یک اتصال امن، رمزگذاری شده و در نتیجه امن است؛ اما یک ارتباط محافظت نشده خیر، درست است؟ اما گواهی ها از کجا می آیند، و تفاوت بین SSL و TLS چیست؟ یک گواهی دیجیتال با مقوله امنیت چه ارتباطی دارد؟

در این پست سعی خواهیم کرد حداقل برخی از این سوالات و دیگر پرسش های مرتبط را پاسخ دهیم. اما با نگاهی به معنای HTTP و HTTPS در نوار آدرس مرورگر شما ، شروع کنیم.

HTTP و HTTPS برای انتقال داده

هنگامی که یک بازدید کننده آنلاین اطلاعات را می خواند یا داده در یک وب سایت وارد می کند، اطلاعات بین رایانه شخص و سروری که سایت در آن میزبانی می شود، رد و بدل می شود. این فرآیند توسط یک پروتکل انتقال داده به نام HTTP (HyperText Transfer Protocol) اداره می شود.

HTTP همچنین یک افزونه به نام HTTPS (HyperText Transfer Protocol Secure) دارد. نسخه امن که انتقال اطلاعات بین سرویس گیرنده و سرور را به صورت رمزگذاری شده انجام می دهد، یعنی اطلاعاتی که بین مشتری و سرور مبادله شده است فقط برای آنها است و اشخاص ثالث (به عنوان مثال، یک ارائه دهنده یا مدیر شبکه Wi-Fi) قادر به دسترسی به اطلاعات نیستند.

داده های ارسال شده از سوی مشتری به سرور با پروتکل رمزنگاری خود رمزگذاری می شود. اولین پروتکل مورد استفاده برای این منظور SSL (Secure Sockets Layer) بود. نسخه های متعددی از پروتکل SSL وجود داشت که همه آنها در برخی مواقع با مشکلات امنیتی مواجه شدند. نسخه اصلاح شده و تغییر نام داده شده TLS (Transport Layer Security) می باشد، که امروزه در حال استفاده است. با این حال SSL باقی مانده و بنابراین نسخه جدید پروتکل معمولا با نام قدیمی نامیده می شود.

برای استفاده از رمزنگاری، یک سایت باید یک گواهی داشته باشد که امضای دیجیتال نیز نامیده می شود، تایید اینکه مکانیزم رمزگذاری قابل اعتماد و مطابق با پروتکل است. علاوه بر حرف S در HTTPS، نشانه دیگری که یک سایت دارای چنین گواهی است، یک قفل کوچک سبز (یا سپر در برخی از مرورگرها) با کلمه Secure یا نام شرکت در نوار آدرس مرورگر است. شما در واقع می توانید ببینید که در حال حاضر در بالای پنجره مرورگر شما چه ظاهری دارد.

چگونه سایت یک گواهینامه SSL دریافت می کند

دو روش برای کسب گواهی وجود دارد. یک وب مستر میتواند گواهی صادر کند و امضا کند و کلیدهای رمزنگاری ایجاد کند. چنین گواهی هایی، گواهی های خود امضا نامیده می شودند (Self-signed)، هنگام تلاش برای دسترسی به سایت، کاربران هشداری مبنی بر عدم اطمینان گواهی دریافت می نمایند.

در چنین سایت هایی، پنجره مرورگر یک قفل عبور درون یک سپر قرمز را نمایش می دهد ، کلمات Not Secure، حروف HTTPS به جای سبز به رنگ قرمز نمایش داده می شود، یا حروف HTTPS در نوار آدرس با یک ضربدر بر روی آن با رنگ قرمز برجسته شده – این موارد برای مرورگرها متغیر بوده و حتی برای نسخه های مختلف از همان مرورگر نیز متفاوت می باشد.

راه بهتر این است که یک گواهینامه امضا شده توسط یک گواهی معتبر اعتبار (CA) خریداری کنید. CA ها اسناد صاحب سایت را بررسی و حق مالکیت دامنه را بررسی می کنند – زیرا در نهایت، وجود یک گواهی نشان دهنده متعلق بودن آن به یک شرکت مشروع ثبت شده در یک منطقه خاص است.

چندین CA وجود دارد. شهرت CA تعیین می کند که چه میزان توسعه دهندگان مرورگر به آن اعتماد دارند و اینکه چگونه سایت های دارای گواهینامه خود را نمایش می دهند. قیمت یک گواهی بستگی به نوع و مدت اعتبار آن، و همچنین اعتبار CA دارد.

انواع گواهی نامه های SSL

گواهینامه های امضا شده توسط CA انواع مختلفی دارد، که بر اساس درجه اعتماد به آنها، کسانی که می توانند آنها را دریافت کنند و چگونگی دریافت و قیمت متفاوت است.

Domain Validation certificates

برای به دست آوردن یک گواهی اعتبار دامنه، یک شخص یا شخص حقوقی باید ثابت کند که آنها مالک دامنه مورد نظر هستند یا سایت خود را در آن مدیریت می کنند. این گواهی یک اتصال ایمن را ایجاد می کند اما شامل اطلاعاتی درباره سازمان مربوط به آن نیست و هیچ اسنادی برای انتشار آن لازم نیست. گرفتن چنین گواهی به ندرت بیش از چند دقیقه طول می کشد.

Organization Validation certificates

نسخه های سطح بالا به عنوان گواهینامه های اعتبار سنجی سازمان شناخته می شوند، که نه تنها نشان می دهد که اتصال به دامنه امن است، بلکه متعلق بودن به سازمان مشخص شده و در گواهینامه قرار دارد. بررسی تمام اسناد و صدور مجوز می تواند چندین روز طول بکشد. اگر یک سایت یک گواهی DV یا OV داشته باشد، مرورگر یک قفل خاکستری یا سبز با کلمه Secure و حروف HTTPS در نوار آدرس نمایش می دهد.

Extended Validation certificates

در نهایت، گواهینامه های اعتبار سنجی پیشرفته در سطح بالا وجود دارد. همانطور که با نوع OV، تنها اشخاص حقوقی که تمام اسناد لازم را ارائه کرده اند می توانند گواهینامه های این نوع را بدست آورند و باعث می شود نام و مکان سازمان ها در نوار آدرس به سبز، کنار قفل سبز ظاهر شوند. گواهینامه های EV بالاترین درجه اعتبار را برای مرورگرها دارا هستند و همچنین گران ترین نسخه نیز هستند. با توجه به مرورگر، با کلیک بر روی نام سازمان و یا کلمه Secure، اطلاعات مربوط به گواهی (کسی که آن را صادر کرده، مدت اعتبار آن) بسته به نوع مرورگر نمایش داده می شود.

منبع: www.kaspersky.com