گواهینامه SSL چگونه کار می‌کند و چرا اهمیت دارد؟

گواهینامه SSL مخفف عبارت Secure Sockets Layer است که پروتکلی مهم برای امنیت و تایید اعتبار داده‌ها بر روی اینترنت محسوب می‌شود. با اینکه دیگر استفاده از گواهینامه SSL به یک قانون بدل شده است اما هنوز هم بسیاری از وبمستران در خصوص استفاده از گواهینامه SSL تردید دارند و نمی‌دانند که چرا اهمیت دارد.

گواهینامه SSL چگونه کار می‌کند؟

گواهینامه SSL برای تایید اعتبار داده‌ها و رمزنگاری آنها بین یک برنامه (مانند مرورگر) و یک وب‌سرور به کار می‌رود. این کار منجربه وب امن‌تر برای هم بازدیدکننده وبسایت شما و هم وبسایت شما خواهد شد. گواهینامه SSL رابطه نزدیکی با TLS دارد. TLS مخفف عبارت Transport Layer Security است که در حقیقت نسخه به‌روزتری از پروتکل SSL محسوب می‌شود.

امروزه SSL و TLS اغلب به شکل همزمان مثلا SSL/TLS نامبرده می‌شوند. برای مثال Let’s Encrypt گواهینامه‌های رایگان SSL/TLS ارایه می‌کند.

نسخه اول SSL توسط Netscape در اوایل دهه ۹۰ میلادی ایجاد شد. اما به دلیل مسایل امنیتی هرگز به انتشار عمومی نرسید. اولین انتشار عمومی SSL مربوط به نسخه دوم آن در فوریه ۱۹۹۵ است. در حالیکه نسخه دوم نسبت به نسخه ابتدایی خود بهبودهایی همراه خود داشت اما همچنان میزبان مجموعه‌ای از مسایل امنیتی بود که باعث شد یک بازطراحی کاملی از گواهینامه SSL در یکسال بعد با انتشار SSL 3.0 صورت پذیرد.

نسخه سوم SSL آخرین نسخه انتشار عمومی بود تا اینکه TLS در سال ۱۹۹۹ به عنوان جایگزین SSL معرفی شد. در این نقطه از زمان بود که دیگر SSL 3.0 بدرود حیات گفت و ایمن در نظر گرفته نشد.

پس چرا از گواهینامه TLS استفاده نمی‌کنیم؟

اگرچه که در جامعه وب به گواهینامه‌های حاضر، گواهینامه SSL می‌گویند اما در حقیقت این گواهینامه‌ها به پروتکل مشخصی از لحاظ اسمی وابسته نیستند. در واقع پروتکل حقیقی که استفاده می‌شود توسط سرور شما تعیین خواهد شد. بدین معنا که حتی اگر که فکر کنید در حال استفاده از گواهینامه SSL هستید اما در واقع در حال استفاده از نسخه‌ به‌روز و ایمنی از پروتکل TLS می‌باشید.

ارتباط HTTPS و SSL چیست؟

HTTP و نسخه جدید آن یعنی HTTP/2 هر دو پروتکل‌هایی هستند که تعیین می‌کنند که اطلاعات چگونه در گرداگرد اینترنت انتقال داده شود. در واقع مبنای ارتباط داده‌ها در اینترنت محسوب می‌شوند. وقتیکه یک S به انتهای HTTP اضافه می‌کنیم، این پروتکل به Hypertext Transfer Protocol Secure تبدیل می‌شود (HTTP به همراه TLS یا HTTP به همراه SSL).

در نهایت SSL/TLS اطلاعاتی که بر روی HTTP ارسال و دریافت می‌شوند را ایمن می‌کند.

مزایای استفاده از SSL/TLS

بسیاری از وبمستران این ایده اشتباه را دارند که SSL/TLS تنها باعث ایمنی وبسایت‌ها در روند تبادل اطلاعات حساس مانند استفاده از کارت‌های اعتبار یا جزییات ارتباطات با بانک می‌شوند. در حالیکه گواهینامه SSL در واقع مزایایی فراتر از این مزیت دارند.

یکی از مزایای استفاده از گواهینامه SSL رمزنگاری است. هر اطلاعاتی که شما یا کاربران شما در وبسایت‌تان وارد می‌کنید، داده‌هایی که پیش از رسیدن به مقصد از چندین مسیر عبور می‌کنند رمزنگاری خواهند شد. بدون گواهینامه SSL، این داده‌ها به صورت متن ساده ارسال خواهند شد و خرابکاران می‌توانند در این بین اختلال ایجاد کرده و این داده‌ها را تغییر دهند. گواهینامه SSL حفاظت نقطه به نقطه را ارایه می‌کند که از امنیت داده‌ها حین انتقال آنها اطمینان حاصل می‌کند. حتی صفحه لاگین وردپرس نیز بایستی رمزنگاری شود. اگر گواهینامه SSL ارایه شود اما معتبر نباشد، بازدیدکنندگان شما با خطای your connection is not private روبرو خواهند شد.

مزیت کلیدی دیگر استفاده از گواهینامه SSL تایید اعتبار است. ارتباط همراه با گواهینامه SSL باعث می‌شود که مطمئن شویم که داده‌ها از سرور صحیح ارسال و دریافت می‌شوند. اینکار باعث می‌شود که مطمئن شویم که خرابکاران باعث مداخله در داده‌های ما نشوند.

مزیت سوم استفاده از گواهینامه SSL، حفظ یکپارچگی داده‌ها است. ارتباطات با کمک گواهینامه SSL به ما اطمینان می‌دهد که طی انتقال تغییری در داده‌ها رخ نخواهد داد.

غیر از رمزنگاری، تایید اعتبار و یکپارچگی، موارد دیگری نیز وجود دارد که از مزایای استفاده از SSL/TLS محسوب می‌شود:

• بهبود رتبه‌بندی در موتور جستجوی گوگل
• جلب اعتماد بازدیدکنندگان

چگونه مطمئن شویم که یک وبسایت از گواهینامه SSL استفاده می‌کند یا خیر؟

راحت‌ترین راه برای بررسی اینکه یک وبسایت از گواهینامه SSL استفاده می‌کند یا خیر مشاهده نوار آدرس مرورگر بعد از وارد شدن به یک وبسایت است. اغلب مرورگرها ارتباطات ایمن را مشخص کرده و به شکل سبز رنگ یا قفل پیش از نشانی وبسایت به کاربر اعلام می‌کنند.

گوگل وبسایت‌های بدون SSL را مجازات خواهد کرد؟

اخیرا گوگل مجموعه‌ای از اخطارات را در مرورگر خود گوگل کروم برای وبسایت‌هایی که گواهینامه‌های SSL نامعتبر دارند به نمایش درآورده است. تنبیه این دست از وبسایت‌ها از جانب گوگل از ژانویه ۲۰۱۷ آغاز شد.

این تغییرات اولین حرکت گوگل به اجبار به استفاده از SSL و HTTPS بر روی وبسایت‌ها بوده است. اما اخیرا نیز سخت‌گیری‌های بیشتری صورت داده‌اند.

در اکتبر ۲۰۱۷ گوگل اعلانات اخطارآمیزتری را در مرورگر خود به نمایش درآورد:

• در تمام صفحات HTTP که کاربر هر نوع داده‌ای را وارد می‌کند از جمله حتی جعبه‌های جستجو. اخطار مرورگر با بارگیری صفحه نمایش داده نخواهد شد اما هر زمانیکه کاربر شروع به ورود داده در فیلد کند اخطار ظاهر می‌شود.
• تمام صفحات HTTP در حالت Incognito کروم.

گوگل در طرح بلندمدت خود قصد داد که در نهایت تمام صفحات HTTP را به عنوان غیرایمن نشانه‌گذاری کند. در سال ۲۰۲۰، مرورگر کروم اخطار ERR_SSL_OBSOLETE_VERSION را در تمام وبسایت‌هایی که از نسخه TLS 1.0 و TLS 1.1 استفاده می‌کنند را به نمایش درآورد.

چگونه SSL را بر روی وبسایت خودم نصب کنم؟

اغلب ارایه‌دهندگان خدمات هاست روند نصب SSL/TLS را آسان کرده‌اند. کافی است به بخش مربوطه بر روی cPanel یا دایرکت‌ادمین خود رفته و اقدام به فعال‌سازی SSL برای دامنه یا نام‌های دامنه خود کنید. برای انجام اینکار از هاست خود کمک بخواهید.

پس از نصب گواهینامه SSL چه کاری انجام دهم؟

در وبسایت وردپرس خود از بخش تنظیمات > همگانی، آدرس وبسایت و وردپرس خود را با HTTPS تنظیم کنید.

اطمینان یابید که محتوای وبسایت شما (مانند تصاویر، فونت و …) از روی نشانی HTTP در وبسایت شما بارگیری نشوند که برای اینکار در وردپرس می‌توانید از افزونه Really Simple SSL استفاده کنید. اطمینان یابید که انتقال از HTTP به HTTPS به شیوه درستی در وردپرس شما صورت پذیرد. علاوه بر این موارد به نکات زیر در وردپرس خود دقت داشته باشید:

• نسخه HTTPS وبسایت خود را در Google Webmaster Tools وارد کنید.
• اطمینان یابید که اسکریپت‌هایی مانند گوگل آنالیتیکس از نشانی‌های HTTPS استفاده کرده باشند.
• اطمینان یابید که هیچ خطای مرتبط با SSL را در وبسایت خود دریافت نمی‌کنید.