SSL راهنمايي براي امنيت وب سايت ها
پیش درآمد
امروزه با افزایش استفاده از اینترنت برای تبادل اطلاعات مهم و اساسی بحث امنیت در فضای مجازی از اهمیت بالایی برخوردار شده است. شركت های امنیتی برای پیشگیری از سرقت اطلاعات خدمات گوناگونی را ارائه می دهند كه از جمله ی این امكانات می توان به گواهی امنیتی SSL، فایروال، اسكنرهای سنجش امنیت و ارزیابی سالیانه امنیتی وب سایت ها اشاره كرد.
همانطور كه می دانید بسیاری از مردم از طریق اینترنت خرید می كنند، ایمیل ارسال می كنند، به مدیریت حساب های بانكی شان و كارهایی از این دست می پردازند، اما اگر اندكی در خصوص تعداد كاربران اینترنت تأمل كنید، شگفت زده و البته كمی نگران خواهید شد. 15 سال پیش تنها 15 درصد از آمریكایی ها به اینترنت وصل می شدند، حالا این آمار حدود 80 درصد است. جالب است بدانید كه آمار جهانی كاربران اینترنت از این هم چشمگیر تر است. آمار به ما نشان می دهد كه در یك دهه ی قبل تنها حدود 350 میلیون نفر در سراسر جهان از اینترنت استفاده می كردند، حال آنكه در 10 سال گذشته این رقم به حدود 2 میلیارد نفر رسیده است.
هر چقدر به تعداد كاربران اینترنت افزوده شود، به همان نسبت وب سایت ها بیشتر در معرض حملات سایبری از قبیل سرقت رمزهای عبور كاربران قرار خواهند گرفت. تهدید كاربران اینترنت روز به روز افزایش می یابد. بر طبق گزارش ها هر ساله بیش از 3.5 میلیون نفر در آمریكا مورد سرقت اطلاعات در فضای مجازی قرار می گیرند.
بسیاری از كاربران فضای مجازی كه خود یا افراد نزدیك به آنها مانند دوستان و خانواده شان مورد سرقت اطلاعات قرار می گیرند و یا اینكه خبر مربوط به این سرقت ها را می شنوند، پس از آن به راحتی و با آسودگی اطلاعات شخصی مانند نام واقعی شان را در فضای اینترنت منتشر نخواهند كرد. نتایج یك گزارش تحقیقاتی كه به تازگی منتشر شده است، نشان می دهد كه بیش از 62 درصد از كاربران اینترنت در ایالت متحده بابت مسأله ی امنیت اطلاعاتشان در فضای مجازی نگرانی های جدی دارند. واضح است كه اگر كاربری در فضای مجازی برای دادن اطلاعات شخصی ساده مانند اسم واقعی اش احساس امنیت نكند، صحبت در خصوص استفاده ی این كاربر از كارت اعتباری برای خرید اینترنتی یك شوخی بی مورد بیشتر نخواهد بود! تحقیقات نشان می دهد كه اگر وب سایتی در سطح مطلوبی از امنیت قرار نداشته باشد، كاربران اینترنت به سادگی اطلاعات خود را در آن به اشتراك نخواهند گذاشت.
خوشبختانه در حال حاضر فنآوری SSL وجود دارد. SSL یك راه حل استاندارد برای محافظت از اطلاعات حساس و مهم در فضای مجازی است. البته به اعتقاد متخصصان مزایای SSL تنها به مباحث امنیت ابتدایی وب سایت ها خلاصه نمی شود. این راهنما به شما در آشنایی با مفاهیم SSL، طرز كار آن و چگونگی ایمن سازی وب سایت ها در فضای مجازی كمك شایانی خواهد كرد.
SSL پایه و اساس امنیت فضای مجازی
SSL1 كه در سال 1995 برای اولین بار مورد تحلیل و استفاده قرار گرفت، اكنون به یك فنآوری جهانی برای ایمن سازی فضای مجازی تبدیل شده است. در ابتدا SSL به نظر یك فنآوری بسیار پیچیده می آید، اما در واقع یك فنآوری بسیار ساده است كه به ایجاد اطمینان و اعتماد در فضای مجازی كمك شایانی می كند. در واقع تصور اینترنت عمومی، بدون وجودِ امنیتِ سراسریِ ایجاد شده توسط SSL، امری دشوار و غیر ممكن است.
در اصل اِلمان ویژه ی وب سایت های دارای گواهی SSL یك بخش كوچك از یك كد است كه صاحب سایت آن را در وب سایت خود نصب كرده است. پس از نصب و راه اندازی، ارائه دهنده ی خدمات SSL چك امنیتی گسترده ای از سرور، مرورگر و مركز داده به منظور ایجاد یك دامنه و سرور امن به عمل می آورد. پس از انجام ایمن سازی، اطلاعات كدگذاری شده از طریق اینترنت برای صاحب سایت ارسال خواهد شد. این اطلاعات به گونه ای است كه امكان رمزگشایی یا رهگیری آنها به منظور انجام حملات سایبری توسط شخص سومی وجود ندارد.
به عبارت دیگر فنآوری SSL به شیوه ای كاملاً مؤثر از وب سایت ها در برابر حملات سایبری محافظت می كند. این فنآوری به ویژه از سایت ها در برابر آن دسته از حملاتی كه سارقان اطلاعات (هكرها) مخفیانه به استراق سمع گفتگو های اینترنتی مهم صاحبان و كاربران سایت می پردازند و یا از تراكنش های آنلاین كارت های اعتباری به شیوه ای مخفیانه باخبر می شوند، حفاظت می كند.
SSL Authentication
برای صدور گواهی SSL و تأیید ایمنی وب سایت ها لازم است هویت قانونی و حقوقی صاحب وب سایت و وب سایت ها به اثبات برسد. صاحب وب سایت برای پیشبرد پروژه ی تأیید هویت با مركزی به نام Certificate Authority (به صورت مخفف CA) كه مسئول صدور گواهی های SSL است، مرتبط می شود. در صورتی كه وب سایتی درخواست استفاده از گواهی SSL را به CA بدهد، این مؤسسه به بررسی و تحقیق در خصوص سایت می پردازد تا اطمینان حاصل كند كه سایت قانونی و حقوقی است. معمولاً كارشناسان این مؤسسه برای تأیید محل سكونت و هویت صاحب وب سایت به بررسی اسناد ثبت شده ی تجاری و حقوقی وب سایت خواهد پرداخت.
هر چند وب سایت ها خود امكان تهیه و امضای گواهی SSL را دارند، اما معمولاً به دلیل امنیت بیشتر و مدیریت بهتر، صدور گواهی نامه توسط نهاد معتبر سومی صورت می گیرد. وقتی صدور این گواهی نامه توسط یك نهاد بی طرف و سومی صورت بپذیرد، دیگر شكی برای قانونی نبودن وب سایت وجود نخواهد داشت. البته برخی از سایت های ارائه دهنده ی خدمات، به طور مستقیم گواهی نامه ی SSL را تهیه و صادر می كنند كه این مورد بیشتر برای سایت ها و محیط های آزمایشی اتفاق می افتد.
فروشندگان بزرگ ارائه دهنده خدمات SSL مانند مایكروسافت توصیه اكید دارند در صورتی كه وب سایت عمومی است صدور گواهی SSL حتماً توسط نهاد و مؤسسه ی بی طرف و سومی انجام پذیرد.
در حال حاضر بهره گیری از پروتكل امنیتی SSL فراگیر شده است و طیف گسترده ای از وب سایت ها و مرور گر ها برای ایمن سازی از این فنآوری بهره گرفته اند. جالب است بدانید كه این فنآوری نه تنها از وب سایت ها كه از ارتباطات در فضای مجازی نیز محافظت می كند. SSL همچنین از محتوای ایمیل ها، پیام ها و ارتباطات تلفنی و اطلاعات رد و بدل شده بین دو سرور در فضای مجازی به خوبی محافظت می كند.
چگونگی عملكرد SSL
در یك وب سایت كه مجهز به گواهی SSL است، تمام اطلاعات تبادل شده میان سرور و مرور گر پیش از ارسال كدگذاری خواهند شد.
برای این كار، گواهی SSL دو كد دارد كه كلید نامیده می شوند. كلید امنیتی (private key) كه منحصراً به سرور میزبان وب سایت اختصاص دارد و كلید عمومی (public key) كه در دسترس تمام مرورگرها قرار خواهد گرفت. داده هایی كه توسط كلید امنیتی رمز گذاری شوند تنها توسط كلید عمومی رمز گشایی شده و بالعكس داده هایی كه توسط كلید عمومی رمزگذاری می شوند توسط كلید امنیتی رمزگشایی خواهند شد.
سطح امنیتی كه توسط SSL ایجاد می شود به عوامل محدودی از جمله نوع گواهی SSL وب سایت، نوع مرور گر استفاده شده توسط كاربر و قابلیت ها و ویژگی های سرور میزبان بستگی خواهد داشت.
یكی از ویژگی های گواهی SSL، وجود طیفی از سطح رمزگذاری نظیر «بالاتر از 256 بیت» است. در این بخش مثالی برای مقایسه ی قدرت رمز گذاری SSL آورده شده است. جالب است بدانید كه قدرت SSL 128 بیتی ۲ به توان ۸۸ برابر گواهی SSL 40 بیتی است. به عبارت دیگر تریلیون ها تریلیون بار قویتر است. می توان گفت كه یك سارق اطلاعات (هكر) باید برای شكستن حصار امنیتی یك گواهی SSL 128 بیتی و رمز گشایی كدهای آن یك تریلیون سال وقت صرف كند و این زمان برای گواهی SSL 256 بیتی بسیار بیشتر خواهد بود.
تجربیات كاربران از SSL
شما برای دانستن اینكه سایتی از گواهی SSL استفاده می كند، نیازی به دانش آی تی و آشنایی با روش کدنویسی HTML نخواهید داشت. در واقع، مرورگرهای اینترنتی به نشانه های بصری مجهز هستند كه به شما برای اطلاع از استفاده ی سایت از گواهی SSL كمك می كند. برای مثال، آدرس سایتی كه گواهی SSL دارد با //:https شروع می شود. در حالی كه سایت های غیر امن با //:http شروع می شوند.
در صورتی كه شما از یك وب سایت دارای گواهی SSL بازدید نمایید بسیاری از مرورگرهای اینترنتی مانند اینترنت اكسپلورر، فایر فاكس و سافاری یك آیكون كوچك قفل را در بالای صفحه نمایش خواهند داد.
محل و شكل ظاهری قفل بسته به نوع مرورگر استفاده شده متفاوت خواهد بود، اما شما حتماً برای اطمینان از امنیت سایت مورد بازدید از وجود آن مطمئن شوید. نمونه ی این قفل در مرورگرهای سافاری، فایر فاكس و اینترنت اكسپلورر را در تصاویر زیر مشاهده می كنید :
بسیاری از مرورگرها زمانی كه روی آیكون قفل كلیك كنید، اطلاعاتی را در خصوصCA و شركت ارائه دهنده ی گواهی SSL نمایش خواهند داد. در صورتی كه روی گزینه ی اطلاعات بیشتر كلیك كنید اطلاعاتی نظیر تاریخ انقضای گواهی نامه و اطلاعات فنی دیگر در خصوص SSL را مشاهده خواهید نمود. جالب است بدانید كه مرورگرها در صورت قابل اعتماد نبودن گواهی SSL سایت، انقضای گواهی آن یا عدم انطباق آن با آدرس سایت پیام هشداری را نمایش می دهند.
وجود گواهی SSL برای ایجاد حس اعتماد در كاربران سایت ضروری است
اگر شما صاحب سایتی هستید كه به ویژه در آن معاملات و تراكنش هایی از طریق كارت های اعتباری صورت می گیرد، كاربران باید از سطح بالای امنیتی سایت شما اطمینان كامل حاصل نمایند. به نظر شما چرا این حس اعتماد اهمیت بالایی دارد؟ برای مثال اگر اطلاعات كارت اعتباری كاربران سایت شما مورد حمله ی سایبری قرار گیرد، طبق آمار آنها دیگر از وب سایت شما بازدید نمی كنند. همچنین به احتمال زیاد آنها این تجربه بد و دید منفی را در سایر سایت ها و شبكه های اجتماعی منتشر كرده و سایر كاربران را از این اتفاق مطلع خواهند كرد. هر چند كاری از دست شما برای جبران خسارت كاربران سایتتان بر نمی آید اما این اتفاق روی ساختار روابط كاری شما با مشتریانتان تأثیر خواهد گذاشت و سایت شما مشتریان جدید و بالقوه ی خود را از دست خواهد داد.
استفاده از گواهی امنیتی SSL سریعترین، ساده ترین و مقرون به صرفه ترین راهی است كه به اعتبار وب سایت و اطمینان كاربر از ضریب ایمنی آن و موفقیت كسب و كار شما كمك قابل توجهی خواهد كرد. هنگامی كه داده های كاربران كدگذاری شود، دیگر امكان رهگیری آن در اینترنت توسط سارقان اطلاعات وجود نخواهد داشت و اطلاعات حساس مشتریان شما محفوظ خواهد ماند و در نتیجه اطمینان آنها به شركت شما افزایش خواهد یافت. به طور خلاصه می توان گفت كه شما علاوه بر حافظت از اطلاعات بازدیدكنندگان سایتتان از شهرت خود در فضای مجازی نیز محافظت خواهید كرد.
اهمیت انتخاب درست ارائه دهنده ی خدمات SSL
بسیاری از كاربران در هنگام بازدید از یك سایت به وجود نشان های تجاری شركت های امنیتی مجازی كه در اصطلاح trust marks نامیده می شوند و دال بر ایمنی سایت هستند، توجه ویژه ای نشان می دهند. نتیجه ی یك تحقیق نشان داده است كه بیش از 86 درصد خریداران آنلاین ابتدا از وجود و اعتبار این آرم اطمینان حاصل می كنند و سپس با احساس امنیت بیشتری اطلاعات شخصی خود را در اختیار وب سایت قرار می دهند. با توجه به این واقعیت مهم، انتخاب یك ارائه دهنده ی خدمات SSL مطمئن یكی از مهمترین تصمیمات كسب و كار شما خواهد بود.
تعداد شركت های ارائه دهنده ی گواهی امنیتی SSL بسیار زیاد است، اما تعداد كمی از این شركت ها در سطح جهان از شهرت و اعتبار خوبی برخوردار هستند. لازم است قبل از خرید گواهی SSL درباره ی شركت ارائه دهنده ی خدمات تحقیق كرده و از حسن شهرت و اعتبار آن اطمینان حاصل نمایید.
همكاری با یك شركت متخصص در زمینه ی ارائه ی گواهی امنیتی SSL به اعتبار سایت شما و اعتماد كاربران به آن كمك قابل توجهی خواهد كرد.
اما در مقابل انتخاب یك ارائه دهنده ی غیر قابل اعتماد می تواند عواقب جدی و خطرناكی را به دنبال داشته باشد. برای مثال در 4 آوریل 2009 به دلیل مشكلات فنی شركت گلوبال ساین، دارندگان گواهی SSL این شركت با مشكلات و ضررهای زیادی مواجه شدند.
به همین دلیل است كه انتخاب درست شركت ارائه دهنده ی خدمات SSL امری ضروری قلمداد می شود.
تجربه ی امنیت در سطحی بالاتر با بهره گیری از EV SSL
اخذ گواهی SSL معمولی برای فروشگاه های مجازی و وب سایت های معاملاتی امری ضروری است، اما شما می توانید از فنآوری پیشرفته و سطح بالای SSL استفاده نمایید كه رمزگذاری پیچیده تر و فرآیند صحه گذاری سخت گیرانه تری را اجرا می كند. این نوع از SSL در اصطلاح فنآوری EV SSL نامیده می شود و نشانه ی واضح آن برای كابران وب سایت قرار گرفتن آدرس سایت در نواری سبزرنگ درون كادر مرورگر خواهد بود كه نتیجه ی آن امنیت بیشتر سایت شما و اعتماد بیشتر كاربران به ضریب امنیت وب سایتتان خواهد بود.
چگونگی عملكرد EV SSL
برخی از ارائه دهندگان خدمات SSL هنگامی كه با تقاضا برای قیمت پایین تر این گواهی نامه مواجه شدند، اقدام به عرضه ی گواهی هایی كردند از لحاظ سطح رمزگذاری و تصدیق هویت با گواهی های SSL با قیمت بالا تفاوت های چشمگیری دارد. یك گروه مستقل صنعتی با نام CA/Browser Forum7 برای جلوگیری از سردرگمی كاربران و تسهیل شناسایی وب سایت هایی كه از گواهی SSL قویتری استفاده می كنند، اقدام به اعطای گواهی EV SSL كرده است.
گواهی های EV SSL به مانند گواهی های امنیتی SSL از همان روش رمزگذاری كلید عمومی / امنیتی برای محافظت از انتقال داده ها استفاده می كنند. با این حال وب سایت هایی كه از EV SSL بهره می گیرند، ضریب امنیتی بسیار بالاتری دارند. وقتی سایتی از EV SSL بهره می گیرد، فرآیند دقیق تری برای تصدیق هویت انجام خواهد شد. همان طور كه قبلاً به آن اشاره شد یكی از نشانه های ورود به یك سایت امن مجهز به گواهی EV SSL سبز شدن آدرس سایت در داخل كادر مرور گر است.
چرایی اهمیت EV SSL
نتایج یك تحقیق نشان داده است كه بازدیدكنندگان سایت شما در صورتی كه نوار سبز رنگ را مشاهده كنند، تمایل بیشتری برای ارتباط و تعامل با سایت شما دارند و این می تواند بدین معنی باشد كه از سایت شما خرید خواهند كرد، در خبرنامه ی سایت عضو خواهند شد و از خدمات سایت شما بهره خواهند گرفت. نتایج مطالعه ی مستقل مؤسسه ی Tec-Ed نشان داده است كه 97 درصد از شركت كنندگان در نظرسنجی در صورتی كه نوار سبز مربوط به گواهی EV SSL را مشاهده كنند، با اطمینان خاطر بیشتری اطلاعات شخصی و مالی خود را در اختیار سایت قرار خواهند داد.
اگر به دنبال بالاترین سطح امنیتی رمزگذاری داده ها و افزایش ضریب ایمنی سایتتان هستید، گواهی EV SSL بهترین انتخاب برای شما خواهد بود.
سایتتان را به SSL مجهز كنید!
اگر شما قصد دارید برای افزایش امنیت سایتتان از گواهی SSL استفاده نمایید، اولین گام انتخاب یك شركت ارائه دهنده ی این خدمت است. شركت های ارائه دهنده ی خدمات SSL بسیار زیاد هستند، اما به یاد داشته باشید كه باید بهترین شركت را از میان آنها انتخاب كنید. شركتی كه دستورالعمل های امنیتی سخت گیرانه ای را در پیش می گیرد.
وقتی شما با یك شركت قرارداد همكاری امضا كردید، این شركت از شما قبل از صدور گواهی SSL مدارك هویتی و قانونی شركت یا سایت تان را برای احراز هویت درخواست خواهد كرد. در این بخش هر شركت ارائه دهنده مقررات خاص خود را دارد اما معمولاً بسیاری از شركت های ارائه دهنده ی خدمات SSL اسناد ثبت شده ی حقوقی و قانونی سایت (شركت) را درخواست خواهند كرد. برای مثال، شركت «ژئو تراست» برای تكمیل مراحل درخواست گواهی و تأیید هویت قانونی محلی و ملی سایت شما، كپی تمام اسناد ثبتی شركت را به دقت بررسی می كند. این شركت همچنین اسناد مربوط به ثبت دامنه ی سایت شما را نیز مورد بررسی قرار می دهد. ژئو تراست به منظور تسهیل فرآیند بررسی برای مشتریانش، این تحقیق را از طریق پایگاه های داده ی عمومی انجام می دهد
فرآیند صدور گواهی SSL توسط CA بسته به نوع و سطح گواهی خریداری شده از چند دقیقه تا چند روز زمان خواهد برد. فرآیند صدور گواهی های امن تر و قابل اعتماد تر زمان بیشتری خواهد برد، اما انتظار برای دریافت این نوع گواهی ها ارزشش را نیز دارد. به عنوان نمونه، صدور گواهی EV SSL بسیار طولانی است، اما حداكثر امنیت و اعتماد را برای شما مهیا خواهد كرد، به نحوی كه كاربران از حضور در سایت شما احساس امنیت خواهند كرد. گواهی EV به دلیل ایجاد فضای امن تر برای تعاملات شما با مشتریان و كاربران، تأثیر بسیار مثبتی روی افزایش سود كسب و كار شما خواهد داشت.
لازم است شما پس از اخذ گواهی، آن را بروی وب سرور خود نصب نمایید. هر چند مراحل نصب SSL ساده و روشن است، اما به دلیل نگرانی برخی از خریداران از ایجاد مشكل، برخی از شركت های CA به هنگام خرید گواهی، دستورالعمل كاملی برای نصب ارائه می دهند. چگونگی نصب SSL با توجه به نوع سرورها متفاوت است، بنابراین لازم است برای اطمینان بیشتر هر گونه سؤال و ابهامی را با نماینده ی CA مطرح كنید.
برخی از شركت های CA به خریدارانشان نشانه ی امنیتی ویژه ای ارائه می دهند كه خریداران با نشان دادن آن به بازدیدكنندگان سایت به آنها اطمینان می دهند كه این سایت توسط گواهی امنیتی SSL محافظت می شود. برای نصب این نشان ویژه ی امنیتی كافی است كه كد مورد نظر را از نماینده ی CA دریافت كرده و آن را در بخش Source Code وب سایتتان كپی كنید. اطمینان حاصل كنید كه این نشان ویژه ی امنیتی در سایت شما به ویژه در صفحه ی اول (home page) برجسته و قابل رؤیت باشد. در صورتی كه سایت شما یك فروشگاه الكترونیك است توصیه می شود این نشان ویژه را در تمامی صفحات سایت از جمله صفحه ی محصولات و صفحه ی ویژه ی خرید الكترونیك نمایش دهید.
زمانی كه بازدیدكنندگان هولوگرام SSL را در سایت شما مشاهده می كنند، زمان بیشتری را در سایتتان می گذرانند، در خبرنامه ی شما عضو خواهند شد و خرید بیشتری خواهند كرد. متخصصان توصیه می كنند كه این نشان را در بالای صفحه ی اصلی نمایش دهید.بسیاری از صاحبان وب سایت ها این نشان را در تمامی صفحات سایت نمایش می دهند تا امنیت بالای آن را به مشتریان یادآوری كنند.
نتیجه : مزایای بهره گیری از گواهی های SSL
وقتی شما از گواهی SSL استفاده می كنید، این پیام روشن را به كاربرانتان می دهید كه ما مراقب ایمنی شما هستیم و سایت ما مورد اعتماد است. با این وجود تمام گواهی های SSL از لحاظ سطح امنیتی موقعیت یكسانی ندارند. هنگامی كه قصد خرید SSL را دارید باید از اعتبار، قابل اعتماد بودن و حسن شهرت شركت ارائه دهنده اطمینان حاصل فرمایید. توصیه متخصصان به خریداران استفاده از گواهی EV SSL است.
بهره گیری از گواهی EV SSL كه از شركت ارائه دهنده ی معتبری خریداری شده باشد، امنیت و اعتبار سایت شما در فضای مجازی را تضمین خواهد كرد. علاوه بر این موارد گواهی EV SSL كاربران را تشویق می كند تا زمان بیشتری را در سایت شما حضور داشته باشند كه این اتفاق به افزایش فروش و در نتیجه موفقیت سایت شما منجر خواهد شد.
برای خرید SSL، ارائه دهنده ای قابل اعتماد، معتبر و مستقل را انتخاب نمایید. این گواهی باید حداقل سطح رمزگذاری اش 128 بیتی باشد، اما به گفته ی متخصصان یك حالت خوب برای آن سطح رمزگذاری 256 بیتی است. برای حفاظت بهتر از داده ها و اطلاعات، باید SSL به مراكز داده ی قوی و سایت های بازیابی اطلاعات قدرتمند مجهز باشد. از نمونه شركت های معتبر در زمینه ی ارائه ی گواهی SSL می توان به KPMG، دلویت و تاچ، ارنست و یانگ و ژئوتراست اشاره كرد.
گواهی SSL در ایران
از آنجایی كه گواهی های امنیتی SSL با واسطه یا بی واسطه باید به یك CA معتبر متصل باشند با توجه به شرایط امروز كشور ما و نیاز سایت های ایرانی به اخذ این گواهی نامه برای تأمین امنیت كاربران، معمولاً این گواهی ها با 2 یا 3 واسطه از شركت CA اصلی خریداری می شود كه لازم است در خصوص نوع SSL خریداری شده و اعتبار شركت اصلی و شركت های واسطه تحقیق و ارزیابی دقیقی انجام شود.
