مفهوم SSLچیست؟
- مشخصات
- مجموعه: میزبانی وب و هاستینگ
- منتشر شده در 02 بهمن 1394
- نگارش یافته توسط کارشناس سیستم - کد1
- تعداد بازدید: 3168
SSL یا Secure Sockets Layer چیست؟
SSL یک پروتکل امنیتی با الگوریتمهای رمزنگاری پیشرفته است که تبادل اطلاعات بین سیستم کاربر و سرور را کنترل کرده و با رمزنگاری دادهها کاری میکند که اطلاعات در بین مسیر برای شخص سومی قابل خواندن نباشند. یا به اصطلاح، اطلاعات را در یک تونل امنیتی رد و بدل میکند. این پروتکل برای اولین بار در مرورگر Netscape برای انتقال امن دادهها میان مرورگر و سرور ایجاد گردید و امروزه به یکی از اصلیترین راههای تامین امنیت وبسایتها تبدیل شده است که هماکنون میلیونها وبسایت از این پروتکل استفاده میکنند.
SSL چگونه کار میکند؟
به زبان ساده وقتی شما درخواست یک صفحهی ایمن (معمولا با https) میکنید، سرور یک کلید عمومی (Public Key) ساخته و به همراه یک درخواست گواهینامه SSL که تمامی اطلاعات شرکت درخواست کننده در آن قرار دارد به سرویسدهندهی خدمات SSL میفرستد. سرویس دهنده خدمات SSL با استفاده از الگوریتمهای پیشرفته اقدام به رمزگذاری کلید عمومی کرده و پس از رمزگذاری آن، کلید جدیدی ساخته و آن را به سرور بازمیگرداند (که به این کلید جدید، کلید خصوصی یا Private Key گفته میشود). در مبحث امنیت شبکه، مهمترین قسمت در سرویسدهی SSL حفظ و نگهداری همین کلید خصوصی است و در صورتی که بتوان به کلید خصوصی دسترسی پیدا کرد یعنی میتوان اطلاعات را خواند. کلید عمومی را هر کسی میتواند مشاهده کند اما کلید خصوصی را نه!
پس از دریافت کلید خصوصی، ارتباط امن شما با سرور برقرار شده و میتوانید با خیالی تقریبا راحت در وبسایت به گشت و گذار بپردازید!
SSL چگونه امنیت دادهها را تضمین میکند؟
پروتکل SSL اطلاعاتی که قرار است تبادل شود را با الگوریتمهای پیچیدهای رمزنگاری میکند تا اگر در بین راه شخص سومی این اطلاعات را به سرقت برد نتواند آن را بخواند. این اطلاعات فقط و فقط به وسیله کدهای Private Key قابل خواندن هستند و در صورتی که این کدها در دسترس دیگری قرار بگیرد به راحتی میتواند اطلاعات شما را شنود کند. یک شرکت سرویسدهندهی SSL نیز همیشه به دنبال این است که کسی نتواند به کلید خصوصی دسترسی داشته باشد.
آیا SSL قابل اعتماد است؟
وقتی شما فرمی را بدون پروتکل SSL در یک وبسایت تکمیل کرده و ارسال میکنید، این اطلاعات به صورت یک فایل متنی به مقصد فرستاده میشود. اما وقتی پای SSL به میان میآید، این کدها به صورت ایمن یا در اصطلاح داخل یک تونل امنیتی انتقال داده میشوند که افراد بیگانه نمیتوانند آنها را بخوانند. یعنی اگر سارق در میانه راه به این کدها دسترسی پیدا کند فقط کدهای نامفهومی را میبیند که با روشهای پیشرفتهای کدگذاری شدهاند و فقط در مرورگر کاربر و کامپیوتر سرور قابل رویت هستند اما اخیرا همین کدهای SSL نیز توسط دو پژوهشگر شکسته شدند.
اگر بخواهیم SSL را با شیوه متنی (Clear text) مقایسه کنیم بسیار بسیار ایمنتر و پایدارتر است و میلیونها وبسایت از این شیوه برای حفظ محرمانه بودن اطلاعات خود استفاده میکنند اما این روش هم میتواند دستخوش حملههای امنیتی قرار بگیرد.
جعل گواهی امنیتی به چه صورت انجام میپذیرد؟
وقتی هکر به سرور سرویسدهنده SSL نفوذ کرده و اختیار سرور را به دست میگیرد، به راحتی میتواند درخواستهای وارده از جانب وبسایتها را مشاهده کرده و کاربران آنها را به یک وبسایت جعلی با مقادیر جعلی منتقل نماید. کاری که در صفحه نخست Gmail شاهد آن بودیم. وقتی کاربران ایرانی وارد وبسایت gmail میشدند، پس از ارسال درخواست گواهی امنیتی از سوی وبسایت، به یک صفحه جعلی ساخته شده هدایت میشدند و وقتی نام کاربری و کلمه عبور خود را در صفحه جعلی وارد مینمودند، این اطلاعات به راحتی در اختیار شخص هکر قرار میگرفت حتی بدون اینکه خود وبسایت سرویسدهنده از این موضوع اطلاعی داشته باشد. به همین راحتی!
سخن پایانی
شاید دنیای امروز پیشرفت زیادی در بحث امنیت کرده باشد ولی در مقابل به موازات این امر، هکرها نیز پیشرفت کردهاند و همانطور که اخبار آن از گوشه و کنار به گوش میرسد، همه روزه شاهد هک شدن وبسایتهای زیادی در دنیای وب هستیم. به یاد داشته باشید اگر میخواهید در محیط وب در امان بمانید همیشه به دنبال یک بستر امن برای خودتان باشید. همیشه مسائل ایمنی را جدی بگیرید. همیشه از آخرین نسخه مرورگرها و بستههای امنیتی استفاده کنید تا درصد امنیت را به بالاترین حد ممکن برسانید.
این مقاله به طور خلاصه و با زبانی ساده نگاشته شده است و سعی نویسنده بر آن بوده که مطلبی مفید در عین سادگی منتشر شود. صحبت درباره مسائل امنیتی و SSL را میتوان تا صفحات متوالی ادامه داد و وارد جزئیات آن شد اما در اینجا فقط اشارهای کلی به نحوه عملکرد آن گشت تا برخی از سوالات کاربران پاسخ داده شود.