گواهینامه امنیتی SSL چیست؟

به چه علتی به گواهینامه SSL نیاز داریم؟

گواهینامه SSL موارد زیر را به یکدیگر متصل می‌کند:

• نام دامنه، نام هاست یا نام سرور
• هویت سازمانی (به عبارتی نام شرکت) و موقعیت مکانی

برای آغاز و ایجاد یک ارتباط امن با مرورگرها، یک سازمان بایستی گواهینامه اس اس ال را روی وب‌سرور خود نصب نماید. با ایجاد این نوع اتصال امن، همه ترافیک میان مرورگر‌ها و وب‌سرور ایمن خواهد بود.

با نصب موفقیت‌آمیز آن روی سرور، پروتکل اپلیکیشن (که تحت عنوان HTTP نیز شناخته می‌شود) به HTTPS تغییر پیدا می‌کند، که در اینجا  “S” مخفف کلمه “Secure” به معنی امنیت و ایمن بودن است. در زمان بازدید از سایتی که دارای اس اس ال است، بستگی به نوع آن و نوع مرورگر، در browser علامت یک قفل یا یک نوار سبز ظاهر دارد.

گواهینامه SSL به چه صورتی کار می‌کند؟

انواع گواهینامه‌های اس‌ اس‌ ال از public key cryptography استفاده می‌نمایند. این نوع از رمزنگاری یا cryptography از دو key که رشته‌های تصادفی و طولانی از اعداد بوده، استفاده می‌نمایند. یکی از این‌ها private key و دیگری هم key public نامیده می‌شود. public key در سرور شناخته شده ‌است و در اختیار public domain است و می‌توان از آن برای رمزگذاری هر پیغامی استفاده نمود. فرض کنید دو شخص در حال ارسال پیغام به‌ همدیگر هستند، هنگامی که فرد اول در حال ارسال پیغام به فرد دوم باشد، آن پیغام با public key فرد دوم قفل شده و تنها راهی که می‌توان آن پیغام را رمزگشایی نمود، باز کردن قفل آن با private key فرد دوم است.

شخص دوم تنها فردی است که private key خود را در اختیار داشته، از این جهت تنها کسی است که این امکان را دارد که پیغام شخص اول را باز نماید. اگر پیش از باز کردن پیام به وسیله شخص دوم، هکری در بین راه به پیغام دسترسی پیدا نماید، همه آنچه مشاهده می‌نماید، متنی رمزنگاری شده یا cryptographic بوده که حتی یک کامپیوتر پرقدرت هم قادر به شکستن آن نیست.

اگر از منظر یک وب‌سایت به این مساله بنگریم، ارتباط میان وب‌سایت و سرور در واقع، همان دو فردی هستند که در حال تبادل پیغام با یکدیگرند.

مزیت‌های صدور گواهینامه SSL

با صدور گواهینامه‌ SSL برای یک وب‌سایت، از اطلاعات حساس و مهم کاربران در فضای وب، مثل تراکنش‌های مالی، رمز عبور، نام‌های کاربری و… محافظت می‌شود. از سویی دیگرگواهینامه‌ها این امکان را دارند که

• امنیت تبادل داده‌ها بین سرورها را حفظ نمایند
• اعتماد مشتری را ایجاد/تقویت نمایند
• سبب بهینه‌سازی نرخ تبدیل شوند
• رتبه‌بندی Google وب‌سایت شما را ارتقاء دهند

شرکت صادرکننده امنیتی یا CA کیست؟

شرکت‌هایی مانند COMODOT ,CERTUM ،‌GeoTrust  و… از قبیل شرکت‌های اصلی صادر‌کننده گواهینامه امنیتی یا همان CA‌ها هستند. این شرکت‌ها، نهاد‌های معتبری بوده که اطمینان و اعتبار لازم برای صدور گواهینامه‌های امنیتی دیجیتال را کسب نموده‌اند. CA  قانونی بودن شرکت و هویت شرکت یا فرد درخواست‌دهنده یک گواهینامه امنیتی را بررسی نموده و در صورت تایید، یک گواهینامه برای وی صادر می‌نماید.

‌سایت‌ها، گواهینامه را به وسیله  CA‌ها خریداری می‌نمایند.CA ‌ها گواهی‌های امنیتی و public keys را که جهت برقراری ارتباط در یک شبکه عمومی به کار برده می‌شوند، مدیریت و صادر می‌نمایند.

مرورگرهای وب به طور معمول لیستی از‌CA‌ها دارند که اعتبار گواهینامه‌ها را با این لیست مقایسه می‌نمایند. اگر که صادرکننده در این لیست نباشد، مبه طور مثال در مواردی یک سایت خودش گواهینامه را امضاء نماید، مرورگر پیغام هشداری را به کاربر نمایش می‌دهد بر این مبنا که گواهینامه امنیتی سایت مد نظر ناشناخته بوده و از کاربر درخواست می‌کند که در ادامه کار با آن سایت دقت و توجه نماید.

انواع گواهینامه SSL کدام هستند؟

قبل از رجوع به شرکت‌های عرضه کننده خدمات صدور گواهینامه SSL بایستی بدانید برای خرید گواهینامه SSL کدام نوع مناسب کسب‌و‌کار شما است. سه نوع اس اس ال متفاوت وجود دارد که هر یک سطح امنیتی مختلفی را عرضه می‌کنند. سطوح امنیتی در میان انواع گواهینامه‌ها دارای تفاوت بسیاری است. به همین علت، اهمیت دارد بدانیم که یک سایت در زمان انجام یک تراکنش مالی یا انجام هر شکلی از کار با داده‌های شخصی کاربر، از چه نوعی از آن استفاده نماید.

• گواهینامه اعتبار سنجی دامنه

گواهینامه‌های DV تنها مالکیت وب‌سایت را تایید می‌نمایند. که با یک فرایند ساده انجام می‌شود. یک CA برای تایید هویت، یک ایمیل به آدرس ایمیل وب‌سایت می فرستد و به هیچ اطلاعات دیگری درباره شرکت احتیاجی ندارد. توجه داشته باشید که گواهینامه‌های DV پایین‌ترین میزان اعتبار را دشته و به طور معمول به وسیله مجرمان سایبری مورد بهره‌گیری قرار می‌گیرند، چرا که به‌ آسانی قابل نفوذ هستند.

• گواهینامه اعتبار سنجی سازمانی

برای دریافت یک گواهینامه OV، یک CA باید اطلاعات بخصوصی از قبیل، مشخصات شرکت، نام دامنه وب‌سایت و موقعیت فیزیکی را تایید نماید. این روند معمولا چند روز زمان می‌برد. گواهینامه‌های OV از سطح اعتبار متوسطی برخوردار بوده و گزینه خوب و مناسبی برای وب‌سایت‌های عمومی هستند که از نظر تراکنشی از حساسیت پایین‌تری برخوردارند.

• گواهینامه با اعتبار سنجی وسیع

این شکل گواهینامه برای ‌سایت‌هایی که اطلاعات حساس را کنترل می‌نمایند، از بیشترین سطح امنیتی برخوردار بوده و شناسایی آن‌ها نیز ساده و راحت است. کاربران با مشاهده نماد یک قفل یا ثبت نام شرکت به رنگ سبز در URL bar  آگاه می‌شوند که این ‌سایت شامل گواهینامه از نوع EV است.

چگونه می توانم از امن بودن یک وب سایت مطمئن شوم؟

حال که با SSL Certificate، انواع آن و احتمال خطر کلاهبرداری در وب‌سایت‌هایی از نوع DV آشنایی پیدا کردید، این نکته حائذ اهمیت است که یاد بگیرید که چطور در زمان خرید یا به انجام رسانیدن تراکنش‌های حساس آنلاین کمتر در معرض خطر قرار بگیرید. این چهار مرحله را دنبال نمایید.

1. Privacy policy فروشنده را مطالعه نمایید.

بررسی نمایید که چطور از اطلاعات شخصی‌تان استفاده می‌شود. شرکت‌های معتبر می‌بایست درمورد اطلاعاتی که گردآوری می‌نمایند و کارهایی که با آن انجام می‌دهند، شفاف باشند.

2. در پی نماد‌های اعتماد الکترونیکی در سایت باشید.

نماد‌ یا نشان‌های معتبر نشان می‌دهد که ‌سایت بر اساس استانداردهای امنیتی بخصوص است.

3. نوع گواهینامه اس اس الرا که یک سایت در دسترس دارد، شناسایی نمایید.

در اولین قدم، در پی نشانه‌های بصری حاکی از حفظ و تامین امنیت مثل نماد قفل و رنگ سبز در نوار آدرس باشید. تنها وب‌سایت‌های نوع EVحاوی نام شرکت در url bar هستند. انواع مرورگرها گواهی DV را از گواهی OV تشخیص نمی‌دهند. ابزار Norton’s Safe Web می‌تواند به شما کمک نماید به‌ آسانی این تفاوت را رمزگشایی نمایید.

4. تراکنش‌هایمالی و اطلاعات شخصی‌تان را صرفا در سایت‌های با گواهینامه‌های OVیا EV به انجام رسانید.

از گواهینامه‌های DV می‌توان برای مقاصد و اهداف مشروع استفاده نمود، اما این استفاده حاوی سایت‌های e-commerce نیست. اگر آدرس URL را در ابزار Norton Safe Web بررسی نمایید و نتیجه گزارش حاکی از استفاده از گواهینامه DV به وسیله سایت باشد، در انجام هر نوع تراکنش به وسیله آن سایت تجدید نظر نمایید. اما در صورتی که آن سایت حاوی مجوز OV یا EV باشد، اطمینان حاصل کنید که اطلاعات تجاری آن تایید شده است.

با بالا رفتن توجه و علاقه کاربران به انجام خرید‌های آنلاین، خطرات سایبری هم به‌ همانگونه در حال افزایش هستند. مطابق گزارش Global Risk سال ۲۰۱۸ که به وسیله مجمع جهانی اقتصاد انتشار داده شده، هزینه‌های مالی حملات سایبری در حال افزایش بوده و پیش بینی می‌شود ضرر جرایم سایبری به کسب‌و‌کارها در مدت ۵ سال آینده به ۸ هزار میلیارد دلار برسد. آشناییت با انواع گواهینامه‌ها، فاکتور‌های تامین امنیت سایت و خطرات احتمالی خرید آنلاین به کاربران کمک می‌نماید تا از کلاهبرداری‌ها جلوگیری نموده و از اطلاعات شخصیش در مقابل جرایم سایبری محافظت نمایند.