یکی از عبارت های پر تکرار در وب، HTTP و HTTPS است. در این مطلب به بررسی اهمیت استفاده از گواهینامه SSL می پردازیم.
هنگام استفاده از یک وب سایت، اطلاعات با استفاده از پروتکل HTTP بین سرور و کاربر جابجا می شود. پروتکل HTTP مخفف عبارت Hypertext Transfer Protocol به معنی پروتکل انتقال ابرمتن است. در این پروتکل اطلاعات بدون رمزنگاری ارسال و دریافت می شوند. این یعنی که تمام اطلاعات توسط هر شخصی قابل خواندن است. در اینجا نیاز به وجود راه امن تری برای ارتباط بین سرور و کلاینت احساس شد. پروتکل جدیدی با نام HTTPS در سال ۱۹۹۴ توسط Netscape ایجاد شد. عبارت HTTPS مخفف Hypertext Transfer Protocol Secure است. در واقع در این روش با استفاده از گواهینامه SSL، اطلاعات به شکل رمزنگاری شده جابجا می شوند.
گواهینامه SSL چیست
گواهینامه SSL یک فناوری جهت ایجاد امنیت در اتصال به وب سایت ها است. این عبارت مخفف Secure Sockets Layer و به معنی لایه اتصال امن است. برای استفاده از یک وب سایت اطلاعات مختلفی بین کاربر و سرور جابجا می شوند. حال در این مسیر افراد مختلفی، مانند ISP، هکر ها و …، امکان مشاهده این اطلاعات را دارند. گواهینامه SSL مسیر ارتباطی ما را با رمزنگاری اطلاعات امن می کند. در این حالت در صورت امکان مشاهده اطلاعات در مسیر نیز، امکان خواندن آنها وجود ندارد. با داشتن این گواهینامه در وب سایت خود، نوع اتصال از HTTP به HTTPS تغییر می کند. در ابتدا این پروتکل برای وب سایت هایی با اطلاعات حساس مانند حساب بانکی و … توصیه می شد. اما کمپانی های بزرگی مانند گوگل، اهمیت استفاده از آن را متوجه شدند. به شکلی که گوگل در سال ۲۰۱۸ سایت های HTTP را با برچسب «غیر امن» معرفی می کرد. همین موضوع باعث فراگیری و اهمیت استفاده از گواهینامه SSL شد. گواهینامه دیگری با نام TLS (Transport Layer Security) نیز وجود دارد. «گواهینامه TLS» در واقع همان نسخه بروز و بهتر SSL است.
انواع SSL
به صورت کلی گواهینامه SSL به سه نوع مختلف تقسیم می شود. در تمام موارد اتصال بین کاربر و سرور امن می شود. اما اعتبار کلی این گواهینامه ها با هم تفاوت دارند. انواع SSL به شکل زیر است:
- گواهینامه اعتبار سنجی دامنه یا (DV (domain validation: این گواهینامه تنها با بررسی مالکیت دامنه صادر می شود. در مقابل انواع دیگر ارزان تر و سریع تر قابل دریافت است. اما تنها برای تبدیل HTTP به HTTPS کارایی دارد.
- گواهینامه اعتبار سنجی سازمانی OV (organization validation): این گواهینامه تنها به افراد حقوقی و سازمان ها ارائه می شود. در این مدل مدارک مختلفی برای تایید هویت سازمان دریافت می شود. در گواهینامه های OV، نام سازمان نیز در توضیحات گواهینامه ذکر می شود. به این دلیل، علاوه بر اتصال امن، از رسمیت وب سایت نیز اطمینان پیدا می کنیم. هزینه در این روش بیشتر از حالت DV است. همچنین به دلیل نیاز به بررسی مدارک نیز مدت زمان بیشتری برای دریافت آن نیاز است.
- گواهینامه اعتبار سنجی توسعه یافته EV (Extended Validation): این مدل شباهت زیادی با حالت OV دارد. با این تفاوت که مدارک بیشتری و با دقت بالاتر بررسی می شوند. این گواهینامه به دلیل هزینه های بیشتر تنها توسط شرکت های بزرگ مانند گوگل و … استفاده می شود. به نوعی تنها اعتبار گواهینامه EV بیشتر از OV است.
روش کار SSL/TLS
پس از باز کردن یک وب سایت با اتصال امن، مراحلی برای ایجاد این ارتباط طی می شود. در مرحله اول مرورگر یک درخواست برای سرور ارسال می کند. سرور نیز در پاسخ به آن یک «کلید عمومی» را به مرورگر ارسال می کند. مرورگر نیز پس از بررسی صحت اطلاعات گواهینامه، یک «کلید نشست» (session key) ایجاد کرده و با استفاده از کلید عمومی سرور، رمز می کند. این اطلاعات رمزنگاری شده تنها با استفاده از «کلید خصوصی» موجود بر روی سرور قابل خواندن است. سرور نیز با استفاده از همان کلید خصوصی، کلید نشست را باز می کند. پس سرور و مرورگر هر دو یک session key یکتا و امن را در اختیار دارند. از این پس تمام اطلاعات با استفاده از همین کلید رمزنگاری و ارسال می شوند.