SSL چیست و چه کاربردی دارد؟

آیا تابه‌حال به این موضوع دقت کرده‌اید که پیشوند بعضی از وب‌سایت‌ها HTTP و برخی دیگر HTTPS است؟ وب‌سایت‌هایی که از پیشوند HTTPS استفاده می‌کنند، امنیت بیشتری را برای بازدیدکنندگان خود فراهم می‌آورند و جلوی برخی از حملات سایبری را می‌گیرند. حتما برایتان سوال است که گواهینامه SSL چیست و چه کاربردی دارد؟ در این مقاله قصد داریم SSL را به زبان ساده توضیح دهیم و با بررسی انواع و کاربردهای آن شما را بیشتر با این پروتکل امنیتی آشنا کنیم. در انتهای مطلب نیز به شما آموزش می‌دهیم که چگونه برای دریافت SSL رایگان اقدام کنید.

SSL چیست؟

در پاسخ به سوال «SSL چیست» باید بگوییم: SSL مخفف Secure Sockets Layer است و به‌عنوان یک پروتکل امنیتی اینترنت مبتنی بر رمزگذاری شناخته می‌شود. به زبان ساده‌تر، SSL برای ایمن‌سازی ارتباط بین کاربران اینترنت و سرورهای وب کاربرد دارد.

این پروتکل امنیتی اینترنتی برای اولین بار در سال ۱۹۹۵ توسط Netscape با هدف اطمینان از حفظ حریم خصوصی، احراز هویت و یکپارچگی داده‌ها در ارتباطات اینترنتی توسعه پیدا کرد. URL وب‌سایتی که SSL را پیاده‌سازی می‌کند، حاوی عبارت HTTPS به جای HTTP خواهد بود.

البته ذکر این نکته نیز ضروری است که SSL از سال ۱۹۹۶ تاکنون به‌روز نشده و اکنون منسوخ شده است. امروزه از پروتکل رمزگذاری به‌روز TLS برای امنیت وب‌سایت استفاده می‌شود. در پاسخ به سوال «TLS چیست» باید بگوییم یک پروتکل رمزگذاری به‌روز است که در حال حاضر روی وب‌سایت‌ها پیاده‌سازی می‌شود. بااین‌حال بسیاری از افراد هنوز آن را با نام SSL می‌شناسند؛ اما همه ارائه‌دهندگان SSL درواقع پروتکل به‌روزرسانی‌شده TLS را عرضه می‌کنند.

گواهی SSL چیست؟

اگر قصد پیاده‌سازی SSL روی وب‌سایتتان را دارید، ابتدا باید برای دریافت SSL اقدام کنید. گواهینامه SSL دقیقا مانند یک کارت شناسایی برای وب‌سایت عمل می‌کند که حاوی اطلاعات مهم برای شناسایی وب‌سایت است. گواهینامه‌های SSL توسط سرور وب‌سایت یا اپلیکیشن در وب ذخیره و نمایش داده می‌شود.

گواهی SSL شامل چه اطلاعاتی است؟

یکی از مهم‌ترین اطلاعات در گواهی SSL کلید عمومی وب‌سایت است که امکان رمزگذاری و احراز هویت را فراهم می‌کند. دستگاه کاربر کلید عمومی را مشاهده کرده و از آن برای ایجاد کلیدهای رمزگذاری ایمن با وب سرور استفاده می‌کند.

علاوه‌بر کلید عمومی، وب سرور از یک کلید خصوصی نیز برخوردار است که مخفی نگه داشته می‌شود. کلید خصوصی وظیفه رمزگشایی داده‌های رمزگذاری‌شده با کلید عمومی را در اختیار دارد. اطلاعات موجود در گواهی‌نامه SSL شامل موارد زیر است:

• نام دامنه‌ای که گواهی برای آن صادر شده است.
• نام شخص، سازمان یا شرکتی که گواهی برای آن صادر شده است.
• نام مرجع صدور گواهی‌نامه که گواهی را صادر کرده است.
• امضای دیجیتالی مرجع گواهی‌نامه
• زیردامنه‌های مرتبط و به عبارتی تحت پوشش گواهی‌نامه (مجاز)
• تاریخ صدور گواهی‌نامه
• کلید عمومی مرتبط با گواهی‌نامه
• تاریخ انقضای گواهی‌نامه
• کلید خصوصی مرتبط با گواهی‌نامه (این کلید فقط توسط مالک وب‌سایت مورد استفاده قرار می‌گیرد)

گواهی‌نامه SSL چگونه کار می‌کند؟

اکنون که توضیح دادیم SSL و گواهینامه SSL چیست ممکن است این سوال برای شما به وجود آمده باشد که گواهی‌نامه SSL چگونه کار می‌کند؟ SSL با رمزگذاری انتقال داده بین مرورگر کاربر و سرورهای وب‌سایت، از داده‌ها در زمان تبادل در شبکه محافظت می‌کند. هنگامی که کاربر از وب‌سایت با پروتکل HTTPS بازدید می‌کند، ابتدا مرورگر وی معتبر بودن گواهی SSL وب‌سایت را تایید می‌کند.

درصورتی‌که همه موارد معتبر بودند، مرورگر از کلید عمومی وب‌سایت برای رمزگذاری داده‌ها استفاده می‌کند تا داده‌هایی که نیاز است به سرور موردنظر (وب‌سایت) فرستاده شود، به‌صورت رمزنگاری‌شده ارسال شود. سپس این داده‌ها، در سرور وب‌سایت با استفاده از ترکیبی از کلید عمومی و کلید خصوصی که فقط در اختیار مالک وب‌سایت است، رمزگشایی شده و مورد استفاده قرار می‌گیرد.

دلایل ضرورت استفاده از SSL/TLS

هر کاربر در محیط اینترنت در زمان بازدید از وب‌سایت، به تبادل داده می‌پردازد. برخی از این داده‌ها ممکن است حساس باشند. برای مثال، درصورتی‌که این داده‌ها شامل جزئیات پرداخت، اطلاعات کارت اعتباری یا اطلاعات ورود به سامانه‌ها باشند، این حساسیت دو چندان خواهد بود. زمانی که کاربر هنگام خرید از یک وب‌سایت، شماره کارت بانکی خود را وارد می‌کند، این اطلاعات بدون رمزگذاری در سراسر اینترنت جریان می‌یابد.

SSL برای اصلاح این مشکل و محافظت از حریم خصوصی کاربر ایجاد شده است. در واقع، این پروتکل امنیتی داده‌هایی را که بین کاربر و وب سرور تبادل می‌شود، به‌صورت کاراکترهای درهم در آورده تا امکان رهگیری داده‌ها توسط سایر افراد وجود نداشته باشد. به‌این‌ترتیب، شماره کارتی که کاربر هنگام خرید از وب‌سایت وارد کرده است، کاملا ایمن بوده و فقط برای همان وب‌سایت قابل مشاهده خواهد بود.

علاوه‌بر این، SSL با احراز هویت وب سرورها از انواع خاصی از حملات سایبری جلوگیری می‌کند؛ زیرا اغلب مهاجمان سعی می‌کنند با راه‌اندازی وب‌سایت‌های جعلی کاربران را فریب بدهند و داده‌هایشان را به سرقت ببرند. 

ضرورت برخورداری از گواهی SSL برای آدرس وب HTTPS

داشتن گواهی SSL برای آدرس وب HTTPS ضروری است؛ این مهم‌ترین نکته برای وب‌سایت‌هایی محسوب می‌شود که نیازمند ارتباطات امن هستند. HTTPS همان HTTP است که به وسیله SSL امن شده و S انتهایی آن از ابتدای کلمه Secure به معنی امن می‌آید. در واقع، وب‌سایت‌هایی که از HTTPS استفاده می‌کنند، ترافیک HTTP آن‌‌ها توسط SSL/TLS رمزگذاری شده است.

علاوه‌بر امنیت داده‌های کاربر در زمان انتقال، HTTPS باعث می‌شود وب‌سایت‌ها از دید کاربر قابل‌اعتمادتر باشند. بسیاری از کاربران تفاوت بین آدرس وب http و https را متوجه نخواهند شد، اما بیشتر مرورگرها اقدام به برچسب‌گذاری وب‌سایت‌های HTTP تحت عنوان «غیر امن» کرده‌اند و این موضوع را به وسیله یک اخطار کوچک (معمولا به رنگ قرمز) در کنار نام دامنه به اطلاع کاربر می‌رسانند. این نکته مهم در جلب اعتماد کاربران برای کارهایی مانند پرداخت پول که به امنیت نیاز دارد، موثر خواهد بود.

انواع گواهینامه‌های SSL

گواهینامه‌های SSL انواع مختلفی دارد که بر اساس نیازتان می‌توانید از هرکدام آن‌ها روی وب‌سایت استفاده کنید. بعضی از گواهینامه‌های SSL فقط برای یک وب‌سایت و برخی دیگر برای چندین وب‌سایت استفاده می‌شوند که در ادامه به بررسی آن‌ها می‌پردازیم:

• Single-domain: گواهی SSL تک‌دامنه فقط برای یک دامنه اعمال می‌شود.
• Wildcard: گواهی‌نامه Wildcard را می‌توان روی یک دامنه با زیردامنه‌های آن اعمال کرد.
• Multi-domain: گواهی SSL چنددامنه را می‌توان برای چندین دامنه غیرمرتبط استفاده کرد.

علاوه‌بر دسته‌بندی بالا، گواهی‌نامه‌های SSL سطوح اعتبارسنجی مختلفی دارند. انواع گواهی SSL بر اساس سطح اعتبارسنجی را می‌توانیم به شکل زیر نام ببریم:

• Domain Validation: ساده‌ترین و ارزان‌ترین نوع گواهی SSL گواهی DV است که هویت دامنه وب‌سایت را با ارسال ایمیل تایید خواهد کرد.
• Organization Validation: گواهی SSL OV علاوه‌بر تایید مالکیت دامنه مرتبط با سایت و رمزنگاری آن، قانونی بودن کسب‌وکار در سطح پایه را نیز تایید می‌کند. این گواهی برای کاربران قابل‌ اعتمادتر خواهد بود.
• Extended Validation: اعتبار گواهی SSL EV در بالاترین حد ممکن است. این گواهی را باید با ارائه مدارک ثبتی کسب‌وکار یا شرکت به نماینده CA دریافت کنید.

با نصب گواهی‌نامه SSL EV روی وب‌سایت، یک آیکون قفل سبزرنگ در کنار نام دامنه به کاربران نمایش داده می‌شود که کاربران را از امنیت کامل وب‌سایت مطمئن می‌کند. خرید گواهینامه SSL EV نسبت به DV و OV پیچیده‌تر است، هزینه بیشتری دارد و دریافت آن چند روز طول می‌کشد.

فعال‌سازی SSL چه مزایایی دارد؟

فعال بودن گواهینامه SSL می‌تواند مزایای زیر را برای وب‌سایت شما فراهم کند:

۱. امنیت

هدف اصلی گواهینامه SSL رمزگذاری اطلاعات است تا فقط توسط کاربران مورد نظر قابل خواندن باشند. اطلاعاتی که از طریق اینترنت جابه‌جا می‌شوند، ممکن است توسط افراد سودجو مورد سوءاستفاده قرار گیرند. SSL با رمزنگاری داده‌ها، یک‌سری کاراکترهای تصادفی را در آن‌ها درج می‌کند. به‌این‌ترتیب حتی در صورت دست‌یابی افراد سودجو به اطلاعات، داده‌ها برایشان غیرقابل فهم خواهد بود. بنابراین، فعال کردن گواهینامه SSL برای محافظت از اطلاعات حساس مانند شناسه‌های کاربری، رمز عبور و شماره کارت اعتباری لازم و ضروری است.

۲. احراز هویت

داده‌ها از طریق چندین واسطه و ISP در اینترنت منتقل می‌شوند. بنابراین امکان دسترسی به داده‌ها توسط شرکت‌های واسط وجود دارد. گواهینامه SSL تضمین می‌کند که اطلاعات وب‌سایت شما بدون امکان دسترسی توسط دیگری به‌درستی به سرور برسد. SSL برای انجام این کار از حفاظتی به نام گواهی سرور (Server certificate) استفاده می‌کند که این گواهی از معتبر بودن ارائه‌دهنده SSL اطمینان حاصل می‌کند.

۳. قابلیت اطمینان

وب‌سایت‌هایی که از گواهینامه SSL استفاده می‌کنند، یک قفل سبز در نوار آدرس آن‌ها نمایش داده می‌شود. این قفل اشاره می‌کند که وب‌سایت اقدامات امنیتی را انجام داده و به اندازه کافی برای انجام تراکنش‌ها قابل اعتماد است. بازدیدکنندگان با دیدن این قفل سبز به وب‌سایت اعتماد می‌کنند و متوجه می‌شوند که این وب‌سایت قانونی است و جعلی نیست.

۴. جلوگیری از فیشینگ

گاهی اوقات کاربران ایمیل‌های فیشینگ را اغلب به شکل تبلیغات و تأییدیه‌های ارسال دریافت می‌کنند که با کلیک روی لینک‌های درون ایمیل به وب‌سایت دیگری متصل می‌شوند. تنها هدف این وب‌سایت‌ها جمع‌آوری اطلاعات حساس مانند جزئیات کارت اعتباری است. از آن‌جایی که احتمال دریافت گواهینامه SSL توسط این وب‌سایت‌ها تقریبا غیرممکن است، کاربران می‌توانند متوجه شوند که این وب‌سایت غیرقابل اعتماد بوده و اطلاعات حساس خود را در آن وارد نمی‌کنند.

۵. پرداخت‌های آنلاین

همه وب‌سایت‌هایی که از درگاه پرداخت استفاده می‌کنند، ملزم به داشتن گواهینامه SSL با حداقل رمزگذاری 128 بیتی هستند. بدون گواهینامه SSL مناسب، این وب‌سایت‌ها نمی‌توانند پرداخت از طریق کارت‌های اعتباری را بپذیرند.

۶. نیازمندی‌های نرم‌افزار

برای فعال کردن SSL هیچ نیازی به نصب نرم‌افزار اضافی نیست. تنها چیزی که لازم است اتصال به اینترنت از طریق یک مرورگر وب استاندارد است. بنابراین هنگام فعال‌سازی SSL نیازی به هزینه خاصی بابت نصب نرم‌افزارهای اضافی وجود ندارد.

۷. سئو

گوگل اعلام کرده که داشتن گواهینامه SSL یکی از عوامل افزایش رتبه در موتورهای جستجو است. این الگوریتم به گونه‌ای طراحی شده است که وب‌سایت‌های دارای گواهینامه SSL در صفحات نتایج موتور جستجو (SERP) رتبه بالاتری خواهند داشت. تقریبا همه وب‌سایت‌هایی که در گوگل رتبه بالاتری دارند، از گواهینامه SSL نیز برخوردار هستند.

بررسی معایب SSL

علی‌رغم همه مزایای قابل توجهی که SSL ارائه می‌دهد، این پروتکل یک‌سری مشکلات و چالش‌هایی را نیز برای وب‌سایت‌ها به وجود می‌آورد که بهتر است قبل از فعال کردن آن، این موارد را بدانید:

۱. عملکرد و کارآیی

هنگامی که گواهینامه SSL در وب‌سایت مورد استفاده قرار می‌گیرد، به دلیل رمزگذاری و رمزگشایی داده‌ها سرعت تراکنش‌ها کاهش می‌یابد. بااین‌حال، این کاهش عملکرد فقط برای وب‌سایت‌هایی که تعداد بازدیدکنندگان زیادی دارند، قابل توجه خواهد بود.

۲. هزینه

خرید گواهینامه SSL و راه‌اندازی آن می‌تواند هزینه‌بر باشد. بااین‌حال برخی از شرکت‌های هاستینگ و ارائه‌دهنده سرویس CDN مانند ابر دراک گواهینامه‌های SSL رایگان نیز ارائه می‌دهند، اما فعال کردن SSL رایگان در هر هاستینگی توصیه نمی‌شود. با توجه به نوع گواهینامه SSL (از نظر سطح تایید هویت یا پوشش‌دهی تعداد دامنه‌ها و زیردامنه‌ها) هزینه می‌تواند متفاوت باشد.

۳. انقضا

گاهی اوقات گواهی SSL نیاز به تمدید دارد. اگر این گواهی هر چند وقت یک‌بار تمدید نشود، یک پیغام پاپ‌آپ مبنی بر منقضی شدن گواهینامه SSL به کاربران نشان داده می‌شود و بیان‌گر این است که وب‌سایت دیگر ایمن نیست. از این رو، مشتریان و کاربران وب‌سایت ممکن است اعتماد خود را در انجام تراکنش‌ها از دست بدهند.

۴. کش کردن

اگر سیستم کش پروکسی در مرورگر وب پیچیده باشد، محتوای رمزگذاری‌شده برای کش شدن به مشکل بر می‌خورد. برای اینکه بتوان این رمزگذاری را مدیریت کرد، باید سروری اضافه شود که قبل از رسیدن محتوای رمزگذاری‌شده به سرور کش، از این رمزگذاری مراقبت کند. از این رو، کلیه داده‌های بازدیدکنندگان هنگام بازدید از وب‌سایت به‌خوبی رمزگذاری می‌شوند تا دیگر مشکلی برای کش شدن نداشته باشند.

۵. عوارض تنظیم نادرست

اگر گواهینامه SSL به‌درستی تنظیم نشود، فایل‌هایی که باید از طریق HTTPS ارائه شوند، از طریق HTTP ارائه خواهند شد. از این رو، یک پیام هشدار به بازدیدکنندگان نشان داده می‌شود که هنگام استفاده از وب‌سایت شما از اطلاعات آن‌ها محافظت نمی‌شود. برای جلوگیری از این مشکل باید از تنظیم دقیق پروتکل‌ها اطمینان حاصل کنید.

چگونه یک وب‌سایت می‌تواند گواهی‌نامه SSL کسب کند؟

برای معتبر بودن گواهی SSL، دامنه‌ها باید آن را از یک صادرکننده گواهی‌نامه معتبر (CA) دریافت کنند. CA یک سازمان یا شرکت مورد اعتماد است که گواهی‌نامه‌های SSL را تولید و به نام درخواست‌دهنده صادر می‌کند. همچنین CA این گواهی را با کلید خصوصی خود به‌صورت دیجیتالی امضا می‌کند و به دستگاه‌های کاربران اجازه می‌دهد آن را تایید کنند. بیشتر CAها برای صدور گواهی SSL هزینه دریافت می‌کنند. بااین‌حال امکان دریافت SSL رایگان نیز وجود دارد که در انتهای مقاله آن را توضیح خواهیم داد.

بعد از صدور گواهی‌نامه می‌توانید اطلاعات آن را با فرمت‌های pem (PEM-encoded) و der (DER-encoded) در پنل کاربری شرکت ارائه‌دهنده سرویس CDN بارگذاری کنید. پس از فعال شدن گواهی‌نامه روی سرور مبدا، وب‌سایت قادر به بارگذاری از طریق HTTPS خواهد بود و همه ترافیک وب‌سایت رمزگذاری شده و ایمن خواهد شد.

آیا گواهی‌نامه SSL خود امضا شده (Self-Signed SSL) معتبر است؟

از نظر فنی، هرکسی می‌تواند با تولید یک جفت‌سازی کلید عمومی خصوصی و درج کلیه اطلاعات ذکرشده در بالا، گواهی‌نامه SSL خود را ایجاد کند. به این نوع گواهی‌های SSL گواهی‌نامه‌های خود امضا گفته می‌شود؛ زیرا امضای دیجیتالی استفاده‌شده در آن به‌جای اینکه از CA باشد، کلید خصوصی شخص صادرکننده است.

با داشتن گواهی‌نامه‌های خود امضا شده، هیچ مرجع خارجی وجود ندارد که تایید کند سرور مبدا همانی است که ادعا می‌کند. مرورگرها گواهی‌نامه‌های خود امضا را قابل اعتماد نمی‌دانند و ممکن است با وجود داشتن آدرس https://، آن وب‌سایت را با برچسب «غیر امن» علامت‌گذاری کنند. همچنین ممکن است مرورگرها به‌طور کلی اتصال را قطع کرده و دسترسی به وب‌سایت را مسدود کنند.

با استفاده از CDN ابر دراک، SSL رایگان بگیرید!

گواهینامه SSL معمولا توسط سازمان‌ها و موسسات غیرانتفاعی، با هدف گسترش امنیت در سراسر وب و عادی‌سازی HTTPS ارائه می‌شود. SSL و CDN رایج‌ترین سرویس‌های مورد استفاده در وب‌سایت‌ها هستند. شرکت‌های هاستینگ مبالغ مختلفی را برای ارائه این خدمات دریافت می‌کنند و بسیاری از ارائه‌دهندگان CDN نیز ممکن است برای فعال کردن گواهینامه SSL هزینه اضافه‌تری بگیرند.

بااین‌حال، شرکت ابر دراک امکان دریافت SSL رایگان همراه با خرید سرویس CDN را برای شما مشتریان عزیز فراهم کرده است. به‌این‌ترتیب با خرید CDN دراک گواهینامه SSL نیز بدون هیچ هزینه‌ اضافه و کاملا رایگان برای وب‌سایت شما فعال خواهد شد.

گواهی‌نامه SSL رایگان اَبر دِراک، دامنه اصلی و همه زیردامنه‌های آن را تحت پوشش قرار می‌دهد؛ همچنین کلیه مراحل پیکربندی گواهی‌نامه و راه‌اندازی آن برای وب‌سایت به‌صورت خودکار توسط اَبر دِراک صورت می‌پذیرد.

اگر مالک دامنه هستید، با ثبت‌نام در وب‌سایت اَبر دِراک می‌توانید از کلیه گواهی‌نامه‌های معتبر موجود در پنل کاربری خود استفاده کنید. همچنین چنانچه از قبل گواهی‌نامه‌های Single Domain SSL یا Multi-Domain SSL را خریداری کرده‌اید نیز می‌توانید از گواهی‌نامه‌های خود در پنل کاربری اَبر دِراک استفاده کنید؛ همچنین در صورت نیاز، برای کل وب‌سایت یا قسمت‌هایی از آن، می‌توانید گواهی‌نامه SSL ابری رایگان تهیه کنید.

منابع

• https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certificate/
• https://www.wpbeginner.com/beginners-guide/how-to-get-a-free-ssl-certificate-for-your-wordpress-website/
• https://www.hitechwhizz.com/2020/08/7-advantages-and-disadvantages-drawbacks-benefits-
• https://www.cloudflare.com/learning/ssl/what-is-ssl/