آشنایی با  SSL و TLS

(TLS (Transport Layer Security و (SSL (Secure Sockets Layer پروتکلی هستند که رمزگذاری و احراز هویت داده را بین سرورها ، ماشین ها و برنامه ها از طریق شبکه (به عنوان مثال ، یک مرورگر متصل به وب سایت) فراهم می کنند.

چگونه کار می کند؟

هر اتصال SSL / TLS با “handshake” (دست دادن) شروع می شود، مذاکره بین دو طرف (به عنوان مثال مرورگر و وب سرور) که نحوه رمزگذاری ارتباطات آنها را تعیین می کند.

این دست دادن هویت دو طرف را تأیید می کند ، تعیین می کند که از چه مجموعه رمزگذاری استفاده می شود و یک اتصال ایمن برقرار می کند. همه اینها قبل از انتقال واقعی داده ها انجام می شود.

در نظر بگیرید، شما از یک وب سایت امن در اینترنت بازدید می کنید:

مرورگر تلاش می کند تا به وب سایت امن متصل شود. این نیز به عنوان Client Hello شناخته می شود. با این کار ، مرورگر به وب سرور می گوید که می خواهد یک جلسه رمزگذاری شده تنظیم کند و لیستی از مجموعه های رمزگذاری شده(list of cipher suites)  و نسخه های SSL / TLS را که می توانند استفاده کنند ، به سرور وب می دهد.

سپس وب سرور به همراه گواهی SSL ، کلید عمومی(public key) ، تنظیمات رمزگذاری(cipher ) و شماره نسخه SSL ، مرورگر را با یک   Server Hello  پاسخ می دهد.

سپس مرورگر گواهی سرور را تأیید می کند که  آیا معتبر است؟ آیا از یک منبع معتمد (trusted party) حاصل شده است؟ و آیا نام موجود در گواهینامه با نام وب سایت مطابقت دارد؟ پس از تأیید ، مرورگر از کلید عمومی برای ایجاد یک Pre-master key استفاده می کند و آن را به وب سرور ارسال می کند.

وب سرور سپس از کلید خصوصی خود برای رمزگشایی Pre-master key استفاده می کند و از آن برای ایجاد master key استفاده می کند. وب سرور سپس یک تأیید نامه امضا شده دیجیتالی را به مرورگر ارسال می کند تا نشانه شروع رمزگذاری SSL  باشد.

از این مرحله به بعد ، تمام داده های منتقل شده یا مشترک بین مرورگر و وب سرور با استفاده از master key رمزگذاری می شوند.

بله ، همه اینها هر بار که مرورگر خود را به یک وب سایت امن هدایت می کنید اتفاق می افتد.

گواهی SSL / TLS چقدر مهم است؟

هدف اصلی یک گواهینامه SSL / TLS رمزگذاری اطلاعات به گونه ای است که فقط توسط طرف های مورد نظر قابل خواندن و درک باشد.

اطلاعات ارسالی از طریق اینترنت معمولاً قبل از رسیدن به مقصد نهایی از بیش از یک رایانه عبور می کنند و باعث آسیب پذیری و ناامنی آنها می شود. همانطور که در بخش بالا آموخته ایم ، یک گواهینامه SSL با استفاده از یک کلید اصلی که فقط بین سرور مورد نظر و مرورگر مشترک است ، داده ها را رمزگذاری می کند. به این ترتیب ، اگر داده ها در هر توقف در مسیر اشتباه قرار بگیرند ، غیرقابل خواندن و بی فایده خواهند بود.

اگر قصد راه اندازی فروشگاه اینترنتی را دارید و می خواهید پرداخت آنلاین را بپذیرید ، باید گواهی SSL داشته باشید – برای انطباق صنعت کارت پرداخت این مورد لازم است. دلایل و مزایای دیگر داشتن گواهینامه  SSL / TLS :

  1. قدرت نام تجاری را نمایش می دهد.
  2. اعتماد مشتری را جلب می کند.
  3. هم از داده های مشتری و هم از داده های داخلی محافظت می کند.
  4. یک وب سایت امن HTTPS رتبه بندی Google را قوی تر می کند.
  5. وقتی کاربران از اکتبر 2017 اطلاعات را در یک صفحه وب غیر SSL وارد می کنند ، Google Chrome هشدار “Not Secure” را نشان می دهد.

آیا وب سایت من به گواهی SSL / TLS نیاز دارد؟

همه وب سایت ها به SSL / TLS نیاز ندارند.

این سناریوها را در نظر بگیرید:

شما محصولاتی را می فروشید،  اگر پرداخت کارت اعتباری را مستقیماً در وب سایت خود انجام می دهید ، به یک گواهینامه SSL / TLS نیاز دارید.

شما اطلاعات شخصی را جمع آوری می کنید، اگر در حال جمع آوری اطلاعات شخصی (مانند آدرس ایمیل ، نام ، آدرس پستی و غیره) در وب سایت خود هستید ، SSL  ایده خوبی خواهد بود.

شما عضویت را ارائه می دهید،  اگر یک وب سایت عضویت دارید (یا یک بخش فقط اعضا دارید) ، SSL ممکن است ایده خوبی باشد ، به خصوص هنگامی که بسیاری از اعضا به احتمال زیاد از نام کاربری ورود به سیستم و ترکیبات رمز عبور مشابه در وب سایت های دیگر استفاده می کنند.

شما یک وبلاگ یا گالری عکس آنلاین راه اندازی می کنید، اگر وب سایت شما فقط یک وبلاگ یا گالری عکس است بدون هیچ محصولی ، بدون عضویت و بدون تبادل اطلاعات حساس ، احتمالاً به SSL نیازی نیست.

شما یک کاتالوگ کالای آنلاین اجرا می کنید و همه سفارشات بصورت آفلاین انجام می شوند، اگر هیچگونه پرداخت یا اطلاعات شخصی بصورت آنلاین را قبول نمی کنید، پس بدون گواهی SSL می توانید فعالیت کنید.

چگونه مشتریان من می دانند که من دارای گواهینامه SSL / TLS هستم؟

دو راه وجود دارد که بازدیدکنندگان از داشتن گواهی SSL / TLS یک وب سایت آگاهی یابند:

  • آنها متوجه خواهند شد که http در خط آدرس با https جایگزین شده است.
  • آنها یک قفل کوچک در آدرس مشاهده خواهند کرد.

هنگام خرید یک گواهینامه SSL / TLS ، یک مهر سایت نیز دریافت می کنید که می توانید آن را به وب سایت خود اضافه کنید.

نمونه ای از وب سایت با SSL

جزئیات گواهی SSL / TLS شما ، از جمله مرجع صدور و نام شرکت صاحب وب سایت ، با کلیک بر روی نماد قفل مشاهده می شود.

جزئیات SSL در مرورگر

علاوه بر HTTPS ، از SSL / TLS می توان برای ایمن سازی سایر پروتکل های خاص برنامه، مانند SMTP نیز استفاده کرد.

اگر نمی خواهم از گواهینامه SSL / TLS استفاده کنم چه می کنم؟

اگر نمی خواهید از گواهینامه SSL یا TLS استفاده کنید ، ارتباطات در وب سایت شما (به عنوان مثال بین بازدید کننده و سرور شما) به راحتی می تواند به یک خط مهمانی برای شنوندگان شنود تبدیل شود.