https و انواع آن؛ گواهینامه اس اس ال چیست ؟ نکات کلیدی به بیان ساده

همواره دانستن اینکه اس اس ال چیست برای بسیاری از دارندگان وبسایت حائز اهمیت قلمداد می‌شد. از طرفی بسیاری از افراد ممکن است ندانند تفاوت http و https چیست، که البته ایرادی هم به آن‌ها وارد نیست، چون بیشتر فعالین اینترنت به‌عنوان کاربر (User) از این شبکه جهانی استفاده می‌کنند و عموما صاحبان سایت که نیاز به جلب اعتماد کاربران برای انجام تراکنش مالی در سایت خود دارند، پیرامون نکات و سوالاتی مانند ssl چیست جستجو می‌کنند.

با ما همراه باشید تا درباره موارد و سوالات ذکر شده، نکات مهمی را به شما بیان کنیم. دانستن این مطالب برای شما که قصد بررسی و تحقیق بیشتر دارید، بسیار کاربردی خواهد بود. در این مقاله سعی شده تا به ساده‌ترین شیوه و با بیانی واضح، نکات مورد نظر توضیح داده شوند. نکاتی کلیدی که دانستن آن‌ها برای هر شخصی که قصد دارد در اینترنت فعالیت داشته باشد، نه تنها لازم، بلکه بسیار ضروری است.

اس اس ال چیست و به چه دردی می‌خورد؟

اس اس ال در حقیقت یک گواهینامه (Certificate) است. یعنی مدرکی که سایت شما آن را دریافت می‌کند تا به واسطه آن تحت پوشش امنیتی یک قرارداد بین‌المللی قرار گیرد.

ssl در واقع مخفف (Secure Sockets Layer) است. لایه تونل‌های ایمن، شاید بتواند بهترین ترجمه‌ای باشد که بر اساس معنی و مفهومی که می‌توانیم در پاسخ به ssl چیست بیان کنیم. واژه ایمن با هدف خاصی در این عبارت بکار برده شده است.

“ایمن” (Secure) مفهوم امن شده را در ذهن ما تداعی می‌کند. یعنی فضایی یا کانالی که امنیت آن تأمین شده است.

وقتی توضیحات بیشتری درباره نحوه عملکرد آن ارائه کنیم، معنی و مفهوم تونل یا کانال ایمن را بهتر متوجه خواهید شد.

بهتر است پیش از آنکه وارد توضیحات درباره چیستی اس اس ال بشویم، از قبل توضیحاتی مقدماتی و ساده‌سازی شده و قابل درک درباره اینکه اساساً http و https چیست و چه تفاوتی دارند بیان نماییم.

http و https یعنی چه و تفاوت آن‌ها در چیست؟

در ابتدا وقتی که آدرس سایت‌ها را می‌نوشتیم، با http شروع می‌شدند، هر چند هنوز هم گاها این‌چنین است. یعنی بسیاری از وبسایت‌ها هنوز با http شروع می‌شوند. اما پس از مدتی، بعضی سایت‌ها یک s به http اضافه کردند و با  https نوشته می‌شدند. امروز قصد داریم تا این دو موضوع را کمی ریشه‌ای‌تر بررسی کنیم و ببینیم اساساً http و https چه تفاوتی با هم دارند.

http یعنی چه ؟

http مخفف Hyper Text Transfer Protocol است. در اینجا Hypertext یک واژه‌یکپارچه است ولی ما بخاطر نشان دادن حرف ابتدایی بخش Text آن، اقدام به جدا‌نویسی کرده‌ایم. Hypertext به معنی ابَرمتن است. یعنی یک متن بسیار بزرگ یا چیزی شبیه به این. اکنون بهتر می‌توانیم معنی http را توضیح دهیم. http یعنی پروتکل انتقال ابَرمتن. این انتقال بین سرور (Server) و نرم افزار مرورگر (Browser) کاربر یا اصطلاحاً Client صورت می‌گیرد.

https یعنی چه؟

آن‌چنان که که مشخص است، https با  http در وجود یک حرف S با هم تفاوت دارتد و همان‌طور که در بخش قبل گفتیم این حرف ابتدای کلمه Secure (ایمن) است. یعنی پروتکل انتقال ایمن متن‌های بسیار بزرگ.

در حقیقت با https، راه‌کاری برای امنیت اطلاعاتی که منتقل می‌شود در نظر گرفته شد. یعنی علاوه بر اینکه امنیت سرور باید تأمین بود، اکنون امنیت کلاینت نیز باید تأمین می‌شد.

اما نحوه عملکرد https چیست؟

برای دانستن دقیق این موضوع باید به سوالی که در ابتدای این مقاله مطرح کردیم پاسخ دهیم، اینکه اس اس ال چیست؟

وظیفه ایمن‌سازی انتقال بین سرور و کلاینت بر عهده مدیران سایت‌ها است. این کار با قرار گرفتن در پروتکل انتقال ایمن انجام می‌شود. یعنی استفاده از https. برای داشتن این پروتکل باید از گواهینامه اس اس ال (SSL Certificate) استفاده کنید.

با ما همراه باشید تا در این باره توضیحات بیشتری ارائه دهیم.

انواع اس اس ال چیست؟

همان‌طور که از عنوان این بخش مشخص است، ssl دارای انواع مختلفی است. در واقع اس اس ال دارای ۳ نوع متفاوت است:

1. نوع ابتدایی آن که برای اعتبار سنجی دامنه (Domain Validated) مورد استفاده قرار می‌گیرد. به این معنی که صاحب این گواهینامه دامنه شناخته شده و تأیید شده‌ای را در اختیار دارد. اصطلاحاً این نوع با عنوان DV SSL می‌شناسیم. این گواهینامه شاید چندان برای سایت‌هایی که تراکنش مالی دارند مناسب نباشد، اما برای سایت‌های معمولی و یا وبلاگ‌ها مناسب است. همچنین برای کسب و کار هایی که خیلی سریع و بدون ارائه و تأیید مدارک شرکتی نیاز به پشتیبانی سریع و البته کم‌هزینه برای انتقال اطلاعات دارند نیز مناسب است. زیرا برای گرفتن گواهینامه DV نیازی به ارائه مدارک خاصی نیست و معمولاً بلافاصله بعد از ارائه درخواست صادر می‌شود.
2. دومین نوع این گواهینامه، مربوط به شرکت‌ها است. این گواهینامه در حقیقت تأیید اعتبار سایت یم شرکت است. سایت تمامی شرکت‌های معتبر، بانک‌ها، موسسات و … همگی برای اینکه به کاربر این اطمینان را بدهند که سایتی که در آن قرار دارد مربوط به آن شرکت یا موسسه است، از گواهی Organization Validated SSL یا OV SSL استفاده می‌کنند. برای گرفتن این گواهی، ارائه مدارک شرکت لازم است و باید مدارک ارائه شده توسط شرکت صادرکننده گواهی تأیید شده و یک کد CSR (Certificate Signing Request) صادر شود. این کد بر روی سرور سایت درخواست دهنده نصب می‌شود و در حقیقت یک مدرک تأیید شده برای درخواست رمزنگاری بین سرور صادرکننده گواهی و سایت درخواست‌دهنده است.
3. سومین نوع از گواهی اس اس ال، که با نام Extended Validation شناخته می‌شود، بالاترین سطح از اعتبار و امنیت را دارد. این گواهی مانند OV SSL فقط برای شرکت‌ها و موسسات صادر می‌شود و در حقیقت سایت‌هایی که تراکنش‌های مالی دارند، معمولاً از این گواهی استفاده می‌کنند. صدور این گواهی با بیشترین سخت‌گیری نسبت به اعتبار و مدارک ارائه شده انجام می‌گیرد و به‌طور سالیانه نیاز به تمدید دارد.

در حقیقت به انواع دوم و سوم SSL Plus ،SSL نیز گفته می‌شود. وقتی شرکت درخواست‌دهنده دریافت EV یا OV درخواست خود را برای دریافت SSL Plus ثبت می‌نماید، مسئولین صدور گواهینامه که به اصطلاح آن‌ها را CA (Certificate Authorities) می‌نامند، حق متقاضی را برای استفاده از نام دامنه خاص بررسی می‌کنند. وقتی سایتی این گواهی را دریافت کرد، دیگر مورد اعتماد است، چون CA اعتبار آن را تأیید کرده است. بر اساس گفته سایت netcraft.com در آگوست سال ۲۰۱۲ بالغ بر ۲.۵ میلیون گواهی ssl برای وب‌سایت‌های عمومی صادر شده است.

CA برای صدور گواهی EV موارد زیر را مورد بررسی قرار می‌دهد:

• تأیید وجود قانونی، فیزیکی و عملیاتی واحد تجاری
• تأیید اینکه هویت واحد تجاری با سوابق رسمی مطابقت دارد.
• تأیید اینکه نهاد دارای حق انحصاری برای استفاده از دامنه مشخص شده در گواهی EV SSL است

پس در پاسخ به سوال اس اس ال چیست، جدول زیر را برای جمع‌بندی مطالب بیان شده ارائه می‌دهیم:

گواهینامه ssl دارای انواع زیر است:

جدول توضیح انواع گواهینامه‌های ssl

Google و  Https

در این بخش به یکی از مهم‌ترین دستاوردهای استفاده از گواهی اس اس ال و داشتن https در آدرس URL سایت اشاره می‌کنیم. تاکنون سعی کردیم تا روند ساده و صحیحی را در جهت پاسخگویی به پرسش اس اس ال چیست، که در ابتدای مقاله مطرح نمودیم، در پیش بگیریم. در خلال پاسخگویی به این پرسش، دریافتیم که ssl چیست با https چیست، چندان تفاوتی ندارد و تقریباً پاسخ به این ۲ سوال، یکسان است.

چرا که دانستیم:برای اینکه آدرس سایت با https آغاز شود، لازم است تا از گواهی اس اس ال استفاده نماییم. پس این دو به یکدیگر وابسته هستند.

اکنون می‌خواهیم به رویکرد گوگل نسبت به گواهی ssl بپردازیم.

طبق گفته سایت Phonixnap.com در مقاله زیر:

 https://phoenixnap.com/blog/google-ssl-certificates

گوگل در سال ۲۰۱۴ طی را‌ه‌اندازی یک کمپین تحت عنوان ۲۰۱۴ HTTPS Everywhere اقدام به آگاهی‌بخشی نسبت به کارایی و اهمیت گواهی ssl برای سایت‌ها کرد.

از ژوئیه ۲۰۱۸ ، الزامات SSL Google با علامت‌گذاری (Flagging) سایت‌های بدون SSL به عنوان ناامن در Chrome اعمال شد. این به‌روز رسانی فراتر از افزودن آن به لیست عوامل رتبه‌بندی خود گوگل است. داشتن این گواهی اساساً دیدگاه کاربران وب را در مورد امنیت آنلاین خودشان تغییر می‌دهد.

در حال حاضر، داشتن گواهی ssl یکی از اصول اولیه امنیت و در نهایت SEO برای تمام وب‌سایت‌ها است و تبدیل به یک شرط اساسی برای جلب اعتماد مشتریان در فعالیت‌های مربوط به بازاریابی دیجیتال شده است.

“گوگل” به‌طور واضح به وب‌سایت‌هایی که دارای گواهی اس اس ال هستند، رتبه بهتری اختصاص می‌دهد.

همه این موارد، بیان‌گر اصلی‌ترین پاسخ به سوال قبل در خصوص اهمیت داشتن گواهی اس اس ال چیست، است.

وقتی یک وب‌سایت با گرفتن گواهی اس اس ال، اعتبار کسب کرده و اعتماد کاربر خود را جلب می‌کند، گوگل به عنوان بزرگترین و پرکاربردترین موتور جستجو نسبت به این موضوع بسیار اهمیت قائل بوده، امتیازات بسیار خوبی را به آن اختصاص می‌دهد. این امتیازات در سئو سایت تأثیر بسزایی دارد، چرا که:

• HTTPS رتبه قوی‌تری در Google به خود اختصاص می‌دهند.
• شما تجربه‌های امن‌تری را برای مشتریان خود ایجاد خواهید کرد.
• شما اعتماد مشتری را تقویت کرده و نرخ تبدیل سایت خود را در طول زمان بهبود می‌بخشید.
• هم از اطلاعات حساس مشتری و هم از اطلاعات داخلی محافظت خواهید کرد.
• شما ارتباط مرورگر به سرور و سرور به سرور را رمزگذاری می‌کنید.
• شما امنیت برنامه‌های موبایل و Cloud خود را افزایش می‌دهید.
• شما در برابر فیشینگ (Phishing) محافظت خواهید کرد.

فیشینگ شیوه کلاهبرداری ارسال ایمیل‌هایی است که ادعا می‌شود از شرکت‌های معتبر هستند تا افراد را وادار به افشای اطلاعات شخصی، مانند گذرواژه و شماره کارت اعتباری کند.

گوگل به‌طور رسمی چنین اعلام کرده است: هیچ‌کس نمی‌خواهد افت رتبه جستجو در گوگل یا تأثیر منفی بر کسب و کار یا شهرت آنلاین خود را تجربه کند. بدون SSL، این امر به احتمال زیاد رخ می‌دهد.

نحوه عملکرد Https یا گواهی SSL چگونه است؟

در این بخش به توضیح شیوه عملکرد گواهی ssl می‌پردازیم. دانستن این مورد به شما در شناخت اهمیت استفاده از گواهی اس اس ال بسیار کمک خواهد کرد.

https چطور کار می‌کند؟

در ادامه به توضیح نحوه عملکرد و زمرنگاری اطلاعات به روش SSL می‌پردازیم:

1. مرورگر (Browser) از طریق اتصال ایمن‌شده به سرور وب متصل می‌شود. مرورگر درخواست می‌کند که سرور خود را شناسایی کند.
2. سپس سرور یک نسخه از گواهی SSL، از جمله کلید عمومی سرور را ارسال می‌کند.
3. مرورگر، اطلاعات را در برابر لیستی از CA بررسی می‌کند. به نظر می‌رسد که گواهی منقضی نشده است و مشخصات برای سایتی که به آن متصل است معتبر است.
4. اگر مرورگر به داده های دریافتی اعتماد کند، یک کلید سشن (Session Key) متقارن را با استفاده از کلید عمومی (Public Key) سرور ایجاد، رمزگذاری و ارسال می‌کند.
5. سرور، کلید سشن متقارن را با استفاده از کلید خصوصی (Private Key) خود رمزگشایی می‌کند. سپس یک تأییدیه رمزگذاری شده با کلید سشن را برای شروع سشن رمزگذاری شده ارسال می‌کند. این روند در کسری از ثانیه اتفاق می‌افتد.
6. هم سرور و هم مرورگر همه داده‌های منتقل شده را با استفاده از کلید سشن رمزگشایی می‌کنند.

در اینجا لازم به ذکر است که سشن (Session) به معنی هر درخواستی است که توسط کاربر برای سرور ارسال می‌شود و سرور بر اساس Session ID هر کاربر درخواست‌های او را پاسخ می‌دهد. سشن در حقیقت یک حافظه موقتی کوتاه مدت است که اطلاعاتی را به‌طور موقت ثبت و ذخیره می‌نماید. ضمناً هر سشن دارای مدت زمان مشخصی است.

سه کلید ذکر شده در بالا برای ایجاد یک اتصال رمزگذاری شده با هم کار می‌کنند. این گواهی همچنین حاوی چیزی است که “subject” نامیده می‌شود، که هویت صاحب وب‌سایت است. اطلاعات زیر را در خود دارد:

• نام دارنده گواهینامه
• شماره سریال و تاریخ انقضای گواهینامه مورد نظر
• کپی کلید عمومی دارنده گواهینامه (کلاینت)
• امضای دیجیتالی مرجع صدور گواهینامه

همان‌طور که گفته شد، دانستن اینکه SSL چگونه کار می‌کند می‌تواند به شما در درک دلیل اهمیت آن کمک کند.

در این مقاله مطالبی را پیرامون اینکه اس اس ال چیست و چه انواعی دارد بیان نمودیم. پس از مطالعه این مقاله شما می‌دانید تفاوت بین http و https چیست. اهمیت داشتن گواهی اس اس ال برای وب‌سایت‌ها برای شما مشخص شده و همچنین می‌دانید نوع نگاه گوگل به گواهی ssl چیست و این موضوع در سئوی داخلی اهمیت بسیار زیادی دارد. امیدواریم توانسته باشیم مطالب را به زبان علمی ساده بیان نموده باشیم. لطفاً سوالات و نظرات خود را درباره مطالب این مقاله در بخش ارائه نظرات با ما و دیگر مخاطبان این مقاله به اشتراک بگذارید.