: مرورگر و وب سرور با رمزگذاری و رمزگشایی اطلاعات با استفاده از جفت کلیدهای عمومی و خصوصی ارتباط برقرار می‌کنند. کلید عمومی یک کلید رمزنگاری است که وب سرور در گواهی SSL/TLS به مرورگر می‌دهد. مرورگر از این کلید برای رمزگذاری اطلاعات قبل از ارسال آن به وب سرور استفاده می‌کند.

کلید خصوصی: فقط وب سرور کلید خصوصی را دارد. فایلی که توسط کلید خصوصی رمزگذاری شده است، فقط توسط کلید عمومی قابل رمزگشایی است و بالعکس. اگر کلید عمومی فقط بتواند فایلی را که توسط کلید خصوصی رمزگذاری شده است رمزگشایی کند، توانایی رمزگشایی آن فایل تضمین می‌کند که گیرنده و فرستنده مورد نظر همان کسانی هستند که ادعا می‌کنند.

احراز هویت: سرور کلید عمومی را در گواهی SSL/TLS به مرورگر ارسال می‌کند. مرورگر گواهی را از یک شخص ثالث مورد اعتماد تأیید می‌کند. از این رو، می‌تواند تأیید کند که وب سرور همان کسی است که ادعا می‌کند.

امضای دیجیتال: امضای دیجیتال یک عدد منحصر به فرد برای هر گواهی SSL/TLS است. گیرنده یک امضای دیجیتال جدید تولید می‌کند و آن را با امضای اصلی مقایسه می‌کند تا مطمئن شود که اشخاص خارجی در حین انتقال گواهی در شبکه، آن را دستکاری نکرده‌اند.

چه کسی گواهی‌های SSL/TLS را تأیید می‌کند؟

مرجع صدور گواهی (CA) سازمانی است که گواهی‌های SSL/TLS را به صاحبان وب، شرکت‌های میزبانی وب یا مشاغل می‌فروشد. CA قبل از صدور گواهی SSL/TLS، جزئیات دامنه و مالک را تأیید می‌کند. برای تبدیل شدن به یک CA، یک سازمان باید الزامات خاصی را که توسط سیستم عامل، مرورگرها یا شرکت دستگاه‌های تلفن همراه تعیین شده است، برآورده کند و برای فهرست شدن به عنوان مرجع صدور گواهی ریشه درخواست دهد. این امر برای ایجاد اعتماد در بین کاربران اینترنت مهم است. به عنوان مثال، Amazon Trust Services یک مرجع صدور گواهی است و می‌تواند گواهی‌های SSL/TLS را برای وب‌سایت‌ها صادر کند.

مدت اعتبار گواهی SSL/TLS چقدر است؟

یک گواهی SSL/TLS حداکثر ۱۳ ماه اعتبار دارد. اعتبار گواهی SSL/TLS در طول سال‌ها به تدریج کاهش یافته است. هدف از این کار کاهش خطرات امنیتی است که بر کسب و کارها و کاربران وب تأثیر می‌گذارد. به عنوان مثال، اشخاص ثالث غیرقابل اعتماد ممکن است از یک گواهی SSL/TLS معتبر از یک دامنه منقضی شده برای ایجاد یک وب‌سایت غیرمجاز استفاده کنند.

با کوتاه کردن مدت اعتبار، احتمال سوء استفاده از گواهی‌های SSL/TLS کاهش می‌یابد. هنگامی که گواهی SSL/TLS منقضی می‌شود، بازدیدکنندگان وب در مرورگر هشداری دریافت می‌کنند مبنی بر اینکه وب‌سایت ناامن است. سازمان گواهی SSL/TLS قدیمی را باطل می‌کند و آن را با یک گواهی تمدید شده جایگزین می‌کند. فرآیند تمدید باید قبل از انقضای گواهی قبلی انجام شود تا از حوادث امنیتی جلوگیری شود.

چه اطلاعاتی در گواهی SSL/TLS وجود دارد؟

یک گواهی SSL/TLS حاوی اطلاعات زیر است:

• نام دامنه
• مرجع صدور گواهی
• امضای دیجیتال مرجع صدور گواهی
• تاریخ صدور
• تاریخ انقضا
• کلید عمومی
• نسخه SSL/TLS

TLS چیست؟

TLS مخفف امنیت لایه انتقال است. این جانشین و ادامه نسخه ۳.۰ پروتکل SSL/TLS است. فقط تفاوت‌های فنی جزئی بین SSL/TLS و TLS وجود دارد. مانند SSL/TLS، TLS یک کانال انتقال داده رمزگذاری شده بین یک مرورگر و وب سرور فراهم می‌کند. گواهی‌های SSL/TLS مدرن از پروتکل TLS به جای SSL/TLS استفاده می‌کنند، اما SSL/TLS همچنان یک مخفف محبوب در بین متخصصان امنیتی است. در حالی که دقیقاً یکسان نیستند، اصطلاحات SSL و TLS معمولاً به معنای یکسان استفاده می‌شوند. آنها همچنین ممکن است به پروتکل رمزگذاری رمزنگاری به عنوان SSL/TLS اشاره کنند.

گواهی SSL/TLS چگونه کار می‌کند؟

مرورگرها از گواهی SSL/TLS برای شروع یک اتصال ایمن با وب سرور از طریق handshake SSL/TLS استفاده می‌کنند. handshake SSL/TLS بخشی از فناوری ارتباطی پروتکل انتقال ابرمتن امن (HTTPS) است. این ترکیبی از HTTP و SSL/TLS است. HTTP پروتکلی است که مرورگرهای وب برای ارسال اطلاعات به صورت متن ساده به یک وب سرور استفاده می‌کنند. HTTP داده‌های رمزگذاری نشده را منتقل می‌کند، به این معنی که اطلاعات ارسال شده از یک مرورگر می‌تواند توسط اشخاص ثالث رهگیری و خوانده شود. مرورگرها از HTTP با SSL/TLS یا HTTPS برای ارتباط کاملاً ایمن استفاده می‌کنند.

handshake SSL/TLS: handshake SSL/TLS شامل مراحل زیر است:

1. مرورگر یک وب‌سایت ایمن با SSL/TLS را باز می‌کند و به وب سرور متصل می‌شود.
2. مرورگر با درخواست اطلاعات شناسایی، سعی می‌کند صحت وب سرور را تأیید کند.
3. وب سرور گواهی SSL/TLS را که حاوی یک کلید عمومی است به عنوان پاسخ ارسال می‌کند.
4. مرورگر گواهی SSL/TLS را تأیید می‌کند و مطمئن می‌شود که معتبر است و با دامنه وب‌سایت مطابقت دارد. هنگامی که مرورگر از گواهی SSL/TLS راضی شد، از کلید عمومی برای رمزگذاری و ارسال پیامی که حاوی یک کلید جلسه مخفی است استفاده می‌کند.
5. وب سرور از کلید خصوصی خود برای رمزگشایی پیام و بازیابی کلید جلسه استفاده می‌کند. سپس از کلید جلسه برای رمزگذاری و ارسال یک پیام تأیید به مرورگر استفاده می‌کند.
6. اکنون، هر دو مرورگر و وب سرور برای تبادل ایمن پیام‌ها به استفاده از همان کلید جلسه روی می‌آورند.

کلید جلسه: کلید جلسه پس از تکمیل احراز هویت اولیه SSL/TLS، ارتباط رمزگذاری شده بین مرورگر و وب سرور را حفظ می‌کند. کلید جلسه یک کلید رمز برای رمزنگاری متقارن است. رمزنگاری متقارن از یک کلید برای رمزگذاری و رمزگشایی استفاده می‌کند. رمزنگاری نامتقارن قدرت محاسباتی زیادی را می‌طلبد. بنابراین، وب سرور برای حفظ اتصال SSL/TLS به رمزنگاری متقارن که به محاسبات کمتری نیاز دارد، تغییر می‌کند.

انواع گواهی‌های SSL/TLS چیست؟

گواهی‌های SSL/TLS بر اساس اعتبارسنجی و دامنه متفاوت هستند. گواهی‌هایی با سطوح مختلف اعتبارسنجی به شرح زیر طبقه‌بندی می‌شوند:

• گواهی‌های اعتبارسنجی تمدید شده
• گواهی‌های اعتبارسنجی شده سازمان
• گواهی‌های اعتبارسنجی شده دامنه

گواهی‌های SSL/TLS که از انواع مختلف دامنه پشتیبانی می‌کنند عبارتند از:

• گواهی تک دامنه
• گواهی Wildcard
• گواهی چند دامنه

گواهی‌های اعتبارسنجی تمدید شده: گواهی اعتبارسنجی تمدید شده (EV SSL/TLS) یک گواهی دیجیتال است که بالاترین سطح رمزگذاری، اعتبارسنجی و اعتماد را دارد. هنگام درخواست EV SSL/TLS، یک سازمان یا صاحب وب توسط مراجع صدور گواهی تحت بررسی‌های دقیق قرار می‌گیرد. این شامل تأیید آدرس فیزیکی کسب و کار، درخواست گواهی مناسب و حقوق انحصاری برای استفاده از دامنه است.

کسب و کارها از EV SSL/TLS برای محافظت از کاربران در برابر اشخاص ثالث غیرمجاز استفاده می‌کنند. این امر زمانی مهم است که شرکت داده‌های حساسی مانند تراکنش‌های مالی و سوابق پزشکی را در وب‌سایت پردازش می‌کند. گواهی EV SSL/TLS حاوی جزئیات سازمان تجاری است که می‌تواند در مرورگر مشاهده شود.

گواهی‌های اعتبارسنجی شده سازمان: گواهی‌های اعتبارسنجی شده سازمان (OV SSL/TLS) از نظر اعتبارسنجی و اعتماد در رتبه دوم پس از EV SSL/TLS قرار دارند. مانند EV SSL/TLS، شرکت‌ها هنگام درخواست OV SSL/TLS باید یک فرآیند تأیید را طی کنند. در حالی که فرآیند بررسی کمتر دقیق است، متقاضیان باید مالکیت دامنه را به مراجع صدور گواهی ثابت کنند.

گواهی OV SSL/TLS حاوی اطلاعات تجاری تأیید شده است و می‌تواند در مرورگر بررسی شود. کسب و کارهای تجاری و رو به مشتری از گواهی OV SSL/TLS برای ایجاد اعتماد در بین مشتریان استفاده می‌کنند. OV SSL/TLS رمزگذاری قوی را برای محافظت از حریم خصوصی مشتریان هنگام مرور وب فراهم می‌کند.

گواهی‌های اعتبارسنجی شده دامنه: گواهی‌های اعتبارسنجی شده دامنه (DV SSL/TLS) گواهی‌های دیجیتالی هستند که کمترین اعتبارسنجی را دارند. آنها همچنین کمترین هزینه را برای درخواست دارند. برخلاف EV SLL و OV SSL/TLS، متقاضیان گواهی DV یک فرآیند بررسی کمتر دقیق را طی می‌کنند. متقاضی با پاسخ دادن به یک ایمیل یا تماس تلفنی تأیید، مالکیت دامنه را ثابت می‌کند.

گواهی DV حاوی اطلاعات کامل سازمان یا کسب و کار متقاضی نیست. بنابراین، اطمینان بالایی را برای کاربران فراهم نمی‌کند. گواهی‌های DV برای وب‌سایت‌های اطلاعاتی مانند وبلاگ‌ها مناسب هستند. آنها برای درگاه‌های پرداخت، مشاغل مراقبت‌های بهداشتی یا سایر وب‌سایت‌هایی که داده‌های حساس را مدیریت می‌کنند، ایده‌آل نیستند.

گواهی‌های SSL/TLS تک دامنه: گواهی SSL/TLS تک دامنه یک گواهی SSL/TLS است که فقط از یک دامنه یا زیر دامنه محافظت می‌کند. دامنه URL یا آدرس اصلی یک وب‌سایت است، مانند amazon.com. زیر دامنه یک آدرس وب با یک پسوند متنی است که قبل از دامنه اصلی قرار می‌گیرد، مانند aws.amazon.com.

به عنوان مثال، می‌توانید از یک گواهی SSL/TLS تک دامنه در http://example.com استفاده کنید. با این حال، نمی‌توانید از گواهی برای http://example.com و sub.example.com به طور همزمان استفاده کنید.

گواهی‌های SSL/TLS Wildcard: گواهی SSL/TLS Wildcard یک گواهی SSL/TLS است که از یک دامنه و تمام زیر دامنه‌های آن محافظت می‌کند. به عنوان مثال، می‌توانید از یک گواهی SSL/TLS Wildcard برای محافظت از http://example.com، blog.example.com و shop.example.com استفاده کنید.

گواهی‌های SSL/TLS چند دامنه: گواهی‌های چند دامنه به عنوان گواهی‌های ارتباطات یکپارچه نیز شناخته می‌شوند. گواهی SSL/TLS چند دامنه، محافظت SSL/TLS را برای نام‌های دامنه متعدد میزبانی شده در سرورهای مشابه یا متفاوت با مالکیت یکسان ارائه می‌دهد. به عنوان مثال، شما یک گواهی چند دامنه برای http://example1.com، domain2.co.uk، shop.business3.com و chat.message.au خریداری می‌کنید.