مفهوم SSL و کاربرد آن
Category : امنیت Security شبکه Network
SSL چیست؟
ssl مخفف عبارت Secure Sockets Layer است، یک تکنولوژی رمزگذاری که توسط Netscape ابداع شده است. ssl یک ارتباط رمزگذاری شده بین سرور وب شما و مرورگر بازدید کننده از سایت شما ایجاد می کند که این ارتباط اطلاعات خصوصی شما را بدون مشکلاتی نظیر دزدیده شدن و یا دستکاری آنها انتقال می دهد.
برای داشتن قابلیت ssl بر روی وب سایت ، شما نیاز دارید که یک گواهینامه ssl (ssl cetificate) داشته باشید که شما را شناسایی کند و ssl را بر روی سرور شما نصب کند. استفاده از گواهینامه ssl بر روی سایت معمولا” با یک آیکون قفل در مرورگر نشان داده می شود ، البته این می تواند با نوار آدرس سبز رنگ نیز شناسایی شود. وقتی شما ssl را نصب کردیدبوسیله ی تغییر url از http:// به https:// می توانید یک سایت امن داشته باشید . وقتی که گواهینامه ssl بر روی وب سایت نصب شود ، شما می توانید مطمئن باشید اطلاعاتی که وارد می کنید (مانند اطلاعات تماس یا کارت اعتباری) ، امنیت داشته و فقط بوسیله ی سازمانی که دارنده ی آن وب سایت است مشاهده می شود.
میلیون ها کسب و کار اینترنتی از گواهینامه ssl استفاده می کنند تا وب سایتشان امنیت داشته باشد و به مشتریان اجازه دهند تا به آنها اعتماد کنند. به منظور استفاده از پروتکل ssl ، یک وب سرور باید از گواهینامه ssl استفاده کند. گواهینامه های ssl توسط متصدیان ssl (Certificate Authorities) (CAs) ارائه می شود.
چرا به ssl نیاز داریم؟
اگر شما اطلاعات مهمی مانند شماره های کارت اعتباری یا اطلاعات شخصی را روی یک وب سایت انتقال می دهید ، باید امنیت انتقال را رمزگذاری ssl تأمین کنید. این امکان وجود دارد که هر تکه ای از اطلاعات بوسیله ی گواهینامه ssl امن شده باشد.
مشتری های شما به وب سایت شما بدون گواهینامه ssl اعتماد نمی کنند. بر طبق تحقیقات ، نزدیک ۷۰% از خریداران آنلاین خریدشان را فسخ می کنند چون به آن معامله اعتماد ندارند. در آن موارد ، ۶۴% نشان دادند که حضور یک مارک اعتماد باعث می شود که آن معامله را فسخ نکنند. یک گواهینامه ی ssl می تواند باعث شود که مردم وب سایت شما را رها نکنند و معنی این پول بیشتر برای شماست.
متخصص (متصدی) (Certificate Authority) (CA) گواهینامه چیست؟
متصدی گواهینامه ، گواهینامه های دیجیتالی را برای ادارات یا مردم بعد از اعتبار سنجی آنها صادر می کند. متصدیان گواهینامه باید سوابق دقیقی از آنچه صادر شده و اطلاعات استفاده شده جهت صدور آن نگه دارند.
هر متصدی گواهینامه یک بیانیه تمرین گواهینامه (Certification Practice Statement ) (CPS) ارائه می دهد که روش هایی که برای تأیید برنامه های کاربردی استفاده خواهند شد را معرفی می کند.
CA های تجاری خیلی زیادی وجود دارند که مسئولیت این سرویس ها را بر عهده دارند (Verisign). البته موسسات و دولت ها ممکن است CA های شخصی خودشان را داشته باشند و همچنین متصدیان گواهینامه رایگان نیز وجود دارند.
هر متصدی گواهینامه محصولات ، ویژگی های گواهینامه ی ssl ، سطوح رضایت مشتری و نیز قیمت های متفاوتی دارد.
چطور می توان گواهینامه های ssl را بین متصدیان گواهینامه مقایسه کرد؟
گواهینامه های Verisign بهتر هستند، چون هزینه ی آنها خیلی زیاد است ، درسته؟ نه لزوما”. شما می توانید یک گواهینامه را با ۱۰۰ دلار بگیرید که دقیقا” همان چیزهایی را داشته باشد که یک گواهینامه ی ۸۰۰ دلاری از یک متصدی گواهینامه دیگر دارد. این دقیقا” همان رمزگذاری ssl است.
چرا تفاوت؟ اعتماد بزرگترین تفاوت است. چون Verisign قدمت بیشتری از سایر متصدیان گواهینامه دارد ، بیشتر مردم به آن ها اعتماد دارند بنابراین آنها می توانند مسئولیت بیشتری داشته باشند. در واقع شما اساسا” پول برند را می پردازید.
سازگاری مرورگر چیست؟
گواهینامه ای که شما برای امنیت وب سایتتان خریداری کرده اید، باید توسط گواهینامه های دیگری که در حال حاضر در بخش گواهینامه های مورد اعتماد (Trusted Store) مرورگرهای وب کاربران شما قرار دارد، امضای دیجیتالی شده باشد.در اینصورت مرورگر گواهینامه شما را (در واقع صادر کننده آنرا) با موارد دیگر که دیگر کاربران به آن اعتماد داشته اند و استفاده می کنند مقایسه میکند و اگر در آن لیست مورد مشابه باشد، بصورت خودکار آنرا می پذیرد، و لی در غیر اینصورت با نمایش پیغام هشداری به کاربر سایت این نکته را اعلام می کند که این گواهینامه قبلاً مورد تایید قرار نگرفته است، و کاربر باید آنرا بصورت دستی به لیست اضافه کند.
بنابراین سازگاری مرورگر به این معنی است که گواهینامه ای که شما خریداری می کنید باید بوسیله ی گواهینامه ی root ایی که در حال حاضر مورد اعتماد اکثر مرورگرهای وبی که مشتریان شما ممکن است از آنها استفاده کنند ، امضا شده باشد.
گواهینامه هایی که توسط صادر کنندگان بزرگ و معتبر صادر می گردند، تا ۹۹% توسط مرورگرهای شناخته شده و به کاربر اعلام میکند که این سایت و گواهینامه آن مورد تایید است، یا در واقع این گواهینامه با مرورگر سازگار است.
در آدرسهای زیر می توانید لیستی از صادر کنندگان معتبر و گواهینامه های آنها و مرورگرهایی که با آن سازگاری دارند را می توانید بیابید:
چند تا دامنه را می توان امن کرد؟
بیشتر گواهینامه های سرور ssl فقط یک دامنه یا زیر دامنه را امن خواهند کرد. برای مثال ، یک گواهینامه می تواند یکی از www.yourdomain.com یا mail.yourdomail.com را امن کند اما نه هر دو تای آنها را. البته گواهینامه همچنان روی نام دامنه ی متفاوت کار خواهد کرد، اما مرورگر وب هر زمان که ببیند نام دامنه در آدرس بار با نام دامنه در گواهینامه یکی نیست (Common Name) هشدار خواهد کرد. اگر شما نیاز دارید چندین زیر دامنه روی یک نام دامنه را امن کنید ، شما می توانید یک گواهینامه wildcard خریداری کنید. می توانید با یک گواهینامه wildcard یک نام رایج *.yourdomain.com دامنه های www.yourdomain.com ، mail.yourdomain.com ، secure.yourdomain.com و غیره را امن کنید. این جا همچنین گواهینامه های ویژه ای مانند گواهینامه ارتباطات یکپارچه (UC – Unified Communications) برای Exchange Server 2007 مایکروسافت وجود دارد، که می تواند چندین نام دامنه متفاوت را در یک گواهینامه امن کند.
مهر و موم (seal) اعتماد چیست؟ (لوگوی اعتماد)
مهر و موم اعتماد یک لوگو است که شما می توانید آن را روی وب سایت خود نمایش دهید تا تأیید کند شما بوسیله ی یک ارائه دهنده ی گواهینامه ویژه اعتبار سنجی شده اید و از گواهینامه ssl آن ها برای امن ساختن سایت خود استفاده می کنید. این لوگو می تواند روی صفحات امن و نا امن نمایش داده شود و برای صفحاتی که مشتری اطلاعات شخصی خود را وارد می کند خیلی مناسب است ، مانند صفحه ی خرید. اما شما میتوانید این لوگو را در هر صفحه ای که به ساختن اعتماد کمک می کند نمایش دهید. مهر و موم اعتماد هر متصدی گواهینامه متفاوت است و بعضی از آنها ممکن است خیلی حرفه ای به نظر برسند بنابراین شما باید در نظر بگیرید چه مهر و موم اعتمادی، اعتماد مشتریان شما را به حد اکثر می رساند.
در انتها ضمن اینکه امیدواریم این مطلب هرچند خلاصه و اجمالی توانسته باشد در زمینه SSL اطلاعات خوبی در اختیار شما گذاشته باشد.
حال آیا به نظر شما این گواهینامه در سایتهای ایرانی تا چه حد می تواند برای جلب اعتماد کاربران ایرانی مفید باشد؟ و اصلاً کاربران چقدر به این موضوع توجه و اهمیت می دهند؟
آخرین دیدگاهها