6901

جزئیات وبلاگ

shape
shape
shape
shape
shape
shape
shape
1396/11/28 - مقالات

اطمینان از اعتبار گواهینامه SSL

SSL چیست؟

SSL مخفف عبارت Secure Sockets Layer است که به لایه امن اتصال ترجمه میشود. اگر بخواهیم SSL را بشکلی ساده توضیح دهیم، باید بگوییم که: SSL یک استاندارد تکنولوژی برای ایمن نگه داشتن یک ارتباط اینترنتی  و یک حفاظ امن برای داده های حساس است که باید بین سیستم های مختلف مورد تبادل قرار گیرند. داده هایی مانند اطلاعات شخصی که ممکن است برای ثبت و یا ویرایش بین دو سیستم رد و بدل شوند مثال خوبی برای داده هایی است که به حفاظت توسط SSL نیاز دارند.  سیستم هایی که داده ها را با هم رد و بدل می کنند میتوانند بصورت سرور و سیستم مشتری باشند مانند ارتباطی که بین خریدار یک کالا و سایت فروشگاه ارائه دهنده آن کالا وجود دارد. همچنین این ارتباط میتواند میان دو سرور برقرار شود، مثلا اطلاعات شخصی افراد یا حقوق و دستمزد که از یک نرم افزار به یک سرور ارسال میشوند.

حفاظت از امنیت داده های منتقل شده بین دو سیستم باید با اطمینان از عدم قابلیت خوانایی داده ها در مسیر انتقال بین یک کاربر و سایت و یا بین دو سیستم، صورت گیرد. برای انجام اینکار یک الگوریتم کدبندی را روی دادهایی که باید منتقل شوند پیاده سازی می کنند. این سیستم کدبندی مانع میشود که هکر ها بتوانند اطلاعات را در مسیر بین دو سیستم بخوانند. اطلاعاتی که به رمز در میآیند میتوانند اطلاعات شخصی، امنیتی، مالی و مانند اینها باشند. مثلا اطلاعات کارت بانکی مشتریان یک سایت و یا نام و آدرس مشتریان آن، اطلاعات محرمانه ای هستند که برای انتقال بین دو سیستم باید کد بندی شوند.

TLS چیست؟

TLS مخفف واژه Transport Layer Security است و در واقع یک بروز رسانی برای سیستم SSL محسوب میشود که امنیت بیشتری دارد. بسیاری از شرکت های ارائه دهنده خدمات TLS ممکن است آن را با نام SSL عرضه کنند. این امر بدلیل آن است که SSL به گوش مخاطبان آشناتر است.

HTTPS چیست؟

HTTPS مخفف Hyper Text Transfer Protocol Secure میباشد. HTTPS در صورتی که سایت از گواهینامه SSL استفاده کند، در نوار ابزار مرورگر ظاهر میشود. اگر روی علامت قفل سبز رنگ در نوار آدرس سایت کلیک کنید اطلاعاتی مانند مالک سایت، صادر کننده گواهی نامه و اطلاعاتی در باره گواهینامه را میتوانید مشاهده کنید.

چگونه یک گواهینامه SSL مطمئن بخریم:

گواهینامه های SSL ممکن است توسط شرکت ها و یا وبسایت های مختلفی به فروش برسند و اصولا مشاهده یک SSL واحد با چندین قیمت در فضای وب کاملا امری عادی است.مهمتر از اطمینان بابت قیمت گواهینامه SSL خریداری شده آن است که مطمئن شویم گواهینامه ای که خریداری می کنیم توسط مرورگرهای مختلف مورد تایید باشد.

 هیچ مدیر سایتی مایل نیست در ازاء هزینه ای که برای خرید SSL میپردازد و زمانی که برای نصب و تنظیمات آن صرف می کند. سایت خود را از دسترس مخاطبانی که از یک مرورگر خاص استفاده می کنند خارج کند. اما چگونه میتوان از کارایی SSL های خریداری شده مطمئن باشیم. سایت  Qualys SSL Labs در آدرس https://www.ssllabs.com/ssltest/ به شما امکان چک کردن SSL را میدهد. فراموش نکنید که در این سایت باید آدرس شرکت اصلی ارائه دهنده گواهینامه SSL را وارد کنید. و نمیتوانید آدرس سایت خود یا آدرس شرکت فرعی که گواهینامه را به شما فروخته است در این قسمت وارد نمایید.

اطمینان از اعتبار گواهینامه SSL

با توجه به اعتبار شرکت های اصلی ارائه دهنده SSL چه نیازی به کنترل صحت عملکرد آنها وجود دارد؟

برای آنکه اهمیت این موضوع را درک کنید در ادامه این مقاله به بررسی مشکلی که برای بخش اعظمی از سایت های دنیا بخاطر استفاده از گواهینامه یکی از معتبرترین ارائه دهندگان این گواهینامه یعنی Symantecروی داد را بررسی می کنیم. شاید برای نشان دادن اعتبار شرکت Symantec باید یاداوری کنیم که شرکت Symantec ارائه دهنده آنتی ویروس Norton است.

گوگل همواره به دریافت گواهینامه SSL اصرار داشته است. اما بروز مشکلی در گواهینامه های صادر شده از شرکت Symantec و شرکت های وابسته به آن باعث شد، میلیون ها سایت در مرورگر گوگل کروم Chrome با پیام خطای عدم ثبت شدن گواهینامه SSL روبرو شوند و کاربران امکان دستیابی به این سایت ها را نداشته باشد. با توجه به آنکه این مشکل 12 ماه بطول انجامید. این سوال را مطرح کرد. که تهیه گواهینامه SSL به ریسک عدم نمایش سایت در مرورگرها می ارزد.

نکته: شرکت Symantec گواهینامه های خریداری شده توسط کاربران را بدرستی ثبت نکرده بود و این عدم ثبت درست باعث بروز مشکل عدم نمایش سایت های دارای گواهینامه این شرکت گردید. اگر گواهینامه های SSL توسط یک شرکت معتبر و بدرستی ثبت شوند مشکلی برای نمایش سایت ایجاد نخواهد شد.

طبق اعلام رسمی کارشناسان گوگل کروم Chrome عدم ثبت صحیح گواهینامه های SSL توسط شرکت Symantec باعث بروز این مشکل بوده است. همچنین با توجه به دامنه وسیع سایت های درگیر با این مشکل حل این مشکل به زمان زیادی نیاز خواهد داشت.

Ryan Sleevi کارشناس گوگل کروم Chrome و نویسنده گزارش سالانه شرکت گفته است که :

گواهینامه های صادرشده از سوی شرکت Symantec در گذشته نیز مشکلات زیادی داشته اند واین موضوع باعث شده است که ما نتوانیم به گواهینامه های صادره این شرکت اعتماد کنیم.

گوگل کروم Chrome برای جلوگیری از ایجاد یک بحران به شرکت Symantec پیشنهاد داد که تمام گواهینامه های صادره مشکل دار را ظرف

مدت 9 ماه اصلاح کند و گواهینامه های جدید را هم نیز به درستی به ثبت برساند.

یک اشتباه بزرگ!

شرکت Symantec یکی از بزرگترین کمپانی های صادر کننده گواهینامه های SSL در دنیاست و یک سوم گواهینامه های صادر شده در دنیا توسط این شرکت صادر گردیده است.اکنون با مشکلی که پیش آمده میلیونها کاربر در سرتاسر دنیا ناچارند که گواهینامه های جدید صادره از این شرکت را مجددا نصب و راه اندازی کنند.تیم گوگل کروم Chrome هم متعهد شده است که بلافاصله گواهینامه های تمدید اعتبار شده را بپذیرد.

سایت هایی که گواهینامه های SSL را میخرند معمولا نیاز به اعتبار و امنیت بالاتری از یک سایت معمولی دارند. مثلا یک فروشگاه برای انتقال اطلاعات کاربرانش از این پروتکل استفاه می کند. بنابراین سایت های شرکتی و فروشگاهی از ایجاد مشکل در گواهینامه های SSL بیش از سایت های معمولی متضرر خواهند شد.برخی از گواهینامه های SSL گرانتر از بقیه هستند. علاوه بر پیچیدگی لایه های کد بندی اطلاعات، این گواهینامه های گرانتر توسط یک شاخص در مرورگر به نمایش در می آیند. که خود به افزایش اعتبار سایت نزد مخاطب می افزاید.

 

اطمینان از اعتبار گواهینامه SSL