گواهی SSL مخفف Secure Sockets Layer یک پروتکل امنیت اینترنتی مبتنی بر رمزگذاری است. اولین بار این گواهینامه توسط Netscape در سال ۱۹۹۵ به منظور اطمینان از حفظ حریم خصوصی، احراز هویت و یکپارچگی دادهها در ارتباطات اینترنتی ایجاد شد. گواهی لایه اتصال امن (SSL) باعث رمزگذاری اطلاعات میان سرویسدهنده و سرویسگیرنده میشود و SSL از هرگونه اطلاعات حساسی که بین دو سیستم در حال تبادل است، حفاظت میکند و این گواهینامه از هک کردن و تغییر هرگونه اطلاعات منتقل شده شامل هر چیز حساس یا شخصی مانند جزئیات کارت اعتباری، ورود به سیستم حساب، سایر اطلاعات مالی، نام و آدرس باشد، جلوگیری میکند با سایت هاست سرور ایران همراه باشید .
وبسایتی که SSL را پیادهسازی میکند به جای “HTTP” در URL خود “HTTPS” دارد. HTTPS (Hyper Text Transfer Protocol Secure) هنگام ایمنسازی وبسایت توسط گواهی SSL در URL قابل رویت است. جزئیات گواهی از جمله مرجع صدور و نام شرکت صاحب وبسایت را میتوانیم با کلیک بر روی نماد قفل در نوار مرورگر مشاهده کرد.
در سال ۱۹۹۹ با به روزرسانی SSL، نام آن به Transport Layer Security (TLS) تبدیل شد و TLS (Transport Layer Security) فقط یک نسخه به روز شده و امنتر از SSL است و این گواهینامه هنوز با نام SSL شناخته میشود.
SSL/TLS چرا مهم است؟
در سایتهای بدون SSL، دادههای موجود در وب به طور ساده منتقل میگردد که هکرها براحتی میتوانند پیام را بخوانند. به عنوان مثال، اگر مصرف کنندهای از یک وبسایت بازدید و سفارشی ثبت کند و شماره کارت اعتباری خود را در وبسایت وارد کند، آن شماره کارت اعتباری بدون هیچ امنیتی در بستر اینترنت وارد میشود و براحتی اطلاعات قابل هک شدن است اما اصل اساسی این است که وقتی گواهی SSL را روی سرور خود نصب میکنید و یک مرورگر به آن متصل میشود، پروتکل SSL (یا TLS) اطلاعات ارسالی بین سرور و مرورگر را رمزگذاری میکند (یا بین سرورها)، SSL با رمزگذاری هر دادهای که بین کاربر و وب سرور قرار دارد و با احراز هویت اطمینان حاصل میکند که هر کسی که دادهها را جستجو کند فقط میتواند یک پیام بهم ریخته را مشاهده کند. شماره کارت اعتباری مصرفکننده ایمن است و فقط در وبسایت خریدی که وارد کرده است پیام به درستی قابل مشاهده است.
با توجه به اینکه بسیاری از معاملات و ارتباطات روزمره ما بصورت آنلاین اتفاق میافتد، دلیل بسیار کمی برای استفاده نکردن از SSL وجود دارد و گوگل جهت ایمن سازی فضای تبادل اطلاعات و اینترنت و جلوگیری از کلاه برداری، فیشینگ، سرقت اطلاعات و جاسوسی در سازمانها، با اسکن و پویش کردن وبسایتها، تمامی وبسایتهایی که به هر دلیل یک ریسک امنیتی دارند را لیست کرده و در صورتی که کاربری بخواهد این صفحات را باز کند، به آنها هشدار میدهد. این برنامه تحت عنوان Google Safe Browsing در حال حاضر و به مرور در حال لیست کردن وبسایتهایی است که کاربر در آنها امکان ورود اطلاعات، اعم از نام، آدرس، شماره حساب، پسورد و… را دارند اما این ورود اطلاعات تحت پروتکل امن SSL انجام نمیشود و در صورتی که در وبسایتها فرمی جهت تکمیل توسط کاربران وجود دارد و از SSL استفاده نمیکنند، وبسایت آنها به زودی توسط Google لیست شده و هنگام ورود به وبسایت، پیغام آزار دهنده Not Safe دریافت خواهد کرد.
گواهی SSL شامل چه اطلاعاتی میباشند؟
- نام دامنهای که گواهی برای آن صادر شده است.
- برای کدام شخص، سازمان یا دستگاه صادر شده است.
- کدام سازمان گواهینامه آن را صادر کرده است.
- تاریخ صدور گواهینامه
- تاریخ انقضا گواهی و …
- کلید عمومی
یکی از مهمترین اطلاعات گواهی SSL کلید عمومی وبسایت(Public Key) است که این کلید عمومی رمزگذاری را ممکن میکند. دستگاه کاربر کلید عمومی را مشاهده میکند و از آن برای ایجاد کلیدهای رمزگذاری امن با وب سرور استفاده میکند. در همین حال وب سرور همچنین دارای یک کلید خصوصی (private key) است که به صورت مخفی نگهداری میشود. کلید خصوصی دادههای رمزگذاری شده با کلید عمومی را رمزگشایی میکند و اطلاعات بدون هیچ مشکلی به مقصد میرسد.
انواع گواهینامههای SSL کدامند؟
چندین نوع مختلف از گواهینامههای SSL وجود دارد که عبارتند از :
Domain Validated (DV): این نوع SSLها گواهیهایی هستند که تنها بر اساس ثبت دامنه است. هیچگونه بررسی بر روی ثبت بودن سازمان و یا شرکت مالک وبسایت انجام نمیشود و برای وبسایتهای عمومی استفاده میشوند.
Organization Validated (OV): در این نوع گواهینامه سازمانها به وسیلهی شرکت ارائه دهنده گواهینامه بررسی میشوند تا تایید گردد که سازمانهای متقاضی کاملا ثبت شده و رسمی میباشند.
Extended Validation (EV): شرایط صدور این نوع گواهیها به وسیله استاندارد مشخصی تعیین شدهاند و مراحل احراز هویت بسیار سخت گیرانهای دارد. در کنار فراهم نمودن اعتماد و اطمینان، گواهیهای EV یک نوار سبز رنگ نیز در مرورگر بازدیدکنندهها فعال میکند و نام رسمی مطابق با روزنامه رسمی شما کنار قفل قابل نمایش خواهد بود.
SSL Wildcard: این امکان را فراهم میکنند تا بتوانید به همراه دامنه اصلی خود تمامی دامنههای فرعی آن دامنه را نیز تحت پوشش گواهی SSL خود قرار دهید. به عنوان مثال، یک گواهی wildcard میتواند شامل www.nexfon.ir ،shop.nexfon.ir باشد، در حالی که یک گواهی تک دامنه فقط میتواند مورد اول را پوشش دهد.
Multi-Domain SSL Certificates (MDC): از این گواهینامه میتوانیم برای دامنههایی که بر روی یک IP ست شدهاند تا ۱۰۰ دامنه مختلف، استفاده کرد.
Cases for Multi-Domain SSL Certificates(UCC): از این گواهینامه میتوانیم برای دامنههایی که بر روی یک IP ست شدهاند تا ۱۰۰ دامنه مختلف، استفاده کرد و مانند EV یک نوار سبز رنگ نیز در مرورگر بازدیدکنندهها فعال میکند.
آیا تابهحال به این نکته دقت کردهاید که آدرس بعضی از وبسایتها با http:// و آدرس برخی دیگر با https:// شروع میشود؟ چنانچه کاربر مرورگر کروم باشید و به سراغ وبسایتهایی رفته باشید که حاوی فرم یا فرمهایی برای درج اطلاعات هستند (مثلاً فرم پرداخت) این موضوع بیشتر به چشمتان خورده است.
اما این s اضافی از کجا میآید و چه معنایی دارد؟
به زبان ساده، آن s اضافی به این معنی است که وبسایت مزبور امن و رمزگذاری شده است و اطلاعاتی که با آن مبادله میکنید فقط بین خودتان و همان وبسایت باقی خواهد ماند. فناوری پشتوانه آن s کوچک با نام SSL شناخته میشود که مخفف عبارت Secure Sockets Layer به معنی «لایه سوکت های امن» است. اما آیا دقیقا میدانید که SSL چیست؟
در این مطلب قصد داریم که مبحث SSL را بیشتر باز کنیم، ببینیم که این قابلیت امنیتی چه منفعتی دارد و با نحوه دریافت آن نیز آشنا شویم.
SSL چیست؟
در ابتدا به سراغ تعریف وبسایت SSL.com از SSL میرویم:
SSL یک فناوری امنیتی استاندارد برای برقراری یک پیوند رمزگذاری شده بین یک سرور و یک مرورگر است. این پیوند امن، محرمانه باقی ماندن تمامی دادههایی که بین سرور و مرورگر رد و بدل میشوند را تضمین میکند.
اجازه بدهید که این تعریف را بازتر کنیم.
هنگامیکه وارد صفحهای میشوید که حاوی یک فرم است، بعد از آنکه فرم مزبور را تکمیل کردید و دکمه ارسال را فشردید، اگر آن صفحه گواهی SSL نداشته باشد تمامی اطلاعاتی که در فرم مزبور وارد کردهاید توسط هکرها قابل مشاهده خواهد بود.
این اطلاعات میتواند هر چیزی باشد؛ از اطلاعات تراکنشهای بانکی گرفته تا اطلاعات خصوصی مهمی که برای ثبت نام در سرویسهای مختلف وارد میکنید. هکرها به این سرقت اطلاعات، «حمله مرد میانی» (به انگلیسی man-in-the-middle attack) میگویند. حمله مزبور را از روشهای مختلفی میتوان انجام داد، اما یکی از رایجترین روشهای آن از این قرار است: هکر یک برنامه کم حجم و غیرقابل شناسایی جاسوسی را بر روی سروری که از وبسایت مورد نظر میزبانی میکند قرار میدهد. این برنامه در پس زمینه منتظر میماند تا بازدیدکنندهای وارد یک وبسایت شود و درج اطلاعات در یکی از فرمهای آن را آغاز کند؛ برنامه ذکرشده با درج اطلاعات فعال میشود، اطلاعات مربوطه را ثبت میکند و آنها را برای هکر میفرستد؛ داستان ترسناکی که دیگر مشاهده آن فقط به فیلمهای علمی-تخیلی محدود نمیشود.
اما هنگامیکه از وبسایتی دیدن میکنید که با SSL رمزگذاری شده، مرورگر شما گواهینامه SSL را بررسی میکند و یک ارتباط واقعاً امن را بین مرورگر و سرور برقرار میکند. در این حالت هیچکس بهجز شما و وبسایتی که اطلاعاتتان را برای آن ارسال میکنید نمیتواند به آنچه که در مرورگر خود تایپ میکنید دسترسی داشته باشد یا آن اطلاعات را به هر نحوی مشاهده کند. امروزه برخلاف گذشته، سرعت این ارتباط بالا بوده و حتی از برخی از وبسایتهای بدون SSL نیز سریعتر است.
بنابراین تمام کاری که کاربر برای امن کردن ارتباط خود باید انجام بدهد این است که از وبسایتهایی استفاده کند که آدرس آنها با https:// شروع میشود و گواهینامه SSL معتبر دارند. از این طریق، ارتباط کاربر با سرور رمزگذاری میشود و کاملاً امنیت پیدا میکند.
کروم و SSL
امنیت برای گوگل بهعنوان یک غول جستجو و شرکتی که برای بقای خود بهشدت به اینترنت وابسته است اهمیت فراوانی دارد؛ در نتیجه، این شرکت از نسخه ۶۲ مرورگر خود موسوم به «کروم» برای همه وبسایتهایی که بدون داشتن گواهینامه SSL از هر نوعی از فرمهای ثبت اطلاعات استفاده میکنند، هشداری را مبنی بر ناامن بودن آنها برای کاربر نمایش میدهد. توجه داشته باشید که بر طبق نتایج یک تحقیق، ۸۵ درصد از کاربران به بازدید از وبسایتی که امن نیست ادامه نمیدهند.
بنابراین باید دقت کنید که اگر در وبسایتتان از هر نوعی از فرم استفاده میکنید، حتی فرم ثبت ایمیل یا فرم جستجو، باید گواهی SSL معتبر داشته باشید تا مرورگر کروم وبسایت شما را بدون مشکل برای کاربر نمایش بدهد. نکته دیگری که باید به آن توجه داشته باشید این است که اگر بخشی از محتوای وبسایتتان، مثلاً تصاویر یا ویدئوهای آن را در آدرس یا پلتفرم دیگری بارگذاری کردهاید، آن منبع نیز باید گواهی SSL داشته باشد و گواهی وبسایت شما قابل تسری به آن نیست.
بهطورکلی، فارغ از اینکه در کدام صفحه یا صفحات وبسایت شما فرم وجود دارد، بهتر است که گواهی SSL را برای کل سایتتان فعال کنید؛ چرا که وجود این اعتبارنامه میتواند برای سئوی شما نیز مزایایی داشته باشد که در قسمت بعد به شرح آن میپردازیم.
مزایای SSL
امروزه وجود SSL برای هر وبسایت و وبلاگ و بهخصوص وبسایتهای شرکتی از حالت گزینه درآمده و به یک ضرورت تبدیل شده است؛ چرا که مزایای غیرقابل انکاری دارد که اهمیت آنها بر کسی پوشیده نیست، از جمله:
۱. SSL از اطلاعات محافظت میکند
کار اصلی گواهی SSL حفاظت از اطلاعاتی است که در ارتباط بین کاربر با سرور رد و بدل میشود. با نصب SSL هر بیت از دادهها رمزگذاری خواهد شد؛ به زبان ساده، اطلاعات قفل میشوند و کلید بازگشایی این قفل فقط در اختیار دریافت کننده مورد نظر قرار دارد.
SSL علاوه بر محافظت از اطلاعات حساسی مانند رمزهای عبور و اطلاعات کارتهای بانکی، در مقابله با لشکر هکرها و خرابکاران اینترنتی نیز به شما کمک میکند. ازآنجاییکه دادهها توسط SSL به یک فرمت غیرقابل خواندن تبدیل میشوند، مهارتهای هکرها در برابر فناوری رمزگذاری بیهمتای SSL به یک شمشیر بی لبه میماند.
۲. SSL هویت شما را تأیید میکند
دومین وظیفه اصلی گواهی SSL، تأیید اعتبار وبسایت است. تردیدی وجود ندارد که حجم تقلب و کلاهبرداری در اینترنت بهطور روزافزونی در حال افزایش است و بسیاری از مردم چه از نظر مالی و چه در ابعاد دیگر، با استفاده کردن از وبسایتهای تقلبی متحمل خسارتهای جبرانناپذیری شده و میشوند.
هنگامیکه میخواهید گواهی SSL نصب کنید باید وارد یک فرآیند اعتبارسنجی شوید که طی آن، بسته به نوع گواهینامه، هویت شما و سازمان متبوعتان سنجیده میشود. پس از تأیید اعتبار، وبسایت شما گواهینامهای دریافت میکند که کاربر با توجه به آن میتواند مطمئن باشد که با همان کسی در تعامل است که باید باشد.
البته توجه داشته باشید که همانطور که ذکر شد، هویت سنجی بسته به نوع گواهینامهای که به دنبال دریافت آن هستید متفاوت خواهد بود؛ بهعنوان مثال، برخی از صادرکنندگان گواهینامههای SSL، از جمله وبسایتهای رایگانی مانند Let’s Encrypt زیاد در این رابطه مته به خشخاش نمیگذارند. لذا به عنوان صاحب یک کسبوکار معتبر پیشنهاد میشود که از گواهینامههای معتبرتری استفاده کنید که هویت شما را نیز تأیید میکنند.
۳. SSL پیشنیاز اصلی دریافت نماد اعتماد دوستاره است
یکی از روشهای شناختهشده برای تأیید اعتبار صاحبان کسبوکارها و محل کارشان داشتن نماد اعتماد است. در واقع، امروزه اگر وبسایت کسبوکار شما نماد اعتماد نداشته باشد هیچکس به آن اعتماد نخواهد کرد. در حال حاضر، نماد اعتماد در دو سطح یک ستاره و دوستاره اعطا میشود که تفاوت عمده این دو در ضرورت وجود یک گواهی SSL معتبر یکساله برای دریافت نماد دوستاره است. دقت داشته باشید که با گواهیهای رایگان نمیتوانید نماد دوستاره دریافت کنید.
۴. SSL باعث تقویت حس اعتماد مشتری میشود
امروزه مشتریانی که حتی اندکی از دنیای وب و مخاطرات آن آگاهند ابداً به وبسایتهایی که گواهی SSL ندارند اعتماد نمیکنند؛ چرا که علاوه بر مشکلات مرتبط با سرقت و افشای اطلاعات شخصی و بانکی که پتانسیل روی دادن آنها برای اینگونه وبسایتها وجود دارد، نداشتن گواهی SSL به نوعی به معنای بیمبالاتی صاحب وبسایت و کسبوکار مربوطه نیز خواهد بود. طبیعتاً با توجه به رقابتی که امروزه در دنیای کسبوکار موج میزند، کسی از فروشندهای که برای امنیت کسبوکار و مشتریان خود اهمیتی قائل نیست خرید نخواهد کرد.
۵. SSL باعث بهبود رتبه شما در نتایج موتورهای جستجو میشود
آیا SSL برای سئو نیز مفید است؟ پاسخ به این سؤال مثبت است. علیرغم اینکه هدف از SSL ایمنسازی تبادل اطلاعات بین بازدیدکننده و وبسایت است، اما وجود گواهی SSL بهعنوان یک امتیاز در مبحث سئو نیز محسوب میشود. بر طبق نتایج بررسیهای تجربی انجامگرفته، یکی از مؤلفههای تأثیرگذار در الگوریتم رتبهبندی گوگل، وجود SSL است.
علاوه بر این، گوگل نیز رسماً اعلام کرده است که اگر دو وبسایت از همه نظر با هم برابر باشند، اما یکی از آنها گواهی SSL داشته باشد، احتمالاً در نتایج جستجو برای آن نسبت به دیگری اولویت قائل خواهد شد. در نتیجه، فعالسازی SSL در وبسایت و برای تمامی محتواهای داخل و خارج از آن به نفع سئوی سایت خواهد بود.