https
۲۸ اردیبهشت ۱۳۹۷

به کدام گواهینامه های SSL می توانیم اعتماد کنیم؟

همانطور که می دانید به یک ارتباط رمزگذاری شده امن و یک ارتباط فاقد رمزگذاری را ناامن می گویند. اینطور نیست؟ اما این گواهینامه ها از کجا می آیند و تفاوت بین SSL و TLS چیست؟ اصلا امنیت چه ارتباطی با یک گواهینامه دیجیتال دارد؟ در این مقاله میخواهیم برخی از این سوالات و دیگر پرسش های مرتبط با این موضوع را پاسخ دهیم. اما قبل از شروع بحث بهتر است ببینیم HTTP و HTTPS در نوار آدرس مرورگر هایمان چگونه نمایش داده می شوند و چه مفهومی را می خواهند برسانند؟

HTTP و HTTPS چه کاری می کنند؟

فرض کنید شما در حال بازدید از یک وب سایت هستید و متنی را میخوانید و یا اطلاعاتی را وارد آن وبسایت می کنید. در این هنگام اطلاعاتی بین شما و سرور رد و بدل می شود. این فرآیند به وسیله یک پروتکل انتقال داده به نام HyperText Transfer Protocol و یا به اختصار HTTP مدیریت می شود.
این پروتکل انتقال داده یک افزونه به نام HyperText Transfer Protocol Secure و یا به اختصار HTTPS دارد که نسخه امن آن محسوب می شود. اما چرا امن؟
HTTPS انتقال اطلاعات بین کاربران و سرور را به صورت رمزنگاری شده انجام می دهد. این به معنای آن است که اطلاعاتی که در حال رد و بدل است تنها برای سرور و آن کاربر به خصوص در دسترس است و شخص سومی (مثلا ارائه دهندگان خدمات اینترنت و یا مدیر) به این اطلاعات نمی تواند دست پیدا کند.
می خواهیم کمی با پروتکل های رمزنگاری آشنا شویم. قبل از آشنایی با پروتکل های رمزنگاری لازم است بدانید که داده های کاربران از طریق پروتکل رمزنگاری سرور رمزگذاری می شود و در واقع کاربران نقشی در آن ندارند به جز این که می توانند داده های خود را به سمت سرور ارسال کنند. اولین پروتکلی که برای رمزنگاری استفاده می شد Secure Sockets Layer و یا به اختصار SSL بود. نسخه های زیادی از این پروتکل وجود داشتند که همگی در برخی مواقع به مشکلات امنیتی دچار شدند. اما پروتکلی که امروزه مورد استفاده قرار می گیرد نسخه ی اصلاح شده و تغییر نام داده SSL است که آن را با نام Transport Layer Security و یا به طور خلاصه TLS می شناسیم. با این وجود اما هنوز هم در بسیاری از موارد نسخه های جدید پروتکل SSL را با نام اولیه آن می شناسند و هرگاه کلمه SSL به کار رود منظور همان TLS است.
برای اینکه از رمزنگاری در وب سایت خود استفاده کنید لازم است یک گواهینامه داشته باشید که به امضای دیجیتال مشهور است. در واقع کاری که امضای دیجیتال انجام می دهد این است که قابل اعتماد بودن رمزنگاری و مطابقت داشتن آن با پروتکل را تایید می کند.
چگونه متوجه شویم یک سایت از پروتکل HTTPS استفاده میکند؟ به سادگی، یک راه این است که کلمه https را در نوار آدرس مرورگر ها مشاهده کنیم. علاوه بر این معمولا یک قفل کوچک سبز رنگ نیز نشان داده می شود که در کنار آن کلمه لاتین Secure نوشته شده است.

چگونه یک گواهینامه SSL دریافت کنیم؟

دو راه برای دریافت گواهینامه SSL وجود دارد.
راه حل اول این است که شما به عنوان یک وبمستر ابتدا گواهینامه صادر کنید سپس آن را امضا کرده و کلید های رمزنگاری ایجاد کنید. به چنین گواهینامه هایی “خود امضا” گفته می شود. وقتی کاربران میخواهند وارد چنین وب سایت هایی شوند معمولا به آن ها هشداری نشان داده می شود که غیر قابل اعتماد بودن امضای دیجیتال را متذکر می شود.
در سایت هایی که از این نوع گواهینامه استفاده می کنند بر روی کلمه https در نوار آدرس با رنگ قرمز خط کشیده شده است. علاوه بر آن معمولا یک قفل قرمز نشان داده می شود که روی آن ضربدر خورده و در کنار آن کلمه لاتین Not Secure نوشته شده است. لازم به یادآوری است مواردی که گفته شد برای مرورگر های مختلف به شکل های متفاوتی نشان داده می شود.

راه حل بهتری که وجود دارد این است که از مراکز صدور گواهی (CA) یک گواهینامه معتبر خریداری کنید. در واقع کاری که این مراکز انجام می دهند این است که اسناد صاحب سایت و حق مالکیت دامنه را بررسی و تایید می کنند.
در این مبحث نمی خواهیم به کارهایی که این مراکز انجام می دهند بپردازیم اما به طور کلی حضور یک گواهی نشان می دهد که وب سایت و منابع آن متعلق به یک شرکت قانونی و ثبت شده در یک منطقه جغرافیای خاص است و یک مرکز صدور گواهی باید این موضوع را تایید کند. در واقع یک مرکز صدور گواهی در صورت تایید اعتبار جمله زیر را خواهد گفت که « بله، این شخص همان کسی است که ادعا می‌کند و ما به عنوان یک مرکز صدور گواهی دیجیتال آن را تأیید می‌کنیم. »
قیمت این گواهینامه ها به نوع و مدت اعتبار آن ها بستگی دارد. مسئله ی دیگری که در قیمت این گواهینامه ها اثر می گذارد شهرت مرکز صدور گواهی است که این موضوع بستگی به اعتماد مرورگر ها به گواهی و نحوه نمایش آن ها دارد.
چه انواعی از گواهینامه های SSL داریم؟
انواع این گواهینامه ها بستگی به موارد مختلفی دارد از جمله قیمت آن ها، روش های تایید و اینکه چه کسانی میتوانند آن ها را دریافت کنند. اما میتوانیم به طور کلی این گواهی ها را به سه دسته زیر تقسیم بندی کنیم.

گواهینامه اعتبار دامنه (DV)

برای به دست آوردن یک گواهینامه اعتبار دامنه، یک شخص حقیقی یا حقوقی باید ثابت کند که مالک دامنه مورد نظر هستند و یا وب سایت خود را بر روی آن دامنه مدیریت می کنند. این نوع از گواهینامه ها یک ارتباط امن را برقرار می کنند اما اطلاعات سازمان را دراختیار ندارند و برای صدور آن ها نیاز به مدارک خاصی نیست و دریافت چنین گواهینامه هایی کمتر از چند دقیقه طول می کشد.

گواهینامه اعتبار سازمان (OV)

این نوع از گواهینامه ها نه تنها یک ارتباط امن را تضمین می کنند بلکه در کنار این ضمانت، تایید می کنند که دامنه به یک سازمان مشخص و معتبر تعلق دارد. به دلیل بررسی اسناد، صدور مجوز ممکن است چندین روز طول بکشد.

گواهینامه اعتبار گسترده (EV)

این نوع از گواهینامه ها را تنها اشخاص حقوقی میتوانند دریافت کنند که تمامی مدارک لازم را ارائه می دهند و این کار موجب می شود تا نام و مکان سازمان به رنگ سبز در کنار نشانگر قفل ظاهر شود. با کلیک بر روی نام سازمان میتوانید اطلاعات بیشتری از آن به دست آورید.
این نوع از گواهینامه ها معمولا توسط تمامی مرورگر ها معتبر هستند و البته با وجود تمام مزایا قیمت آن ها کمی گران است!

گواهینامه ها چه مشکلاتی دارند؟

امنیت و حفاظت از داده های کاربران، اصولی هستند که توسعه دهندگان مرورگر های معروف مانند گوگل و موزیلا در سیاست های خود در نظر می گیرند. برای مثال در پاییز ۲۰۱۷ شرکت گوگل اعلام کرد وب سایت هایی که از ارتباط HTTP استفاده می کنند ناامن هستند و از این به بعد با کلمه لاتین Not Secure نشان داده می شوند و در ادامه هشدار داد که مانع دسترسی کاربران به این صفحات خواهد شد.
تصمیم گوگل موجب شد تا سایت هایی که از پروتکل HTTP استفاده می کنند مجبور شوند تا گواهینامه معتبر خریداری کنند. با توجه به این موضوع تقاضا برای دریافت خدمات از مراکز صدور گواهی افزایش یافت و این مراکز مجبور شدند تا سرعت بررسی اسناد را افزایش دهند.
از آنجایی که سرعت بررسی اسناد توسط مراکز صدور گواهی افزایش یافت بسیاری از وب سایت هایی که قابل اعتماد نبودند، گواهی دریافت کردند. به طوری که گوگل طی یک مطالعه و بررسی نشان داد که یکی از بزرگترین و معتبرترین مراکز صدور گواهی بیش از ۳۰ هزار گواهینامه بدون بررسی های قانونی صادر کرده است. بر اساس همین مطالعه گوگل اعلام کرد تا زمانی که این مرکز، سیستم تایید اعتبار خود را تغییر ندهد و استاندارد های جدید وضع نکند، تمامی گواهینامه های مرتبط با این مرکز نامعتبر هستند.

با وجود تمامی این سخت گیری ها نمیتوان مطمئن شد که یک گواهینامه و صاحب آن کاملا معتبر هستند. این موضوع حتی برای گواهینامه های اعتبار گسترده (EV) که باید تمامی الزامات امنیتی را برآورده کنند، نیز صدق می کند. برای نمونه یک فیشر – کسی که حملات فیشینگ انجام می دهند – می تواند یک شرکت با نام تقریبا مشابه با یک شرکت معتبر ثبت کند و یک گواهینامه EV دریافت کند. بنابراین کاربران هنگام استفاده از صفحات وب باید کاملا مراقب باشند و دستورعمل های زیر را انجام دهند.
• هیچ گاه به صفحات ورود، حساب های بانکی و شخصی خود وارد نشوید مگر اینکه از آدرس آن وب سایت مطمئن باشید. همیشه آدرس های دامنه را به طور کاملا دقیق بررسی کنید و برروی لینک های نامعتبر کلیک نکنید.
• همیشه در نظر بگیرید که یک سایت چه خدماتی را میخواهد به شما ارائه دهد.
• ابزار هایی وجود دارند که یک آدرس اینترنتی را دریافت می کنند و با توجه به پایگاه داده های مخصوصی که برای سایت های فیشینگ دارند، کلاه برداری ها را شناسایی می کنند. حتما از این ابزار ها استفاده کنید.

 

مراجع

[۱] “Who to trust: Different types of SSL certificates,” https://www.kaspersky.com/blog/certificates-are-different/22147 , April 2018.
[۲] “HTTPS doesn’t mean safe,” https://www.kaspersky.com/blog/https-does-not-mean-safe/20725 , January 2018.
[۳] “What Is HTTPS, and Why Should I Care?,” https://www.howtogeek.com/181767/htg-explains-what-is-https-and-why-should-i-care , March 2017.