گواهی های SSL یک ارتباط رمز شده ایجاد می کنند تا زمینه ساز ایجاد اعتماد شوند.

یکی از مهمترین اجزای کسب و کارهای برخط (Online) ایجاد محیطی قابل اعتماد است که مشتریان بالقوه هنگام انجام خرید، دلگرم بوده و هیچ احساس نگرانی نداشته باشند. گواهی های SSL مبنا و پایه ی اعتماد را بر فراهم کردن یک ارتباط امن قرار می دهند. به منظور آنکه بازدیدکنندگان از امن بودن ارتباط شان مطمئن شوند، مرورگرها از نشانه های بصری ویژه ای استفاده می کنند که به آن شاخص های EV گفته می شود (EV indicators). از آن جمله می توان به یک قفل سبز رنگ یا نوار آدرس نشان دار شده اشاره کرد.

SSL یا لایه سوکت های امن (Secure Sockets Layer) چیست؟

لایه سوکت های امن (SSL) یک فناوری امنیتی استاندارد برای برقراری ارتباط رمز شده بین یک سرور و یک مشتری (Client) است؛ که معمولا یک وب سرور (وب سایت) و یک مرورگر، و یا یک سرور ایمیل و یک مشتری ایمیل (mail client) مثلا Outlook هستند.

SSL این امکان را فراهم می کند تا اطلاعات حساس همچون شماره کارت اعتباری، شماره های تامین اجتماعی و اطلاعات ورود به حساب های کاربری، به صورت امن منتقل شوند. به طور معمول، داده ها بین وب سرورها و مرورگرها به صورت متنی ساده و واضح جا به جا می شود. به این ترتیب شما در معرض استراق سمع قرار خواهید داشت. اگر یک مهاجم (attacker) قادر به رهگیری تمام داده های ارسال شده بین یک مرورگر و یک وب سرور باشد، می تواند آن اطلاعات را مشاهده و استفاده کند.

به طور خاص ، SSL یک پروتکل امنیتی است. پروتکل ها نحوه استفاده از الگوریتم ها را توصیف می کنند. در این حالت، پروتکل SSL متغیرهای رمزگذاری را برای پیوند و همچنین داده های منتقل شده تعیین می کند.

همه ی مرورگرها توانایی برقراری ارتباط با وب سرورهایی که با استفاده از پروتکل SSL ایمن شده اند را دارند. در هر صورت، مرورگر و سرور به آنچه به نام SSL Certificate (گواهی SSL) گفته می شود نیاز دارند تا بتوانند یک اتصال امن برقرار کنند.

روزانه اطلاعات میلیون ها نفر به ویژه در معاملات آنلاین یا هنگام انتقال اطلاعات محرمانه، در بستر اینترنت به وسیله SSL ایمن می شود.

کابران اینترنت هنگامی که قفل امنیتی یا لینک آدرس سبز رنگ را همراه با وب سایت های دارای گواهی SSL مشاهده می کنند، احساس امنیت دارند. همچنین آدرس وب سایت هایی که دارای گواهی امنیتی SSL هستند، به جای http با https آغاز می شود.

SSL چطور کار می کند؟

گواهی های SSL دارای یک زوج کلید هستند: یک کلید عمومی و یک کلید خصوصی. این کلیدها برای برقراری یک ارتباط رمز شده با هم کار می کنند. علاوه بر آن گواهی شامل چیزی تحت عنوان “subject” است که هویت مالک گواهی/وب سایت است.

برای دریافت یک گواهی، باید روی سرور خود یک درخواست امضای گواهی (CSR) ایجاد کنید. این فرآیند یک کلید اختصاصی و یک کلید عمومی در سرور شما ایجاد می کند. فایل داده CSR که برای صادرکننده گواهی SSL (که مرجع صدور گواهی دیجیتال یا CA نامیده می شود) ارسال می کنید، حاوی کلید عمومی می باشد. صادرکننده گواهی (CA) از فایل داده CRS برای ایجاد ساختار داده متناسب با کلید اختصاصی استفاده می کند، بدون اینکه خود کلید به خطر بیافتد. صادرکننده گواهی هرگز کلید اختصاصی را نمی بیند.

پس از دریافت گواهینامه SSL، آن را روی سرور خود نصب می کنید. همچنین شما یک گواهی میانی (intermediate certificate) نصب می کنید که اعتبار گواهی SSL شما را از طریق برقراری ارتباط با گواهی CA ریشه تامین می کند. دستورالعمل های نصب و آزمایش گواهی شما با توجه به نوع سرور متفاوت خواهد بود.

در تصویر زیر می توانید آنچه را زنجیره گواهی نامیده می شود مشاهده کنید. این گواهی سرور شما را از طریق یک گواهی واسطه به گواهی ریشه CA (در این مورد DigiCert) متصل می کند.

مهم ترین بخش گواهی SSL آن است که توسط یک صادرکننده معتبر گواهی مانند DigiCert امضاء الکترونیکی شده باشد. هرکسی می تواند این گواهینامه را صادر کند، اما مرورگرها فقط به گواهینامه هایی اعتماد می کنند که از سوی سازمان های مورد تایید صادر شده باشند. مرورگرها یک فهرست از پیش مشخص شده صادرکنندگان گواهی معتبر تحت عنوان مخزن Root CA به همراه دارند. برای اینکه شرکتی به مخزن Root CA قابل اعتماد اضافه شود و بدین ترتیب به یک مرجع صدور گواهی دیجیتال تبدیل شود، باید مطابق با استانداردهای امنیتی و احراز هویت تعیین شده توسط مرورگرها عمل کند.

گواهی SSL صادرشده توسط یک CA برای یک سازمان و دامنه / وب سایت آن تایید کننده آن است که شخص ثالث مورد اعتماد، هویت آن سازمان را تایید کرده است. از آن جایی که مرورگر به صادرکننده گواهی اعتماد دارد، به هویت آن سازمان نیز اعتماد می کند. مرورگر به کاربر اطمینان می دهد که وب سایت امن است و کاربر می تواند هنگام مشاهده سایت و حتی وارد کردن اطلاعات محرمانه خود احساس امنیت کند.

چگونه گواهی SSL یک ارتباط امن ایجاد می کند؟

هرگاه یک مرورگر برای دسترسی به یک وب سایت که به وسیله SSL امن شده است، اقدام می کند؛ مرورگر و وب سرور طی فرآیندی با عنوان “SSL Handshake” ارتباط SSL را برقرار میکنند (به نمودار زیر توجه کنید). توجه داشته باشید که این عملیات برای کاربر غیر قابل رویت است و بلافاصله اتفاق می افتد.

اساسا، سه کلید برای برقراری ارتباط SSL مورد استفاده قرار می گیرند: کلیدهای عمومی، اختصاصی و session. هر چیزی که به وسیله کلید عمومی رمزگذاری شده باشد، فقط می تواند به وسیله کلید اختصاصی رمزگشایی شود و بالعکس.

از آن جایی که رمزگذاری و رمزگشایی با کلیدهای عمومی و اختصاصی توان پردازشی زیادی مصرف می کند، فقط حین پروسه SSL Handshake از آنها استفاده می شود تا یک کلید session متقارن ایجاد شود. پس از برقراری این ارتباط امن، از کلید session برای رمزنگاری همه اطلاعات ارسال شده استفاده می شود.

1. مرورگر به وب سروری (وب سایتی) که به وسیله SSL (https) ایمن شده است، متصل می شود. مرورگر درخواست می کند که سرور هویت خود را ابراز نماید.
2. سرور یک نسخه کپی از گواهی SSL، شامل کلید عمومی سرور را ارسال می نماید.
3. مرورگر ریشه ی گواهی را با فهرستی از صادرکنندگان معتبر گواهی چک می کند تا ببینید گواهی منقضی و لغو نشده باشد و نام عمومی آن برای وب سایتی که به آن متصل می شود، اعتبار داشته باشد. اگر مرورگر به گواهی اعتماد کند، با استفاده از کلید عمومی، یک کلید session متقارن را ایجاد و ارسال می کند.
4. سرور با استفاده از کلید اختصاصی خود، کلید session متقارن را رمزگشایی کرده و تایید رمزنگاری توسط کلید session را برای آغاز رمزنگاری session ارسال می کند.
5. سرور و مرورگر از این پس همه اطلاعات ارتباطی را به وسیله کلید session رمزنگاری می کنند.

گواهی من از نوع SSL است یا TLS؟

پروتکل SSL همواره برای رمزنگاری و ایمن سازی اطلاعات مورد استفاده قرار می گیرد. با هر بار انتشار نسخه جدید و امن تر، تغییر شماره نسخه نشان دهنده این تغییرات بوده است (مثلا، SSLv2.0)؛ اما وقتی زمان آپدیت نسخه SSLv3.0 رسید، به جای اینکه نسخه جدید آن را SSLv4.0 بنامند، این نسخه به TLSv1.0 تغییر نام داد. در حال حاضر که این مقاله نوشته می شود نسخه TLSv1.3 منتشر شده است.

به دلیل اینکه SSL هنوز هم شناخته شده تر می باشد، اغلب هنگام اشاره به گواهی امنیتی یا تشریح نحوه ارسال امن اطلاعات، از اصطلاح SSL استفاده می شود.

منبع: What is an SSL Certificate and How Does it Work
ترجمه: سیدمحمدحسین طباطبایی بالا

در تهیه و ترجمه این مقاله از گواهی SSL چیست؟ کمک گرفته شده است.