به چه علتی به گواهینامه SSL نیاز داریم؟
گواهینامه SSL موارد زیر را به یکدیگر متصل میکند:
- نام دامنه، نام هاست یا نام سرور
- هویت سازمانی (به عبارتی نام شرکت) و موقعیت مکانی
برای آغاز و ایجاد یک ارتباط امن با مرورگرها، یک سازمان بایستی گواهینامه اس اس ال را روی وبسرور خود نصب نماید. با ایجاد این نوع اتصال امن، همه ترافیک میان مرورگرها و وبسرور ایمن خواهد بود.
با نصب موفقیتآمیز آن روی سرور، پروتکل اپلیکیشن (که تحت عنوان HTTP نیز شناخته میشود) به HTTPS تغییر پیدا میکند، که در اینجا “S” مخفف کلمه “Secure” به معنی امنیت و ایمن بودن است. در زمان بازدید از سایتی که دارای اس اس ال است، بستگی به نوع آن و نوع مرورگر، در browser علامت یک قفل یا یک نوار سبز ظاهر دارد.
گواهینامه SSL به چه صورتی کار میکند؟
انواع گواهینامههای اس اس ال از public key cryptography استفاده مینمایند. این نوع از رمزنگاری یا cryptography از دو key که رشتههای تصادفی و طولانی از اعداد بوده، استفاده مینمایند. یکی از اینها private key و دیگری هم key public نامیده میشود. public key در سرور شناخته شده است و در اختیار public domain است و میتوان از آن برای رمزگذاری هر پیغامی استفاده نمود. فرض کنید دو شخص در حال ارسال پیغام به همدیگر هستند، هنگامی که فرد اول در حال ارسال پیغام به فرد دوم باشد، آن پیغام با public key فرد دوم قفل شده و تنها راهی که میتوان آن پیغام را رمزگشایی نمود، باز کردن قفل آن با private key فرد دوم است.
شخص دوم تنها فردی است که private key خود را در اختیار داشته، از این جهت تنها کسی است که این امکان را دارد که پیغام شخص اول را باز نماید. اگر پیش از باز کردن پیام به وسیله شخص دوم، هکری در بین راه به پیغام دسترسی پیدا نماید، همه آنچه مشاهده مینماید، متنی رمزنگاری شده یا cryptographic بوده که حتی یک کامپیوتر پرقدرت هم قادر به شکستن آن نیست.
اگر از منظر یک وبسایت به این مساله بنگریم، ارتباط میان وبسایت و سرور در واقع، همان دو فردی هستند که در حال تبادل پیغام با یکدیگرند.
مزیتهای صدور گواهینامه SSL
با صدور گواهینامه SSL برای یک وبسایت، از اطلاعات حساس و مهم کاربران در فضای وب، مثل تراکنشهای مالی، رمز عبور، نامهای کاربری و… محافظت میشود. از سویی دیگرگواهینامهها این امکان را دارند که
- امنیت تبادل دادهها بین سرورها را حفظ نمایند
- اعتماد مشتری را ایجاد/تقویت نمایند
- سبب بهینهسازی نرخ تبدیل شوند
- رتبهبندی Google وبسایت شما را ارتقاء دهند
شرکت صادرکننده امنیتی یا CA کیست؟
شرکتهایی مانند COMODOT ,CERTUM ،GeoTrust و… از قبیل شرکتهای اصلی صادرکننده گواهینامه امنیتی یا همان CAها هستند. این شرکتها، نهادهای معتبری بوده که اطمینان و اعتبار لازم برای صدور گواهینامههای امنیتی دیجیتال را کسب نمودهاند. CA قانونی بودن شرکت و هویت شرکت یا فرد درخواستدهنده یک گواهینامه امنیتی را بررسی نموده و در صورت تایید، یک گواهینامه برای وی صادر مینماید.
سایتها، گواهینامه را به وسیله CAها خریداری مینمایند.CA ها گواهیهای امنیتی و public keys را که جهت برقراری ارتباط در یک شبکه عمومی به کار برده میشوند، مدیریت و صادر مینمایند.
مرورگرهای وب به طور معمول لیستی ازCAها دارند که اعتبار گواهینامهها را با این لیست مقایسه مینمایند. اگر که صادرکننده در این لیست نباشد، مبه طور مثال در مواردی یک سایت خودش گواهینامه را امضاء نماید، مرورگر پیغام هشداری را به کاربر نمایش میدهد بر این مبنا که گواهینامه امنیتی سایت مد نظر ناشناخته بوده و از کاربر درخواست میکند که در ادامه کار با آن سایت دقت و توجه نماید.
انواع گواهینامه SSL کدام هستند؟
قبل از رجوع به شرکتهای عرضه کننده خدمات صدور گواهینامه SSL بایستی بدانید برای خرید گواهینامه SSL کدام نوع مناسب کسبوکار شما است. سه نوع اس اس ال متفاوت وجود دارد که هر یک سطح امنیتی مختلفی را عرضه میکنند. سطوح امنیتی در میان انواع گواهینامهها دارای تفاوت بسیاری است. به همین علت، اهمیت دارد بدانیم که یک سایت در زمان انجام یک تراکنش مالی یا انجام هر شکلی از کار با دادههای شخصی کاربر، از چه نوعی از آن استفاده نماید.
- گواهینامه اعتبار سنجی دامنه
گواهینامههای DV تنها مالکیت وبسایت را تایید مینمایند. که با یک فرایند ساده انجام میشود. یک CA برای تایید هویت، یک ایمیل به آدرس ایمیل وبسایت می فرستد و به هیچ اطلاعات دیگری درباره شرکت احتیاجی ندارد. توجه داشته باشید که گواهینامههای DV پایینترین میزان اعتبار را دشته و به طور معمول به وسیله مجرمان سایبری مورد بهرهگیری قرار میگیرند، چرا که به آسانی قابل نفوذ هستند.
- گواهینامه اعتبار سنجی سازمانی
برای دریافت یک گواهینامه OV، یک CA باید اطلاعات بخصوصی از قبیل، مشخصات شرکت، نام دامنه وبسایت و موقعیت فیزیکی را تایید نماید. این روند معمولا چند روز زمان میبرد. گواهینامههای OV از سطح اعتبار متوسطی برخوردار بوده و گزینه خوب و مناسبی برای وبسایتهای عمومی هستند که از نظر تراکنشی از حساسیت پایینتری برخوردارند.
- گواهینامه با اعتبار سنجی وسیع
این شکل گواهینامه برای سایتهایی که اطلاعات حساس را کنترل مینمایند، از بیشترین سطح امنیتی برخوردار بوده و شناسایی آنها نیز ساده و راحت است. کاربران با مشاهده نماد یک قفل یا ثبت نام شرکت به رنگ سبز در URL bar آگاه میشوند که این سایت شامل گواهینامه از نوع EV است.
چگونه می توانم از امن بودن یک وب سایت مطمئن شوم؟
حال که با SSL Certificate، انواع آن و احتمال خطر کلاهبرداری در وبسایتهایی از نوع DV آشنایی پیدا کردید، این نکته حائذ اهمیت است که یاد بگیرید که چطور در زمان خرید یا به انجام رسانیدن تراکنشهای حساس آنلاین کمتر در معرض خطر قرار بگیرید. این چهار مرحله را دنبال نمایید.
- Privacy policy فروشنده را مطالعه نمایید.
بررسی نمایید که چطور از اطلاعات شخصیتان استفاده میشود. شرکتهای معتبر میبایست درمورد اطلاعاتی که گردآوری مینمایند و کارهایی که با آن انجام میدهند، شفاف باشند.
- در پی نمادهای اعتماد الکترونیکی در سایت باشید.
نماد یا نشانهای معتبر نشان میدهد که سایت بر اساس استانداردهای امنیتی بخصوص است.
- نوع گواهینامه اس اس الرا که یک سایت در دسترس دارد، شناسایی نمایید.
در اولین قدم، در پی نشانههای بصری حاکی از حفظ و تامین امنیت مثل نماد قفل و رنگ سبز در نوار آدرس باشید. تنها وبسایتهای نوع EVحاوی نام شرکت در url bar هستند. انواع مرورگرها گواهی DV را از گواهی OV تشخیص نمیدهند. ابزار Norton’s Safe Web میتواند به شما کمک نماید به آسانی این تفاوت را رمزگشایی نمایید.
- تراکنشهایمالی و اطلاعات شخصیتان را صرفا در سایتهای با گواهینامههای OVیا EV به انجام رسانید.
از گواهینامههای DV میتوان برای مقاصد و اهداف مشروع استفاده نمود، اما این استفاده حاوی سایتهای e-commerce نیست. اگر آدرس URL را در ابزار Norton Safe Web بررسی نمایید و نتیجه گزارش حاکی از استفاده از گواهینامه DV به وسیله سایت باشد، در انجام هر نوع تراکنش به وسیله آن سایت تجدید نظر نمایید. اما در صورتی که آن سایت حاوی مجوز OV یا EV باشد، اطمینان حاصل کنید که اطلاعات تجاری آن تایید شده است.
با بالا رفتن توجه و علاقه کاربران به انجام خریدهای آنلاین، خطرات سایبری هم به همانگونه در حال افزایش هستند. مطابق گزارش Global Risk سال ۲۰۱۸ که به وسیله مجمع جهانی اقتصاد انتشار داده شده، هزینههای مالی حملات سایبری در حال افزایش بوده و پیش بینی میشود ضرر جرایم سایبری به کسبوکارها در مدت ۵ سال آینده به ۸ هزار میلیارد دلار برسد. آشناییت با انواع گواهینامهها، فاکتورهای تامین امنیت سایت و خطرات احتمالی خرید آنلاین به کاربران کمک مینماید تا از کلاهبرداریها جلوگیری نموده و از اطلاعات شخصیش در مقابل جرایم سایبری محافظت نمایند.