اخطار گوگل به وب سایت های فاقد گواهینامه SSL

به تازگی گوگل به وب سایت هایی که فاقد گواهینامه SSL هستند اخطار داده است تا نسبت به امنیت وب سایت خود اقدام کنند، در ادامه قصد داریم شما را با گواهینامه SSL و عملکرد آن آشنا سازیم.

زمانی که وارد یک فروشگاه میشوید و خرید می کنید، مطمئن هستید درصورت بروز مشکلاتی در کالا مانند: اتمام تاریخ انقضاء کالا، پرداخت هزینه و یا هر مشکل دیگر میتوانید به صاحب فروشگاه مراجعه کنید و به راحتی مشکل خود را حل کنید چون صاحب فروشگاه و یا فروشنده در دسترس شماست. اما فرض کنید به جای رفتن به فروشگاه برای خرید کالا به صورت اینترنتی و از یک سایت خرید خود را انجام داده اید چطور میتوانید تضمین کنید کالایی که به دست شما میرسد مشکلی نداشته باشد؟ و درصورتی که مشکلی وجود داشته باشد به چه کسی باید مراجعه کنید؟ وقتی که صاحب فروشگاه اینترنتی را نمی شناسید و در دسترس شما نیست، آیا می دانید پول خود را به چه کسی پرداخت کرده اید؟ علاوه بر تمامی این سوالات و مسائل که برای کاربران وجود دارد، کاربران میخواهند مطمئن شوند اطلاعاتی که در هنگام خرید کالا از یک سایت، مانند شماره کارت و رمز دومی که وارد کرده اند در دسترس دیگران قرار نگیرد، برای این سوالات و مسائل پاسخ محکمی وجود دارد و آن هم گواهینامه های الکترونیکی SSL هستند.

SSL چیست؟

SSL مخفف (Socket Secure Layer) می باشد، استانداردی امن برای کد کردن اطلاعات بین کاربر و وب سایت.

اما کد کردن اطلاعات به چه معناست؟ کد کردن اطلاعات به معنای محافظت از اطلاعات برای جلوگیری از دزدیده شدن آنهاست، اطلاعاتی که از طریق یک اتصال SSL بین کاربر و وب سایت مبادله میشوند هم به صورت کد شده هستند تا اطلاعاتی مانند شماره کارت، رمز دوم و … که کاربر وارد وب سایت کرده است محافظت شوند و از دزدیده شدن آنها جلوگیری شود.

درصورتی که ارتباط بین کاربر و وب سایت براساس SSL باشد، این ارتباط چگونه برقرار میشود؟

برای برقراری ارتباطی براساس SSL به چند چیز نیاز است، یک گواهی دیجیتال SSL برای سرویس دهنده، یک گواهی دیجیتال SSL برای سرویس گیرنده و مرکزی برای صدور این گواهی که به این مرکز CA (Certificate authorities)گفته میشود. این شرکت برای اعطای گواهی SSL به یک وب سایت درجهت برقراری ارتباطی امن به صورت جداگانه برای سرویس دهنده و سرویس گیرنده گواهی دیجیتال صادر می کند و هویت هر کدام از طرفین را برای طرف مقابل تایید می کند. نکته ی قابل توجه این است که این شرکت با استفاده از الگوریتم های رمزنگاری تضمین می کند درصورتی که اطلاعات کاربر در حین جابجایی به سرقت رفت ، اطلاعات برای فرد رباینده قابل فهم نباشد و نتواند از آنها استفاده کند.

اطلاعاتی که در گواهینامه SSL قرار دارد چیست؟

نام دامنه

نام شرکت اعطا کننده ی SSL

نشانی کاربر

شهر و ایالت کاربر

کشور محل اقامت شما

تاریخ انقضاء گواهی SSL

SSL چگونه کار می کند؟

برای برقراری ارتباط براساس SSL بین کاربر و یک وب سایت، کلیدی به عنوان یک قالب که اطلاعات را به صورت کد شده در می آورد ساخته میشود که چند مرحله دارد:

زمانی که سرور بخواهد پروتکل SSL را فعال کند باید یک Public Key بسازد.
سپس Public Key را با درخواست گواهی نامه SSL به یک شرکت (CA) می فرستد.
CA مشخصات، قابل اعتماد بودن و امنیت سرور را بررسی می کند سپس Public Key را که از سمت سرور فرستاده شده بود رمزگذاری می کند و به سرور برمی گرداند تا سرور از آن در انتقال اطلاعات خود استفاده کند.
هر کامپیوتری کلید مخصوص خود را دارد، بنابراین هر زمان که کاربر بخواهد از طریق پروتکل SSL به سایت دسترسی داشته باشد، یک کلید به سرور می فرستد، سرور هم این کلید را با کلید امنیتی خود مخلوط می کند و کلیدی جدید می سازد و کلید ساخته شده را برای کاربر می فرستد.

انواع حالت های SSL چیست؟

گواهی SSL شامل دو حالت می باشد:

گواهی Wilcard
گواهی SAN (Subject Alternative Name) یا UCC (Unified Cummunications Certificates)
ممکن است شما یک دامنه داشته باشید که این دامنه شما شامل چند زیر دامنه باشد، زمانی که شما از گواهی SSLاستفاده می کنید فقط برای یک زیر دامنه ی خود میتوانید آن را به کار ببرید بنابراین برای هر زیر دامنه باید یک SSLخریداری کنید که این مساله باعث افزایش هزینه برای شما میشود که برای رفع این مسئله و کاهش در هزینه ها میتوانید از گواهی Wilcard استفاده کنید. یک گواهی Wilcard را میتوانید برای هر تعداد از زیر دامنه های خود استفاده کنید.

از گواهی SAN یا UCC هم میتوانید برای چند دامنه استفاده کنید.

تفاوت گواهی Wilcard با گواهی SAN یا UCC چیست؟

گواهی Wilcard برای هر تعداد زیر دامنه که شما داشته باشید قابل استفاده است اما گواهی SAN یا UCC برای تعداد مشخصی از دامنه های شماست برای مثال 100 دامنه.

علاوه بر این در گواهی Wilcard شما برای اضافه کردن زیر دامنه جدید نیازی ندارید تا درخواست تغییر در گواهی تان را بدهید اما در گواهی SAN یا UCC باید درخواست کنید تا نام دامنه ی جدید نیز به لیست دامنه هایتان افزوده شود.

انواع گواهینامه های SSL چیست؟

DV (Domain Validation)

در این نوع از گواهینامه، شرکت اعطا کننده گواهی، نام دامنه را اعتبارسنجی می کند و براین اساس گواهی را صادر می کند که صدور این نوع گواهی در لحظه است. چون این نوع از گواهی بیشتر برای افراد عادی مناسب است که تنها هدفشان تغییر http به https می باشد.

OV (Organization Validation)

این نوع از گواهی درصدد تایید اعتبار یک کسب و کار و تجارت بزرگ اینترنتی است بنابراین سطح اعتبار آن خیلی بیشتر ازDV می باشد. این نوع از گواهی ها تنها به اشخاص حقوقی و صاحبان کسب و کار دارای مدارک رسمی دولتی داده میشود.

EV (Extended Validation)

دریافت این نوع گواهی مشابه دریافت گواهی OV می باشد اما با اعتبار و ارزش بالاتر، چون معمولا سازمان های بسیار بزرگی مانند گوگل از این نوع گواهی استفاده می کنند و اهراز هویت سازمان در این نوع گواهی دقیق تر بوده و مدارک بیشتری مورد بررسی قرار می گیرند و البته هزینه آن هم بالاتر است.

بهتر است بدانید که مشخصه اصلی این نوع گواهی نشان سبز رنگ در مرورگر می باشد.

تفاوت های انواع گواهی های DV، OV و EV

برای DV یک آدرس ایمیل مورد نیاز است اما در OV و EV مدارک باید کاملا ثبتی و قانونی ارائه گردند.
برای گرفتن گواهی DV محدودیتی وجود ندارد اما گواهی های OV و EV تنها به اشخاص حقوق داده میشود.
اعتبار گواهینامه ها به ترتیب :
EV
OV
DV
می باشد و البته به همین ترتیب هم دارای افزایش قیمت می باشد.

در EV بخشی از نوار آدرس بار به رنگ سبز می باشد که نشان دهنده ی اعتبار بالای آن سازمان می باشد.

شما به عنوان یک کاربر چطور باید مطمئن شوید که یک وب سایت از SSL استفاده می کند؟

زمانی که وارد یک سایت میشوید بعد از بارگذاری کامل صفحه به ابتدای آدرس آن توجه کنید، می بایست به جای http ،https نوشته شده باشد. (حرف s که در پایان http آمده است به معنای secure (امنیت) می باشد) علاوه بر این در کنارhttps یک آیکن قفل هم وجود دارد که در هر مرورگر شکل و جای آن متفاوت است که با کلیک بر روی آن میتوانید مشخصات کامل گواهی SSL سایت مورد نظر را ببینید.

درحال حاضر تعدادی از سایتهایی که درگاه پرداخت دارند و کاربران آنها به صورت آنلاین خریدهای خود را انجام می دهند از گواهینامه SSL استفاده می کنند تا باعث ایجاد امنیت خاطر در خریدار شوند، اگر شما هم صاحب یک وب سایت هستید مخصوصا وب سایتی که دارای درگاه پرداخت می باشد میتوانید از گواهینامه SSL استفاده کنید تا تمامی اطلاعاتی که بین سایت شما و کاربرانتان مبادله میشود کد شود تا امنیت بیشتری داشته باشید.