گواهینامه SSL چیست ؟ اطلاعاتی که در حالت عادی بین کاربران و دنیای اینترنت رد و بدل می شوند، به گونه ای هستند که یک هکر می تواند آنها را ببیند و برای اهداف خود مورد سواستفاده قرار دهدSSL مخفف کلمه Secure Socket Layer به معنی «لایه اتصال امن» جهت برقراری ارتباطات ایمن میان سرویس دهنده و سرویس گیرنده در اینترنت است با ما در مجریان وب همراه باشید تا بیشتر با آن اشنا شویم.
گواهینامه SSL چیست؟
SSL این امکان را فراهم می آورد که اطلاعات حساس از قبیل شماره کارت های اعتباری، شماره بیمه تامین اجتماعی و عبارات امنیتی ورود به سیستم به صورت امن انتقال یابد. در حالت عادی، داده ها بین مرورگرها و وب سرویس ها به صورت متن ساده جابجا می شوند که این مساله آسیب پذیری آنها را افزایش می دهد. اگر شخصی بتواند مانع انتقال اطلاعات میان مرورگر و وب سرور شود، می تواند آن اطلاعات را ببیند و از آنها استفاده کند. به طور خاص، SSL یک پروتکل امنیتی است. پروتکل ها نحوه استفاده از الگوریتم ها را توضیح می دهند.
در این صورت، پروتکل SSL متغیرهای رمزنگاری لینک و اطلاعات ارسال شده را تعیین می کند. SSL همه روزه امنیت اطلاعات میلیون ها نفر، به ویژه حین انجام مبادلات آنلاین یا هنگام ارسال اطلاعات محرمانه در بستر اینترنت را حفظ می کند. کابران اینترنت امنیت خود را در وب، درگرو مشاهده قفل امنیتی می دانند که همراه با وب سایت های دارای گواهی SSL یا لینک آدرس سبز رنگ که تایید کننده این مساله می باشد. آدرس وب سایت هایی که دارای گواهی امنیتی SSL هستند، به جای http، با https آغاز می شود. یکی از مهم ترین اجزاء کسب و کار آنلاین ایجاد یک محیط مورد اطمینان است، به نحوی که مشتریان بالقوه بتوانند با اطمینان اقدام به خرید نمایند. مرورگرها برای جلب اطمینان بازدیدکنندگان از امن بودن ارتباطشان، از نشانه های بصری از قبیل یک نماد قفل یا نوار سبز رنگ استفاده می کنند.
به طور کلی رمزگذاری برای تمام سایت ها اعم از سایت های تجارت الکترونیک و یا بلاگ ضروری است. کاربران گوگل کروم وقتی که از سایتی که گواهینامه اس اس ال ندارد بازدید می کنند به آنها هشدار می دهد که صفحه امن نیست. در حال حاضر بیشتر کاربران در مورد چک کردن اتصالات امن اطلاعاتی دارند، بنابرین نصب یک گواهینامه SSL چیزی است که شما به طور جدی بدان نیاز دارید. در واقع شما با نصب گواهینامه SSL به مخاطبان خود نشان می دهید که یک سازمان حرفه ای هستید. پس استفاده از SSL تنها به سایت های تجارت الکترونیک محدود نمی شود.
اگر گوگل کروم یک صفحه وب را به طور کامل بارگذاری نکند آمار این سایت تحت تاثیر قرار خواهد گرفت. تصور کنید چند نفر وارد سایت شما شوند و ببینند که اتصال سایت امن نیست ، اولین کاری که می کنند این است که بلافاصله سایت را ببندند. کاربران هنوز از مشاهده هشدارهای امنیتی وحشت دارند چون می ترسند قربانی هکرها شوند. اکثر کاربران امنیت خود را به هر چیزی ترجیح می دهند. بنابراین اگر سایت شما خوانده نشود و فورا بسته شود مسلما روی ترافیک سایت شما تاثیر می گذارد. علاوه بر این گواهینامه SSL برای سئو ضروری است. فقط کلمات کلیدی رتبه گوگل شما را بالا نمی برند بلکه اقدامات امنیتی مناسب هم می تواند روی رتبه تاثیر بگذارد و شما را در صفحه اول گوگل نمایش دهد و در نتیجه افراد بیشتری سایت شما را پیدا می کنند و وارد سایت شما می شوند.
گواهی SSL چطور کار می کند؟
گواهی SSL دو کلید عمومی و اختصاصی دارد. این کلیدها برای برقراری یک ارتباط رمزنگاری شده با هم همکاری دارند. این گواهی همچنین شامل یک “subject” می باشد که نشان دهنده هویت صاحب گواهی/وب سایت است. برای دریافت این گواهینامه، باید برروی سرور خود یک درخواست امضای گواهی (CSR) ایجاد کنید. این فرآیند یک کلید اختصاصی و یک کلید عمومی برروی سرور شما ایجاد می کند. فایل داده CSR که برای صادرکننده گواهی SSL (CA) ارسال می کنید، حاوی کلید عمومی می باشد. صادرکننده گواهی (CA) از فایل داده CRS برای ایجاد ساختار داده متناسب با کلید اختصاصی استفاده می کند، بدون اینکه خود کلید به خطر بیافتد. صادرکننده گواهی هرگز کلید اختصاصی را نمی بیند. بعد از دریافت گواهی SSL، آن را برروی سرور خود نصب می کنید. همراه با آن، گواهی میانی را نصب می کنید که اعتبار گواهی SSL شما را از طریق برقراری ارتباط با گواهی root CA تامین می کند. دستورالعمل های نصب و آزمایش گواهی شما با توجه به نوع سرور متفاوت خواهد بود.
در شکل زیر، یک زنجیره گواهی را مشاهده می کنید. این زنجیره گواهی سرور شما را از طریق یک گواهی میانی به گواهی ریشه CA متصل می کند. مهم ترین بخش گواهی SSL امضاء الکترونیکی توسط یک صادرکننده معتبر گواهی می باشد. هرکسی می تواند این گواهینامه را صادر کند، اما مرورگرها فقط به گواهینامه هایی اعتماد می کنند که از سوی سازمان های مورد تایید صادر شده باشند. مرورگرها به فهرست از پیش مشخص شده صادرکنندگان گواهی معتبر تحت عنوان مخزن root CA معتبر گواهی مراجعه می کنند. برای اینکه شرکتی به مخزن root CA گواهی معتبر اضافه شده و در نتیجه یک متصدی گواهی شود، باید مطابق با استانداردهای احراز هویت و امنیتی سازمان های نظارتی رفتار کنید. گواهی SSL صادرشده توسط یک CA برای یک سازمان و دامنه / وب سایت آن تایید کننده آن است که طرف سوم مورد اعتماد، هویت آن سازمان را تایید کرده است. از آن جایی که مرورگر به صادرکننده گواهی اعتماد دارد، به هویت آن سازمان نیز اعتماد می کند. مرورگر به کاربر اطمینان می دهد که وب سایت امن است و کاربر می تواند در آن سایت احساس امنیت نماید و حتی وارد اطلاعات محرمانه آن شود. سازمان های معتبر فراوانی در داخل و خارج از کشور هستند که از این اعتبار برخوردارند. از جمله این موسسه ها می توان به شرکت های digicert، comodo و … اشاره کرد.
افزایش رنک سایت با نصب گواهینامه ssl
به تازگی گوگل در وبلاگ رسمی خود اعلام کرده که به زودی یکی از عوامل مهم در افزایش رنکینگ سایت ها، نصب گواهینامه SSL (اس اس ال) و یا در واقع استفاده از پروتکل HTTPS خواهد بود. گوگل اصولا به ندرت عوامل افزایش رنک سایت ها را به کاربران به این صورت اطلاع رسانی میکند، اما بنا به آنچه که در وبلاگ رسمی گوگل مطرح شده با توجه به اهمیتی که امنیت در وب سایت ها در دنیای امروزی دارد، این نکته در گوگل به اطلاع عموم رسیده تا شاید مدیران وب سایت ها با تمایل به افزایش سئو سایت و رنک الکسا به استفاده از SSL در وب سایت خود ترقیب شوند.
گواهی SSL چطور ارتباطی امن به وجود می آورد؟
هنگامی که مرورگری اقدام به برقراری ارتباط با یک وب سایت ایمن شده به وسیله SSL می کند، آن مرورگر و وب سرور با استفاده از پروسه ای با عنوان “SSL Handshake” بین آنها ارتباط برقرار می نماید (به نمودار زیر توجه کنید). توجه داشته باشید که SSL Handshake برای کاربر غیر قابل رویت است و بلافاصله اتفاق می افتد. اساسا، سه کلید برای برقراری ارتباط SSL مورد استفاده قرار می گیرند: کلیدهای عمومی، اختصاصی و session. هر چیزی که به وسیله کلید عمومی رمزگذاری شده باشد، فقط می تواند به وسیله کلید اختصاصی رمزگشایی شود و بالعکس. از آن جایی که رمزگذاری و رمزگشایی با کلیدهای عمومی و اختصاصی نیروی عملیاتی زیادی مصرف می کند، فقط حین پروسه SSL Handshake از آنها استفاده می شود تا یک کلید session متقارن ایجاد شود. پس از برقراری این ارتباط امن، از کلید session برای رمزنگاری همه اطلاعات ارسال شده استفاده می شود.
• مرورگر به وب سروری (وب سایتی) که به وسیله SSL (https) ایمن شده است، متصل می شود. مرورگر درخواست می کند که سرور هویت خود را ابراز نماید.
• سرور یک نسخه کپی از گواهی SSL، شامل کلید عمومی سرور را ارسال می نماید.
• مرورگر root گواهی را با فهرستی از صادرکنندگان معتبر گواهی چک می کند تا ببینید گواهی مزبور منقضی و لغو نشده باشد و نام عمومی آن برای وب سایتی که به آن متصل می شود، اعتبار داشته باشد. اگر مرورگر به گواهی اعتماد کند، با استفاده از کلید عمومی، یک کلید session متقارن را ارسال می کند.
• سرور با استفاده از کلید اختصاصی خود، کلید session متقارن را رمزگشایی کرده و تایید رمزنگاری توسط کلید session را برای آغاز رمزنگاری session ارسال می کند.
• اکنون، سرور و مرورگر همه اطلاعات ارسال شده به وسیله کلید session را رمزنگاری می کند.
• پروتکل SSL همواره برای رمزنگاری و ایمن سازی اطلاعات مورد استفاده قرار می گیرد. با هر بار انتشار نسخه جدید و امن تر، تغییر شماره نسخه نشان دهنده این تغییرات بوده است (مثلا، SSLv2.0)؛ اما وقتی زمان آپدیت نسخه SSLv3.0 رسید، به جای اینکه نسخه جدید آن را SSLv4.0 بنامند، این نسخه به TLSv1.0 تغییر نام داد.
• به دلیل اینکه SSL هنوز هم شناخته شده تر می باشد، اغلب هنگام اشاره به گواهی امنیتی یا تشریح نحوه ارسال امن اطلاعات، از اصطلاح SSL استفاده می شود
شرکتهای بسیاری اقدام به ارائه سرویسهای پروتکل امن SSL کرده اند. با این حال، تعدادی از ارائه دهندگان، شرکتهای زیر هستند:
– Symantec
– COMODO
– Entrust
– Digicert
– Google Internet Authority
همانطور که گفته شد، دادهها بین سرویس دهنده و گیرنده رمزگذاری میشوند؛ به همین دلیل، دادهها در طول انتقال از کانال غیر امن مانند اینترنت، اینترانت و …، حفاظت شده باقی میمانند. هرچند دسترسی به این دادهها ممکن است، اما به دلیل آنکه رمزگذاری شده اند، برای بدست آوردن دادههای رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی وجود ندارد!
برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز روزی بتوان دادههای اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند. از سوی دیگر، دادهها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی دادههای اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمیشوند. به همین دلیل، درصورتی که بدافزاری در هر یک از این سمتها قرار بگیرد، میتواند دادههای اصلی را به راحتی بدزدد. البته تاکنون گزارشی از سرقت اطلاعات از طریق کانال امن SSL منتشر نشده است بنابراین میتوان آن را یک پروتکل “واقعاً امن” دانست
نحوه عملکرد داخلی پروتکل Secure Socket Layer
همان طور که می دانید SSL می تواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریع تر از رمزنگاری کلید عمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیک های احراز هویت قوی تری را ارایه می کند. یک جلسه SSL (SSL Session) با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع می شود. این پیغام اولیه به سرویس دهنده این امکان را می دهد تا خودش را به سرویس دهنده دارای کلید عمومی معرفی نماید و سپس به سرویس گیرنده و سرویس دهنده این اجازه را می دهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاری ها و رمزگشایی سریع تر در جریان ادامه مبادلات مورد استفاده قرار می گیرد. گام هایی که قبل از برگزاری این جلسه انجام می شوند براساس الگوریتم RSA Key Exchange عبارتند از:
- سرویس گیرنده، نسخه SSL مورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویس دهنده ارسال می کند.
- سرویس دهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولید شده توسط خود را به سرویس گیرنده می فرستد و همچنین سرویس دهنده گواهینامه خود را نیز برای سرویس گیرنده ارسال می کند و اگر سرویس گیرنده از سرویس دهنده، درخواستی داشت که نیازمند احراز هویت سرویس گیرنده بود، آن را نیز از سرویس گیرنده درخواست می کند.
- سپس سرویس گیرنده با استفاده از اطلاعاتی که از سرویس دهنده مجاز در خود دارد، داده ها را بررسی می کند و اگر سرویس دهنده مذکور تایید هویت شد، وارد مرحله بعدی می شود و در غیر این صورت با پیغام هشداری به کاربر، ادامه عملیات قطع می گردد.
- سرویس گیرنده یک مقدار به نام Secret Premaster را برای شروع جلسه ایجاد می کند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولا در سرویس دهنده موجود است) رمزنگاری می کند و این مقدار رمز شده را به سرویس دهنده ارسال می کند.
- اگر سرویس دهنده به گواهینامه سرویس گیرنده نیاز داشت می بایست در این گام برای سرویس دهنده ارسال شود و اگر سرویس گیرنده نتواند هویت خود را به سرویس دهنده اثبات کند، ارتباط در همین جا قطع می شود.
- به محض این که هویت سرویس گیرنده برای سرویس دهنده احراز شد، سرویس دهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی می کند و سپس اقدام به تهیه مقداری به نام Master Secret می نماید.
- هم سرویس دهنده و هم سرویس گیرنده با استفاده از مقدار Master Secret کلید جلسه (Session Key) را تولید می کنند که در واقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی داده ها حین انتقال اطلاعات است و در این مرحله به نوعی جامعیت داده ها بررسی می شود.
- سرویس گیرنده پیغامی را به سرویس دهنده می فرستد تا به او اطلاع دهد، داده بعدی که توسط سرویس گیرنده ارسال می شود به وسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال می شود تا سرویس دهنده از پایان یافتن Handshake سمت سرویس گیرنده مطلع شود.
- سرویس دهنده پیغامی را به سرویس گیرنده ارسال می کند تا او را از پایان Handshake سمت سرویس دهنده آگاه نماید و همچنین این که داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز می شود.
- در این مرحله SSL Handshake تمام می شود و از این به بعد جلسه SSL شروع می شود و هر دو عضو سرویس دهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال داده ها می کنند. اگر خواهان ارتباط ایمیلی امن هستید، توصیه می کنیم از ایمیل شرکت گوگل که به اختصار جیمیل نامیده می شود، استفاده کنید. در پایین اطلاعات لازم برای فعال کردن پروتکل اس اس ال در جیمیل آورده شده است.
• به جيميل خود وارد شويد و در کادر بالا در سمت راست دکمه Setting را پيدا کنيد (در سمت چپ کلمه Setting، نام جيميل شما و در سمت راست آن کلمه Help نوشته شده است.). روي Setting کليک کنيد.
• در پنجمين کادر تب General، عبارت Browser connection را پيدا کرده و روي عبارت Always use https کليک کنيد تا انتخاب شود
• به پايين صفحه بيايد و دکمه Save Changes را بزنيد.
• حال تمامي ايميل هاي شما طبق پروتکل اس اس ال منتقل مي شوند.
بايد از يک کليد به عنوان قالبي براي به رمز در آوردن اطلاعات بين خدمات گيرنده (کاربر) و خدمات دهنده (سرور) استفاده شود. براي ساخت اين کليد نياز به چند مرحله هماهنگي به شرح زير است.
- وقتي سروري بخواهد پروتکل اس اس ال را فعال کند. ابتدا يک کليد عمومي (Public Key) مي سازد.
- سپس کليد عمومي را همراه با يک درخواست گواهي نامه اس اس ال به يکي از صادرکنندگان اين گواهي نامه ها مثل وريساين (Verisign) مي فرستد.
- وريساين نيز ابتدا مشخصات و ميزان قابل اعتماد بودن و امنيت سرور را ارزيابي کرده و کليد عمومي را دوباره رمزگذاري مي کند و براي سرور مي فرستد تا در انتقال اطلاعات خود از آن استفاده کند. به کليد جديد کليد امنيتي (private key) مي گويند.
- حال هر زمان که کاربر بخواهد از طريق پروتکل اس اس ال به اين سايت دست يابد، ابتدا کامپيوتر کاربر يک کليد عمومي براي سرور مي فرستد (هر کامپيوتري کليد مخصوص به خود را دارد).
- سرور نيز اين کليد عمومي را با کليد امنيتي خود مخلوط کرده و از آن کليد جديدي مي سازد. سپس آن را به کامپيوتر کاربر مي فرستد.
- از اين به بعد تمامي اطلاعاتي که بين کاربر و سرور جابجا مي شوند با اين کليد جديد رمز گذاري مي شوند.تنها وظيفه شما به عنوان کاربر اين است که از اين امکانات استفاده کنيد و پروتکل اس اس ال را در مرورگر، ايميل و ديگر حساب هاي خود که سرور آن به شما اين امکان را مي دهد، فعال کنيد.
- اگر هم يک مدير سرور هستيد، سعي کنيد گواهي نامه پروتکل اس اس ال را از صادرکنندگان آن مثل Verisign و Thawte خريداري و در اختيار بازديدکنندگان خود بگذاريد.
- در فايرفاکس 3 پروتکل اس اس ال به صورت پيش فرض فعال است. البته براي فعال و غير فعال کردن اين امکان ميتوانيد به روش زير اقدام کنيد:
از منوي Tools فايرفاکس، گزينه Options را انتخاب کنيد. در پنجره باز شده از سربرگ Advanced بخش Encryption را باز کنيد. مي بينيد که به صورت پيش فرض Use SSL 3.0 تيک خورده است.
Firefox > Tools > Options > Advanced > Encryption
چگونه از استفاده کردن یک سایت از پروتکل امن اطمینان حاصل کنیم؟
چند فاکتور در تعیین معتبر بودن گواهی یک سایت نقش دارند، اول از همه کلید کوچکی است که در مرورگرهای مختلف با کمی اختلاف در مکان و شکل نشان داده می شود، برخی از مرورگرها در نسخه های جدید خود پس از برقراری یک اتصال امن، نوار آدرس را به رنگ سبز نیز نشان می دهند، فاکتور دیگر وجود عبارت HTTPS در ابتدای آدرس آن سایت است، باید دقت کنیم که برای برخی از سایت ها (بخصوص سایت های داخلی) ممکن است ابتدا نیاز به ثبت دستی گواهی آنها در بانک اطلاعاتی مرورگر باشد، متاسفانه اینگونه مشکلات گاهی به دلیل مسائل تحریم و گاهی به دلیل شخصی بودن ارائه کننده گواهی به وجود می آید.
چرا در برخی از سایت ها، مرورگر تقاضای تایید اعتبار می کند؟
بعضا ممکن است با صفحاتی روبرو شویم که مرورگر نسبت به منقضی شدن اعتبار گواهی ارتباط امن آنها پیام هشدار نمایش دهد، این اتفاق به چند دلیل ممکن است رخ دهد، یکی اینکه گواهی آن سایت واقعا به پایان رسیده و تمدید نشده باشد، دوم اینکه تاریخ و زمان سیستم ما از زمان حقیقی عقبتر یا حتی جلوتر باشد که در این صورت با اصلاح تاریخ و زمان مشکل برطرف می شود، دلیل سوم هم می تواند به مسائل فنی صفحه و ترکیب اشتباه داده های عادی با داده های رمزنگاری شده مربوط باشد که این عامل به مدیریت سایت ارتباط دارد و امکان رفع مشکل توسط کاربر میسر نیست.
مطالب پیشنهادی: طراحی سایت اختصاصی
نکته در خصوص HTTPS
- اگرچه HTTPS و رمزنگاری SSL امن و قابل اطمینان است اما به دلیل وجود محدودیت هایی، معمولا سرعت انتقال اطلاعات از این طریق نسبت به شیوه معمول یعنی HTTP پائین تر است، لذا برای افزایش کارایی در صورتی که با مشکل کندی مواجه بودیم می توانیم تنها در صفحاتی از این پروتکل استفاده کنیم که اطلاعات حساسی در آنها رد و بدل می شود.
- در استفاده از پروتکل HTTPS دقت داشته باشیم نباید محتوایی از قسمت HTTP سایتمان را در صفحات HTTPS استفاده کنیم، به طور مثال نباید فایل تصویر را که قسمت src آن با آدرس http://yoursite.com شروع می شود در صفحه ای که به صورت https://yoursite.com است وارد کنیم، در این صورت مرورگر پیام هشداری مبنی بر امن نبودن اتصال به کاربر نمایش خواهد داد، برای رفع این حالت هم می توانیم کلیه فایل ها را به صورت آدرس مطلق با https درج کنیم.
TLS چیست؟
علاوه بر SSL که استاندارد معمول و متداول در خصوص رمزنگاری داده ها در وب است، ممکن است با عبارت دیگری تحت عنوان TLS (مخفف Transport Layer Security) روبرو شویم، این استاندارد در واقع نسخه پیشرفته و بهبود یافته SSL است و صرفا به لحاظ فنی تفاوت هایی وجود دارد (آخرین نسخه از SSL نسخه 3.0 است و برخی TLS را نسخه 3.1 SSL نیز می نامند)، برای استفاده های معمول داشتن اطلاعات در همین حد کفایت خواهد کرد. گواهینامه های SSL عالی هستند اما پیشرفته ترین نوع رمزگذاری که در اینترنت استفاده می شود نیست، در واقع CA از گواهینامه TLS استفاده می کنند. گواهینامه TLS در واقع مرحله بعدی چرخه عمر HTPPS است که در سال ۲۰۰۸ جایگزین شد و برخی از مشکلات آسیب پذیری جزئی موجود در گواهینامه SSL را حل کرد. با این حال تا همین اواخر در سایت هایی که نیاز به پرداخت داشتند استفاده می شد. پی پال شاید یکی از قابل توجه ترین نمونه های سایت های پرداخت باشد که از TLS استفاده می کند. در واقع بسیاری از سرویس های رمزگذاری به جای گواهینامه های SSL ، TLS را پیاده سازی می کنند. تا زمانی که آدرس URL شما حاوی عبارت HTTPS باشد محتوای سایت شما بازدید کننده بیشتری خواهد داشت.
شاید نگران این موضوع باشید که استفاده از SSL موجب کند شدن و دیر لود شدن صفحات سایت شما می شود. خوشبختانه رمزگذاری روی سرعت وب سایت شما تاثیر قابل توجهی ندارد. در اکثر موارد HTTPS به HTTP/2 اشاره دارد که در واقع یک استاندارد از پروتکل HTTP است. این پروتکل طراحی شده است تا از طریق فشرده سازی اطلاعات و کاهش فرآیندهای مورد استفاده ۵۰ درصدی زمان بارگذاری صفحات را کاهش دهد. در اینجا چیزی که شما باید بدانید این است که وب از سال ۱۹۹۱ میلادی از HTTP استفاده می کرده و سپس برای بهبود عملکرد به HTTP/2 ارتقاء پیدا کرده است. برای اثبات این موضوع که نصب گواهینامه SSL روی سرعت سایت شما تاثیری ندارد می توانید سرعت سایت هایی مانند فیس بوک را که دارای گواهینامه SSL است را چک کنید و به سرعت آنها توجه کنید. البته ممکن است گاهی اوقات سرعت تحت تاثیر قرار بگیرد اما بسیار ناچیز است چون ما در مورد تاخیر میلی ثانیه ای صحبت می کنیم. گاهی اوقات این تاخیر ناشی از فاصله سرور است که شما نمی توانید به طور معمول به این موضوع کمکی کنید.
فواید SSLو کاربرد های گواهی چیست؟
- تامین امنیت: به طور کلی گواهینامه های دیجیتال SSL دو مورد بسیار مهم زیر را در جهت تأمین امنیت ارتباط در شبکه فراهم می سازند:اولین مورد رمز گذاری بسته های اطلاعاتی در هنگام تبادل آنهاست که این امکان را به سرویس دهنده و کاربر آن می دهد که ارتباط خود را در بستری امن و به دور از مداخله دیگران بصورت رمز شده و غیر قابل خوانش برای دیگران برقرار سازند و از صحت رد و بدل اطلاعات اطمینان حاصل کنند. بدون وجود این پروتکل، تمامی اطلاعات تبادل شده به سادگی توسط افراد ثالث در گره های (Node) بین راه قابل رویت، تغییر و سوء استفاده هستند.
- تایید هویت: مورد دیگر تایید هویت وبسایت و یا سرویس نرم افزاری است که گواهینامه دیجیتال بروی آن نصب گردیده است. بدین معنی که مراجعه کننده به سایتی که دارای گواهینامه معتبر است می تواند از جعلی نبودن سایت و صحت هویت آن اطمینان حاصل کند و مطمئن باشد که سایت مذکور بر مبنای گواهینامه معتبرش واقعآً همان است که ادعا می نماید؛ نه یک سایت جعلی که شبیه به سایت اصلی ایجاد شده و با روشهای متعددی که برای انحراف مسیر و هک کردن وجود دارد کاربر را به سمت خود هدایت کرده است.
بهبود رتبه سایت و سئو :
امنیت یکی از اولویتهای مهم گوگل است و بهزودی گواهی SSL یکی از عوامل اصلی بالا رفتن رتبهبندی سایتها در این موتور جستجو خواهد شد. گوگل در وبلاگ رسمی خود اعلام کرده است، با توجه به اهمیت امنیت برای گوگل، و رسیدن به این هدف که کاربران از طریق گوگل به وبسایتهای امن هدایت گردند.این شرکت تصمیم گرفته است داشتن گواهی معتبر SSL (استفاده از پروتکل HTTPSS) را یکی از عوامل بالا رفتن رنک وبسایت کند.
5. برای گرفتن نماد اعتماد الکترونیک دوستاره نیاز به داشتن SSL دارید.
برای اینکه فقط مزایای SSL نباشد نمیشد گفت عیب حساب میشد ولی جزو معایبی هست که در SSL وجود دارد
1. بالا بودن هزینه تهیه و استفاده از SSL
2. داشتن دانش فنی برای نصب و راهاندازی این پروتکل
3. افت سرعت محسوس به دلیل داشتن مشکل در اینترنت ایران
4. اکثر شرکتهای ارائهکننده برای دامنه .IR سرویس نمیدهند
5. استفاده از SSL باعث کاهش سرعت سایت البته به شکل بسیار نامحسوس میشود، حدودا باید ۲۰۰ میلیثانیه باعث کاهش سرعت میشود که البته این عیب در کنار مزایایSSL قابل نادیده گرفتن است.
6. همینطور هزینه SSL مخصوصا در ایران به دلایل تحریم و دلار بسیار بالا است، البته به لطف Let’s Encrypt که بسیاری از هاستینگ ها آن را به شکل رایگان در اختیار کاربران قرار میدهند تا بتوانند SSL نصبتا مناسبی را برای سایت خود استفاده نمایید.
7. نصب سخت SSL هم میتواند بر معایب این گواهینامه اضافه شود ولی شما میتوانید با درخواست از متخصصین هاستینگ و همینطور پشتیبانی هاست خود این مشکل را رفع کنید و مزایای SSL بهرهمند شوید
انواع SSL :
-
Domain Validation یا به اختصار DV :
در این نوع از گواهینامهSSLصادر کننده ی گواهینامه بر اساس نام دامنه اعتبار سنجی را انجام می دهد و به بررسی صحت یا اعتبار سازمان یا صاحب دامنه نمی پردازد، و زمان بسیار کوتاهی از درخواست تا صدور دارد. به نحوی که بیشتر صادرکنندگان به صورت آنلاین و در لحظه آن را صادر میکنند، این گواهی بیشتر برای صاحبان وب سایت شخصی مناسب است که هدف از تهیه گواهی SSL برای آنها صرفا تغییرHTTP به HTTPSبوده. البته شرکتها نیز می توانند از این نوع گواهینامه استفاده کنند
-
organization validation یا به اختصار OV :
این نوع گواهینامه SSL علاوه بر تامین امنیت در صدد تایید اعتبار یک کسب و کار و تجارت اینترنتی است و سطح اعتبار بسیار بالاتری نسبت به گواهینامهSSL DV دارا است و بازدید کنندگان وب سایت مربوطه با مشاهده نام سازمان در بخش جزئیات گواهینامه با اطمینان از این وب سایت سرویس می گیرند. این نوع گواهینامه با توجه به مدارک موردنیاز فقط به سازمان ها و صاحبان کسب و کار دارای مدارک رسمی دولتی از قبیل روزنامه رسمی قابل واگذاری می باشد .خرید گواهینامه SSL OVنیاز به تایید کامل هویت درخواست کننده دارد. شرکتها ، سازمانهای دولتی ، بانکها ، وزارتخانه ها و به طور کلی اشخاص حقوقی از متقاضیان این نوع گواهینامه SSL هستند. درخواست کننده باید مدارک کامل ثبتی و قانونی شرکت، سازمان و نهاد مربوطه را به همراه فرمهای درخواست و معرفی یک شخص مسئول همراه مدارک در مرحله اول به صورت اینترنتی ارسال نموده و پس از قبول درخواست از سمت صادر کننده نسخه ترجمه شده تمام مدارک مهر شده را از طریق پست بین المللی مثل DHL به صادر کننده ارسال نماید. در صورت تهیه و فعال نمودن این نوع از گواهینامه، اطلاعات تایید شده هویت آن سازمان در بخش جزئیات گواهینامه SSL نشان داده می شود که خاص آن سازمان، شرکت و یا نهاد می باشد.
-
Extended Validationیا به اختصار EV :
مشخصه اصلی این نوع گواهینامه نشان سبز رنگ در مرورگر است و دریافت آن بسیار شبیه گواهینامه OV ولی با اعتبار و ارزشی بالاتر است و معمولاً سازمانهای بزرگ در دنیا ازجمله شرکتهایی مثل گوگل از این نوع گواهینامه استفاده میکنند. مدارک موردنیاز برای سفارش این نوع از گواهینامه SSL همانند گواهینامه OV می باشد با این تفاوت که اهراز هویت سازمان و یا شرکت دقیق تر بوده و مدارک بیشتری و با دقت بالاتری مورد رسیدگی قرار می گیرد، به علاوه هزینه آن بالاتر است برای اعتبار سنجی کلیه اطلاعات ازجمله شماره تلفن ها و اطلاعات وب بررسی می شود
فرق میان EV با OV یا DV در چی هست ؟
گواهینامههای DV بهراحتی و بدون اهراز هویت ثبت میشوند ، گواهینامههای OV با اعتبارسنجی قویتری ثبت میشوند اما به دلیل اینکه موسسههای زیادی در سراسر دنیا و اکثراً بدون اهمیت به نام دامنه گواهینامه صادر میکنند داشتن SSL بانام سایتهای معتبر بسیار زیاد شده بهطوریکه یک مثال برای شما میزنم تا باهم ببینیم چقدر خراب هست : دولت میتواند موسسهها را مجبور به صدور گواهینامه SSL برای یک سایت که میخواهند بهجای سایت دیگر جا بزنند بکند. این مسئله بهتازگی در فرانسه اتفاق افتاد که گوگل یک گواهینامه تقلبی برای google.com که توسط موسسه صدور گواهینامه ANSSI فرانسه صادرشده بود را پیدا کرد. این مجوز به دولت فرانسه یا هر کس دیگری که از این مجوز استفاده میکرد اجازه میداد که از این طریق به کلاهبرداری و دزدیدن اطلاعات استفاده کند. برای همین از گواهینامههای EV سعی در رفع این مشکلدارند
CSR چیست و چگونه استفاده میشود ؟
زمانی که شما میخواهید SSL را بر روی سرور خود فعال کنید سؤالات متعددی در مورد هویت سایت شما ( مانند آدرس سایت ) و همینطور هویت شرکت شما ( مانند نام شرکت و محل آن) از شما پرسیده میشود. آنگاه سرور دو کلید رمز را برای شما تولید میکند , یک کلید خصوصی (Private Key) و یک کلید عمومی (Public Key). کلید خصوصی به این خاطر , این نام را گرفته است , چون بایستی کاملاً محرمانه و دور از دسترس دیگران قرار گیرد. اما در مقابل نیازی به حفاظت از کلید عمومی نیست و این کلید در قالب یک فایل درخواست گواهینامه یا Certificate Signing Request که بهاختصار آن را CSR مینامیم قرار داده میشود که حاوی مشخصات سرور و شرکت شما بهصورت رمز است. آنگاه شما بایستی که این کد CSR را برای صادرکننده گواهینامه ارسال کنید. در طول مراحل سفارش یک SSL مرکز صدور گواهینامه درستی اطلاعات واردشده توسط شمارا بررسی و تائید میکند و سپس یک گواهینامه SSL برای شما تولید کرده و ارسال میکند.
این گواهینامهها از کجا پشتیبانی میشوند !؟
شرکتهای متعددی وجود دارند که این گواهینامهها را صادر میکنند و در سرویسهای متفاوتی آنها را ارائه میکنند که ارزانترین آنها در حال حاضر معادل ۴۰۰ هزار ریال برای هرسال هست و درصورتیکه هر مشکلی پیش بیاید این شرکت طبق توافقی که با شما دارد خسارت را پرداخت خواهد کرد. البته نوع رمزنگاری هر شرکت ارائهکننده گواهینامه نیز متفاوت است و نوع پرداخت خسارت احتمالی نیز مشخص که چیزی شبیه به بیمه هست ! بههرحال سایتی که SSL دارد اما گواهینامه معتبری ندارد تفاوت چندانی با سایتی که SSL ندارد نخواهد داشت !
در ادامه به بررسی مزایای SSL در کسب و کارهای آنلاین خواهیم پرداخت.
- حرفه ای تر به نظر برسید: هر کسب و کاری که گواهی نامه SSL را فعال کرده به صورت امن تر در دسترس است و حرفه ای تر به نظر می رسد.
- افزایش وفاداری کاربران: از مزایای SSL این است که وفاداری بازدید کنندگان سایت افزایش می یابد. اگر سایت شما از داده های شخصی برای ورود به حساب های کاربری استفاده کند، حتما باید گواهینامه SSL را فعال کنید. بازدیدکنندگانی که مطمئن هستند اطلاعاتشان محافظت می شود، احتمال بازگشت بالایی دارند.
- جذب خریداران بیشتر: اگر به فروش آنلاین مشغول هستید، انتظار می رود خریداران خود را بررسی کنید و ببینید آیا فروشگاه شما به SSL نیاز دارد؟ سپس زمانی که گواهی نامه امنیتی را فعال کردید به کاربران خود اطلاع دهید و اشخاصی که از ضرورت این گواهی نامه مطلع نیستند را در جریان قرار دهید.
- افزایش فروش: زمانی که میزان وفاداری مشتریان، اعتماد کاربران و بازگشت بازدیدکنندگان رو به افزایش باشد با سیر صعودی فروش خواهید داشت.
- داده های مطمئن: یکی دیگر از مزیای SSL این است که از صحت اطلاعات دریافتی و ارسالی مطمئن خواهید شد. این که آیا این کد تبلیغی منحصر به فرد یا کوپن که شما به بازدید کننده وب سایت خود می فرستید، به درستی و بدون نقص اطلاعاتی دریافت خواهد شد؟ این اطلاعات در مسیر ارسال سرقت نمی شوند؟ SSL از اطلاعاتی که از هر دو سمت ارسال و دریافت می کنید، محافظت می کند. داشتن گواهی نامه SSL باعث افزایش شانس جدب مشتریان جدید و حفظ مشتریانی می شود که به سایت شما مراجعه می کنند. پس همین حالا SSL خود را فعال کنید