پروتکل SSL چیست؟
SSL مخفف عبارت Secure Sockets Layer به معنی لایه سوکت های امن است و به پروتکلی برای رمزگذاری، ایمن سازی و احراز هویت ارتباطاتی که در اینترنت انجام می شود اشاره دارد. مورد استفاده اصلی برای پروتکل SSL ایمن سازی ارتباطات بین مشتری و سرور است، اما برای ایمن سازی ایمیل، VoIP و سایر ارتباطات از طریق شبکه های ناامن نیز به کار می رود.
این پروتکل امکان به اشتراک گذاری امن اطلاعات بین دستگاه های احراز هویت شده را میسر می کند. وب سایت هایی که توسط این پروتکل ایمن شده اند، در نوار آدرس به جای http با آدرس https متمایز شده اند.
برای اطلاعات بیشتر راجع به SSL و نحوه کارکردش به صفحه SSL چیست مراجعه کنید.
SSL چطور کار می کند؟
پروتکل SSL عناصری را فراهم می کند که برای رمزگذاری کانال و داده هایی که به صورت آنلاین ارسال می شوند ضروری است. این پروتکل از طریق فرآیندی به نام SSL Handshake بین مرورگر و وب سرور یک ارتباط خصوصی را ایجاد می کند.
SSL Handshake برای ایجاد یک اتصال خصوصی از سه کلید استفاده می کند؛ کلید خصوصی، عمومی و Session. اگر داده ها با کلید خصوصی رمزگذاری شوند، فقط کلید عمومی می تواند آن را رمزگشایی کند. از سوی دیگر، کلید خصوصی تنها چیزی است که می تواند اطلاعاتی را که با کلید عمومی رمزگذاری شده اند، رمزگشایی کند.
هر دو کلید خصوصی و عمومی در حین فرآیند SSL Handshake، برای ایجاد یک کلید Session امن استفاده می شود تا به این ترتیب تمام داده های ارسال شده رمزگذاری شود. برای درک بهتر نحوه عملکرد این پروتکل، گام های زیر را در نظر بگیرید:
- مرورگر وب (یعنی مشتری) به یک وب سایت ایمن شده توسط SSL (یعنی سرور SSL) متصل می شود و از وب سایت درخواست می کند که هویت خود را احراز کند. این گام به «سلامِ مشتری» معرفی است.
- وب سایت برای احراز هویت خود، یک کپی از گواهی SSL و کلید عمومی وب سایت را ارسال می کند. این گام به «سلامِ سرور» معروف شده است.
- سپس مشتری گواهی را با لیست گواهی های ارائه شده توسط ارائه دهندگان مجاز (CA) مطابقت می دهد و مطمئن می شود که گواهی منقضی یا باطل نشده است.
- اگر گواهی معتبر باشد، مرورگر وب به آن اعتماد می کند و با استفاده از کلید عمومی وب سایت، یک کلید Session متقارن ایجاد می کند.
- تمام داده های منتقل شده بین وب سایت و مرورگر با کلید Session رمزگذاری می شود.
خوب است بدانید که تمام این مراحل به صورت آنی انجام می شود و بازدیدکنندگان وب سایت فرآیند SSL Handshake را متوجه نمی شوند.
چرا SSL مهم است؟
بدون SSL، اگر اطلاعات محرمانه خود را به صورت آنلاین به اشتراک بگذارید، این اطلاعات با استفاده از متن ساده مبادله می شود. از آنجایی که متن ساده امن نیست، اطلاعات شما در برابر هکرها و مجرمان سایبری کاملا آسیب پذیر است.
هر زمان که پرداختی را به صورت آنلاین انجام می دهید یا اطلاعات شخصی مانند شماره کارت بانکی خود را به اشتراک می گذارید، SSL تضمین می کند که داده های شما به صورت خصوصی نگهداری می شود. به این ترتیب، بخش مهمی از ایجاد اعتماد بین یک وب سایت و بازدیدکنندگان به این پروتکل بستگی دارد.
پروتکل SSL همچنین به وب سایت ها کمک می کند استانداردهای امنیت اطلاعات زیر را رعایت کنند:
احراز هویت: تایید می کند که سرور وب سایت سرور درستی است.
رمزگذاری: انتقال داده ها را خصوصی و محافظت شده انجام می دهد.
یکپارچگی: تایید می کند که داده های درخواست شده یا ارسال شده واقعا به مقصد درست تحویل داده شده است.
پروتکل TLS چیست؟
TLS مخفف Transport Layer Security به معنی لایه مبادله امن، یکی از جنبه های حیاتی هر وب سایتی به حساب می آید. این پروتکل در واقع نسخه به روز شده SSL است که در حال حاضر اکثر وب سایت ها و اپلیکیشن ها برای ایمن سازی ارتباطات خود از آن استفاده می کنند.
اما به دلیل قدمت پروتکل SSL و شباهت هایی که بین این دو پروتکل وجود دارد، در بسیاری از مواقع به اشتباه گفته می شود یک وب سایت از پروتکل SSL استفاده کرده است.
پروتکل TLS از داده های کاربران در برابر تهدیدات امنیتی مانند بدافزار و حملات انکار سرویس (DoS) محافظت می کند. وقتی یک وب سایت یا اپلیکیشن از پروتکل TLS بهره ببرد، کاربران می توانند مطمئن باشند که فقط آنها می توانند از طریق رمزگذاری به داده ها دسترسی داشته باشند.
به عنوان مثال، رمزگذاری TLS در یک فروشگاه آنلاین، تراکنش های مشتریان را با تبدیل داده های حساس به کدهای مخفی و نامفهوم، ایمن می کند. به این ترتیب، اشخاص ثالث قادر به خواندن داده ها نخواهند بود.
Session های ارتباطی TLS با یک TLS Handshake آغاز می شود. در این فرآیند از رمزگذاری نامتقارن استفاده می شود؛ به این معنی که و کلید مختلف در دو طرف ارتباط مورد استفاده قرار می گیرد. این فرآیند به لطف تکنیکی به نام «رمزنگاری کلید عمومی» امکان پذیر شده است.
در رمزنگاری کلید عمومی از دو کلید استفاده می شود؛ کلید عمومی که سرور آن را به صورت عمومی در دسترس قرار می دهد و کلید خصوصی که مخفی نگه داشته شده و فقط در سمت سرور استفاده می شود. داده های رمزگذاری شده با کلید عمومی فقط با کلید خصوصی قابل رمزگشایی هستند.
در هنگام انجام فرآیند TLS Handshake، کلاینت و سرور از کلیدهای عمومی و خصوصی برای تبادل داده های تولید شده به طور تصادفی، استفاده می کنند و این داده های تصادفی برای ایجاد کلیدهای جدید برای رمزگذاری تحت عنوان کلیدهای Session استفاده می شود.
برای اطلاعات بیشتر راجع به TLS پیشنهاد میکنیم به صفحه TLS چیست و چگونه کار میکند مراجعه کنید.
TLS و SSL چه تفاوتی دارند؟
اگرچه اهداف هر دو پروتکل تقریبا یکسان است، اما نحوه عملکرد متفاوتی دارند. این تفاوت به علت تکاملی است که SSL در طول سالها تجربه کرد و در نهایت توسط TLS جایگزین شد.
فرآیند Handshake
در این فرآیند مرورگر گواهی SSL و TLS سرور را تایید می کند. این فرآیند هر دو طرف ارتباط را احراز هویت می کند، سپس کلیدهای رمزنگاری را مبادله می کند. فرآیند Handshake در پروتکل SSL دارای مراحل بیشتری است. TLS با حذف مراحل اضافی و کاهش تعداد کل مجموعه های رمزی، روند سریع تری دارد.
پیام های هشدار
این پیام ها نحوه بروز خطا و هشدار را در پروتکل های TLSو SSL مشخص می کند. در SSL فقط دو نوع پیام هشدار وجود دارد؛ هشدار و بحرانی. در پیام هشدار اگرچه یک خطا رخ داده است اما ارتباط می تواند ادامه پیدا کند. در وضعیت بحرانی، ارتباط باید فورا قطع شود. علاوه بر این، پیام های هشدار SSL رمزگذاری نشده اند.
TLS یک نوع پیام هشدار اضافی تحت عنوان «اعلان بسته» دارد. این پیام پایان یک Session را اعلام می کند. همچنین پیام های هشدار در TLS رمزگذاری شده اند.
احراز هویت پیام
هر دو پروتکل از کدهای احراز هویت پیام (MAC) استفاده می کنند. این تکنیک رمزنگاری برای تایید صحت و یکپارچگی پیام ها استفاده می شود. پروتکل SSL برای تولید MAC از الگوریتم قدیمی MD5 استفاده می کند. اما در پروتکل TLS از فناوری HMAC استفاده می شود که پیچیده تر بوده و امنیت بالاتری را فراهم می کند.
مجموعه های رمزی
مجموعه رمزگذاری، مجموعه ای الگوریتم هاست که کلیدهایی را برای رمزگذاری اطلاعات بین مرورگر و سرور ایجاد می کند. به طور معمول، یک مجموعه رمز شامل یک الگوریتم تبادل کلید، یک الگوریتم اعتبارسنجی، یک الگوریتم رمزگذاری انبوه و یک الگوریتم MAC است. به دلیل نگرانی های امنیتی که در خصوص SSL وجود داشت، چندین الگوریتم در TLS ارتقا یافته اند.
دو پروتکل SSL و TLS امروزه امنیت میلیون ها وب سایت و وب اپلیکیشن را تامین می کنند. برای کسب اطلاعات بیشتر در مورد نحوه عملکرد و چگونگی دریافت گواهینامه های لازم برای وب سایت می توانید به صفحه SSL و TLS در بلاگ داناپرداز مراجعه کنید.
/ پایان رپرتاژ
این مطلب صرفا جنبه تبلیغاتی داشته و کلاسیک وب هیچ مسئولیتی را در رابطه با آن نمیپذیرد.
آخرین دیدگاه ها
تا کنون دیدگاهی ثبت نشده است.