SSLچیست؟

SSL یا Secure Sockets Layer چیست؟

SSL یک پروتکل امنیتی با الگوریتم‌های رمزنگاری پیشرفته است که تبادل اطلاعات بین سیستم کاربر و سرور را کنترل کرده و با رمزنگاری داده‌ها کاری می‌کند که اطلاعات در بین مسیر برای شخص سومی قابل خواندن نباشند. یا به اصطلاح، اطلاعات را در یک تونل امنیتی رد و بدل می‌کند. این پروتکل برای اولین بار در مرورگر Netscape برای انتقال امن داده‌ها میان مرورگر و سرور ایجاد گردید و امروزه به یکی از اصلی‌ترین راه‌های تامین امنیت وبسایت‌ها تبدیل شده است که هم‌اکنون میلیون‌ها وبسایت از این پروتکل استفاده می‌کنند.

SSL چگونه کار می‌کند؟

به زبان ساده وقتی شما درخواست یک صفحه‌ی ایمن (معمولا با https) می‌کنید، سرور یک کلید عمومی (Public Key) ساخته و به همراه یک درخواست گواهینامه SSL که تمامی اطلاعات شرکت درخواست کننده در آن قرار دارد به سرویس‌دهنده‌ی خدمات SSL می‌فرستد. سرویس دهنده خدمات SSL با استفاده از الگوریتم‌های پیشرفته اقدام به رمزگذاری کلید عمومی کرده و پس از رمزگذاری آن، کلید جدیدی ساخته و آن را به سرور بازمی‌گرداند (که به این کلید جدید، کلید خصوصی یا Private Key گفته می‌شود). در مبحث امنیت شبکه، مهم‌ترین قسمت در سرویس‌دهی SSL حفظ و نگهداری همین کلید خصوصی است و در صورتی که بتوان به کلید خصوصی دسترسی پیدا کرد یعنی می‌توان اطلاعات را خواند. کلید عمومی را هر کسی می‌تواند مشاهده کند اما کلید خصوصی را نه!

پس از دریافت کلید خصوصی، ارتباط امن شما با سرور برقرار شده و می‌توانید با خیالی تقریبا راحت در وبسایت به گشت و گذار بپردازید!

SSL چگونه امنیت داده‌ها را تضمین می‌کند؟

پروتکل SSL اطلاعاتی که قرار است تبادل شود را با الگوریتم‌های پیچیده‌ای رمزنگاری می‌کند تا اگر در بین راه شخص سومی این اطلاعات را به سرقت برد نتواند آن را بخواند. این اطلاعات فقط و فقط به وسیله کدهای Private Key قابل خواندن هستند و در صورتی که این کدها در دسترس دیگری قرار بگیرد به راحتی می‌تواند اطلاعات شما را شنود کند. یک شرکت سرویس‌دهنده‌ی SSL نیز همیشه به دنبال این است که کسی نتواند به کلید خصوصی دسترسی داشته باشد.

آیا SSL قابل اعتماد است؟

وقتی شما فرمی را بدون پروتکل SSL در یک وبسایت تکمیل کرده و ارسال می‌کنید، این اطلاعات به صورت یک فایل متنی به مقصد فرستاده می‌شود. اما وقتی پای SSL به میان می‌آید، این کدها به صورت ایمن یا در اصطلاح داخل یک تونل امنیتی انتقال داده می‌شوند که افراد بیگانه نمی‌توانند آنها را بخوانند. یعنی اگر سارق در میانه راه به این کدها دسترسی پیدا کند فقط کدهای نامفهومی را می‌بیند که با روش‌های پیشرفته‌ای کدگذاری شده‌اند و فقط در مرورگر کاربر و کامپیوتر سرور قابل رویت هستند اما اخیرا همین کدهای SSL نیز توسط دو پژوهشگر شکسته شدند.

اگر بخواهیم SSL را با شیوه متنی (Clear text) مقایسه کنیم بسیار بسیار ایمن‌تر و پایدارتر است و میلیون‌ها وبسایت از این شیوه برای حفظ محرمانه بودن اطلاعات خود استفاده می‌کنند اما این روش هم می‌تواند دستخوش حمله‌های امنیتی قرار بگیرد.

جعل گواهی امنیتی به چه صورت انجام می‌پذیرد؟

وقتی هکر به سرور سرویس‌دهنده SSL نفوذ کرده و اختیار سرور را به دست می‌گیرد، به راحتی می‌تواند درخواست‌های وارده از جانب وبسایت‌ها را مشاهده کرده و کاربران آن‌ها را به یک وبسایت جعلی با مقادیر جعلی منتقل نماید. کاری که در صفحه نخست Gmail شاهد آن بودیم. وقتی کاربران ایرانی وارد وبسایت gmail می‌شدند، پس از ارسال درخواست گواهی امنیتی از سوی وبسایت، به یک صفحه جعلی ساخته شده هدایت می‌شدند و وقتی نام کاربری و کلمه عبور خود را در صفحه جعلی وارد می‌نمودند، این اطلاعات به راحتی در اختیار شخص هکر قرار می‌گرفت حتی بدون اینکه خود وبسایت سرویس‌دهنده از این موضوع اطلاعی داشته باشد. به همین راحتی!

سخن پایانی

شاید دنیای امروز پیشرفت زیادی در بحث امنیت کرده باشد ولی در مقابل به موازات این امر، هکرها نیز پیشرفت کرده‌اند و همان‌طور که اخبار آن از گوشه و کنار به گوش می‌رسد، همه روزه شاهد هک شدن وبسایت‌های زیادی در دنیای وب هستیم. به یاد داشته باشید اگر می‌خواهید در محیط وب در امان بمانید همیشه به دنبال یک بستر امن برای خودتان باشید. همیشه مسائل ایمنی را جدی بگیرید. همیشه از آخرین نسخه مرورگرها و بسته‌های امنیتی استفاده کنید تا درصد امنیت را به بالاترین حد ممکن برسانید.

این مقاله به طور خلاصه و با زبانی ساده نگاشته شده است و سعی نویسنده بر آن بوده که مطلبی مفید در عین سادگی منتشر شود. صحبت درباره مسائل امنیتی و SSL را می‌توان تا صفحات متوالی ادامه داد و وارد جزئیات آن شد اما در اینجا فقط اشاره‌ای کلی به نحوه عملکرد آن گشت تا برخی از سوالات کاربران پاسخ داده شود.