قبل از بررسی عمیق ssl چیست و اینکه فواید و کاربرد های زیاد گواهینامه های SSL ( SSL Certificates) را بدانیم،آن ممکن است بهفهمیدن تکنولوژی زیر بنایی کمک کند.این مقاله یک تاریخچه مختصردرس گونه رادر باره چگونگی تکامل لایه سوکت امن (SSL) به لایه امنیتی حمل و نقل (TLS) مهیا می کند وبصورت ساده توضیح می دهد که چگونه آنها هم برای ارتباطات اینترنت عمومی و هم برای ارتباطات اینترنت سازمانی ایجاد امنیت می کنند.
بشکل خاص، هدف ارایه یک نگاه کلی کامل از پروتکل و گواهینامه های لایه سوکت امن (SSL) می باشد که به شما در ارتباط با مدیریت گواهینامه ها کمک می کند تا بهترین تصمیم را برای سازمان خود بگیرید.
گواهینامه ssl چیست
SSL یک نام اصلی برای پروتکل رمزنگاری برای احراز هویت و رمز گذاری ارتباطات در بستر اینترنت است. بطور رسمی، SSL در بروز رسانی چند وقت پیش پروتکل TLS جایگزین گردید.
تاریخچه تغییرات گواهی SSL به TLS
در زیر تایم لاین چگونگی تغییر SSL در طول زمان قرار دارد.
1- SSLیک پروتکل امنیتی توسعه یافته توسط نت اسکایپ در دهه 90 برای رمز گذاری و امنیت ارتباطات در بستر اینترنت می باشد. SSL v 1.0 بخاطر موضوعات امنیتی هرگز منتشر نشد.
2-در سال 1995، نت اسکایپ SSL v 2.0 انتشار داد ، اما هنوز دارای نقص های زیادی داشت.
3- SSL v 3.0 در سال 1996 منتشر شد و مشکلات SSL v2.0 مورد توجه قرار گرفته بودند.این نسخه پیشرفت غیر قابل باوری بوجود آورد و برای همیشه روش کار های اینترنت را تغییر داد. با الین وجود، از سال 2015 ، SSL 3.0 ونسخه های قبلی منسوخ شده بودند.
4-TLS توسط مهندسی کارهای ضروری اینترنت (IETF) بصورت یک پیشرفت در SSL توسعه داده شد. TLS v1.0 در سال 1999 انتشار داده شد و بر پایه SSL v3.0 با حد اقل پیشرفت های امنیتی بود که هنوز به اندازه کافی مهم برای عدم همکاری SSL v3.0 و Tls v 2.0 بودند.
5-Tls b1.1 هفت سال بعد در 2006 بیرون آمد و در سال 2008 به فاصله کوتاهی توسط TLS v1.2 جایگزین شد. هنگامی که خیلی از وب سایت ها مستقیما از TLS v1.0 به TLS v1.2 به روز رسانی شدند به پذیرش و قبول TLS v 1.1 صدمه وارد شد. 11 سال بعد ما الآن در TLS v1.3 هستیم.
6-TLS v1.3 در سال 2018 نهایی شد و بعد ازتقریبا 30 پیش نویسIETF ، TLS v1.3 نسبت به نسخه های پیشین خود پیشرفت های مهمی کرد. مایکروسافت، اپل، گوگل، موزیلا، کلودفلر، و سیسکو همه TLS v1.0 را منسوخ کردند و TLS v1.1 تا 2020 منسوخ شد. در حال حاضر TLS v1.2 و TLS v 1.3 تنها پروتکلSSL موجود هستند.
بنا براین، در واقعیت، TLSبطور ساده یک نسخه جدید تر از گواهی SSL می باشد. با وجود این بیشتر مردم هنوز بجای TLS می گویند SSL . SSL و TLS یک هدف دارند و آن محافظت از اطلاعات حساس در طول انتقال است، اما اگر بخواهیم دقیق تر باشیم ، شیوه رمز نگاری از شکل اولیه SSL به جدیدترین شکل TLS v1.3 تغییرات زیادی کرده است.
گواهینامه های دیجیتال هسته پروتکل SSL می باشند؛ آنها یک ارتباط امن بین سرور( برای مثال وب سایت، اینترنت، یا وی پی ان) و کلاینت (برای مثال مرورگرها، اپلیکیشن ها، یا کاربران ایمیل ) ایجاد می کنند.
گواهینامه های SSL محافظت مناسبی در برابر فیشینگ و استراق سمع انتقالات و احراز هویت یک سرور مثل دامین یک وب سایت را انجام می دهد. اگر یک وب سایت در خواست اطلاعات حساس یک کار بر را داشته باشد، نیاز است گه دارای گواهی SSL برای رمز نگاری در طول انتقال باشد. اگر گواهینامه SSL وجود نداشته باشد، آنگاه آن ارتباط برای هر گونه اطلاعات خصوصی قابل اعتماد نیست.
گواهی SSL چگونه کار می کند؟
هدف اولیه گواهی SSL عبارت از مهیا کردن ارتباط با سطح-انتقال امن بین دو نقطه انتهایی سرور و مرورگر کلاینت می باشد. این ارتباط بطور تیپکال بیت یک سرور وب سایت و یک مرورگر کلاینت ، ویا بین یک سرور ایمیل با یک اپلیکیشن ایمیل مانند اوت لوک (Outlook) می باشد.
گواهی SSL از دو پروتکل جداگانه تشکیل می شود.
1-پروتکل هندشیک که سرور (و بطور اختیاری کلاینت ) را احراز هویت می کند.
2- پروتکل رکورد(ثبت) که هر کانکشن را ایزوله می کندو از کلید به اشتراک گذاشته شده برای امنیت ارتباطات باقیمانده جلسه استفاده می کند.
پرو تکل هندشیک چیست
SSL هندشیک یک فرآیند رمز نگاری غیر متقارن برای ایجاد یک کانال امن برای سرور و کلاینت به منظور ارتباط می باشد. –ارتباط HTTPS همیشه بصورت هند شیک می باشد.
یک هند شیک موفقیت آمیز در پس مرورگر یا اپلیکیشن کلاینت بطور مداوم و خودکار بدون آشفته کردن تجربه کاربر کلاینت رخ می دهد. با وجود این یک هندشیک ناموفق باعث قطع ارتباط می شود و معمولا یک پیام هشدار در مرورگر کلاینت اعلام می شود.
هنگامی که SSL مهیا شده معتبر و درست باشد، هندشیک فواید امنیتی زیر را دارد.
- احراز هویت: تا زمانی که ارتباط معتبر است سرور همیشه احراز هویت می شود.
- محرمانه بودن: دیتا ارسال شده بوسیله SSL رمز گذاری می شود و تنها برای سرور و کلاینت قابل رویت است.
- یکپارچگی (امانت داری) : گواهی امضا دیجیتال این اطمینان را ایجاد می کند که دیتا در طول انتقال نمایش داده نشده است.
بطور خلاصه، گواهینامه های SSL اساسا با استفاده ترکیبی از رمزگذاری غیر متقارن و رمزگذاری متقارن برای ارتباطات در بستر اینترنت کار می کند. همچنین زیر ساخت های دیگری برای دستیابی به ارتباطات SSL در شرکت ها وجود دارد که بعنوان زیرساخت های کلیدی عمومی شناخته می شود.
هنگامی که شما گواهینامه های SSL را دریافت می کنید، در واقع آن را بر روی سرور خود نصب می کنید. شما می توانید یک گواهینامه واسطه را نصب کنید تا گواهینامه اعتباری SSL شما را بشکلی زنجیر وار به گواهینامه root CA ایجاد کند.
گواهینامه های root بصورت خود-تایید می باشند و اساس (PKI)کلید های عمومی زیرساخت X.509 را تشکیل می دهند. PKI پشتیبانی کننده HTTPS برای مرورگر های امن وب و طرح های امضا الکترونیکی به گواهینامه های root بستگی دارند.
در دیگر اپلیکیشن های گواهینامه ای X.509 یک سلسه مراتب از گواهینامه ها اعتبار نشر گواهینامه را تصدیق می کند. این سلسه مراتب ، گواهینامه ” زنجیره اعتماد (Chain of Trust)” نامیده می شود.
زنجیزه اعتماد در گواهی SSL
زنجیره اعتماد به گواهی SSL شما و لینک آن به یک گواهینامه قابل اعتبار اشاره دارد. برای اینکه یک گواهینامه SSLقابل اعتماد باشد باید به یک root CA قابل اعتماد برگردد.یک زنجیره اعتماد تضمین کننده حریم خصوصی، اعتماد، و امنیت برای تمام اجزای دیگر می باشد.
در هسته هر PKI، root CA قرار داردو بعنوان منبع قابل اعتماد برای یکپارچگی کل سیستم عمل می کند.گواهینامه root گواهینامه SSL را تایید و به همین خاطر زنجیره اعتماد را شروع می کند. اگر root CA بصورت عمومی مورد اعتماد باشد، به همین دلیل تمام گواهینامه های معتبر CA که به آن وابسته است برای تمام مروگرهای عمده اینترنت و سیستم های عامل قابل اعتماد است.
تایید زنجیر اعتماد گواهی SSL
کلاینت یا مرورگر بصورت سلسله مراتب کلید های- عمومی تعدادکمی از CA های قابل اعتماد را می شناسد و از این کلیدها برای تایید گواهینامه های SSL سرورها استفاده می کند. کلاینت فرایند اعتبار سنجی را بطور مکرر با هر گواهینامه SSL انجام می دهد تا به ابتدای root CA برمی گردد.
گواهی SSL چه کاری انجام می دهد.
در یک ارتباط HTTP غیر امن هکر ها می توانند به آسانی در بین راه پیام های بین کلاینت و سرور را بدست آورد و آنها را بصورت یک متن ساده بخوانند. پیام های رمز نکاری شده ارتباط را به هم می ریزند تا کلاینت آن را با کلید نشست (session key) رمز گشایی می کند.
هنگامی که گواهینامه های SSL روی یک سرور وب نصب می شوند از یک سیستم زوج کلید عمومی / خصوصی برای شروع پروتکل HTTPS استفاده می کنند و ارتباط را برای کاربر ها و کلاینت ها امن می سازند.
هنگامی گواهینامه SSL بر روی وب سایت نصب شد وب سایت را ایمن می کند، ثابت می کند که سازمان هویت خود را با شخص ثالث ومعتبر تأیید کرده است. از آنجا که مرورگر به CA اعتماد دارد ، مرورگر اکنون به هویت آن سازمان نیز اعتماد دارد.
آسان ترین راه برای بررسی اینکه آیا وبسایت دارای گواهیSSL نصب شده است یا نه نگاه کردن به مرور گر است. اگر URL وبسایت با HTTPS شروع شود این نشان دهنده آن است که گواهینامه SSL روی سرور نصب شده است. اگر اینگونه بود آیکون قفل را در آدرس بار کلیک کنید تا اطلاعات گواهینامه را مشاهده نمایید.
مرورگر های وب از پروتکل انتقال فوق متن HTTP برای اتصال به سرور ها استفاده می کنند که بصورت پیش فرض از پورت TCP 80 استفاده می کند. HTTP یک پروتکل متنی ساده است که این بدان معنا است که برای هکر ها بسیار آسان است که در بین راه دیتا در حال انتقال را بخوانند. این برای اپلیکیشن هایی که نیاز به محرمانه بودن دارند مناسب نیست.
گواهی SSL از پورت شماره 443 دیتا رد و بدل شده بین مروگر و سرور را رمزگذاری و کاربر را احراز هویت می کند. بنا براین، وقتی که ارتباطات بین مرورگر و سرور نیاز به امنیت داشته باشد، مرورگر بطور اتوماتیک به حالت SSL تغییر می یابد – این زمانی است که سرور گواهینامه SSL را نصب کرده است.
ایجاد ارتباط با یک سرور با گواهینامه SSL امضا شده به وسیله CA معتبر بدون مشکلات اضافی برای کاربر رخ می دهد. هنگامی که یک کاربر اینترنت به وب سایت دارای امنیت SSL مراجعه می کند، تمایل بیشتری به ارسال اطلاعات تماس خود یا خرید با کارت اعتباری خود دارد. بعلاوه، داشتن گواهینامه SSL در وب سایت خود موقعیت رتبه بندی شما را افزایش می دهد و یافتن سایت شما را برای کاربران و مشتریان آسان تر می کند.
گواهی SSL قابلیت اطمینان یک وب سایت را تأیید می کند، اما با داشتن گواهینامه های پیشرفته تر، کل شرکت می تواند گواهی SSL داشته باشد.
گواهینامه های SSL در محیط های شرکتی چه کاری برای اپلیکیشن ها انجام می دهد. اگرچه هدف اصلی SSL برای شبکه جهانی وب بود، اما شرکتها از گواهینامه های SSL برای ایجاد امنیت گسترده در انواع ارتباطات داخلی و خارجی استفاده می کنند. رایج ترین موارد استفاده برای گواهینامه های SSL شرکتی شامل موارد زیر است:
• کنترل های دسترسی به شبکه
• شبکه های خصوصی مجازی (VPN)
• ورود به سیستم تنها (single sign-on)
• اینترنت اشیاء (IoT)
اگر به درستی پیکربندی شود ، همه این اپلیکیشن ها در بالای پروتکل گواهی SSL اجرا می شوند. در بخش زیر نگاهی دقیق به این مثال ها خواهیم انداخت:
دسترسی به شبکه گواهی SSL
کارکنانی که دستگاههای بی سیم را به شبکه شرکتی متصل می کنند نیاز به سهولت دسترسی دارند، در عین حال، شبکه باید از دسترسی غیر مجاز به منابع شرکت جلوگیری کند. کارمندان ممکن است برای دسترسی و رمزگذاری پرونده ها از دستگاه های خود ، سرورهای سازمانی یا حتی سرورهای ابری برای افراد تأیید شده ، از گواهینامه های SSL استفاده کنند.
از نیاز به یادآوری / تنظیم مجدد رمزهای عبور طولانی و سخت برای به خاطر آوردن ، پسورد هایی که هر 90 روز یکبار با جایگزینی آن با یک هویت دیجیتالی تغییر می کنند، خودداری کنید. هویت دیجیتالی را در دسکتاپ ویندوز یا مک، سرور، یا نقطه اتصال وای فای قرار دهید، تا تنها دستگاه های مجاز بتوانند به شبکه شرکت شما متصل شوند.
ورود به سیستم تنها
امروزه کارمندان شرکت به طیف گسترده ای از خدمات هویت یا محصولات فدراسیون دسترسی دارند. شرکتها معمولاً برای دسترسی به همه منابع خود در پرتال شرکتی یا خدمات ابری، از یک محصول single sign-on (ورود به سیستم تنها) استفاده می کنند.
اینترنت اشیاء
برای اطمینان از اینکه فقط دستگاههای قابل اعتماد IoT می توانند به شبکه شما متصل شوند ، می توان یک شناسه دیجیتال در دستگاه IoT شما و دستگاه کاربر ویا اپلیکیشن نصب کرد. دستگاه IoT از اپلیکیشن های مجاز دستورالعمل می گیرد یا داده ها را برای آنها ارسال می کند و کاربران هویت دیجیتالی دارند.
وی پی ان SSL
یک شبکه خصوصی مجازی لایه سوکت امن ((SSL VPN) یک شبکه خصوصی مجازی (VPN) است که با استفاده از بخش های فناوری اطلاعات لایه سوکت امن (SSL) ایجاد می شود و می تواند راه حل و خدمات زیرساخت مورد نیاز آن را مقیاس بندی کند. SSL VPN امکان کنترل دقیق دسترسی اپلیکیشن های مدیریت شده به برنامه های وب سازمانی را فراهم می کند. شاید مهمترین مزایای SSL VPN ناشی از کارآمدی و بهره وری به دست آمده در آزادسازی منابع IT با امکان دسترسی از راه دور به تمام گواهینامه های دیجیتال باشد.
کد، سند و امضای ایمیل
بسیاری از مردم متوجه نیستند که کد ، سند و گواهینامه های امضای ایمیل گواهی SSL نیستند. اگر چه همه آنها توسط گواهینامه های PKI x.509 تسهیل می شوند، عملکرد استفاده از کلید تفاوت ایجاد می کند. برای درک بهتر موضوع ، “تفاوت بین کد امضا و گواهی SSL” ” یا تفاوت بین گواهی دیجیتال و امضای دیجیتال ” را بخوانید.