SSL چیست؟

SSL مخفف Secure Sockets Layer است. اس اس ال در واقع یک فناوری امنیتی استاندارد جهانی است که ارتباط رمزگذاری شده بین یک مرورگر وب و یک سرور وب را امکان پذیر می‌کند. SSL اجازه می‌دهد تا مکالمه خصوصی فقط بین دو طرف در نظر گرفته شده، انجام پذیرد. اس اس ال انواع مختلفی دارد که در زیر آنها را شرح می‌دهیم

برای ایجاد این اتصال امن، یک گواهی SSL که به آن گواهی دیجیتال نیز گفته می‌شود، باید روی یک سرور وب نصب شده و دو کار زیر را انجام دهد:

• هویت وب‌سایت را تأیید کند. (این به بازدید کنندگان تضمین می‌دهد که در سایتی جعلی نیستند.)
• داده‌های منتقل شده را رمزگذاری کند.

چرا باید اس اس ال داشته باشیم؟

گواهینامهSSL یکی از نیازهای اساسی وب‌سایت است، زیرا اینترنت فرصت‌های جدید شغلی را برای شرکت‌ها و سازمان‌های تجاری آنلاین در سطح جهانی فراهم کرده است. در این راه خطراتی از جمله دسترسی‌های غیر مجاز افراد سودجو به حساب بانکی و جزئیات کارت اعتباری شما باعث احساس نیاز به استفاده از انواع گواهینامه های امنیتی SSL جهت اتصال امن و خرید با اطمینان شده است.

مزایای استفاده از انواع اس اس ال

۱. افزایش رتبه گوگل: یکی از عوامل مهم رنکینگ وب‌سایت‌ها استفاده از پروتکل Https است. نصب گواهینامه امنیتی اس اس ال گوگل معمولا عوامل رنکینگ وب‌سایت‌ها را به صورت رسمی اعلام نمی‌کند، اما به دلیل اهمیت بالا ی امنیت وب‌سایت‌ها این نکته به صورت رسمی به اطلاع عموم رسیده است.

۲. لزوم تایید نماد دو ستاره به بالاتر: دو ستاره نشانه ای نمادین است که منحصرا توسط مرکز توسعه تجارت الکترونیکی صادر می‌شود. منحصر به کسب و کارهای اینترنتی دارای مجوز با هدف ساماندهی، احراز هویت و صلاحیت است .

انواع گواهینامه های اس اس ال از نظر اعتبار سنجی

• گواهینامه SSL DV یا همان Domain Validate
• گواهینامه SSL OV یا همان Organization Validate
• گواهینامه SSL EV یا همان Exntended Validate

سطوح رمزگذاری برای هر یک از انواع گواهینامه های اس اس ال یکسان است، آنچه فرق می‌کند فرآیندهای بررسی و تأیید لازم برای به دست آوردن گواهینامه است. طی چند سال گذشته تعداد سازمانهایی که از انواع گواهینامه های SSL استفاده می‌کنند به طرز چشمگیری افزایش یافته است. برنامه‌هایی که گواهی SSL برای آن استفاده می‌شود نیز گسترش یافته اند. با رمزگذاری، شما می‌توانید ارتباطات خود را از دید یک هکر پنهان کنید، اما نمی‌توانید جلوی برقراری ارتباطات را بگیرید و به عنوان وب‌سایت جلوی سرقت اطلاعات از مشتریان خود را بگیرید.

هرچه مردم از فروشگاه‌های فیزیکی دورتر می‌شوند میزان خرید آنلاین خود را افزایش می‌دهند، پس آنها باید بتوانند با مراجعه به یک وب‌سایت معتبر فروشگاهی برای خرید، به آن اعتماد کنند و اثبات این امر به صورت آنلاین دشوار است. اما با دریافت گواهینامه های SSL این اثبات آسان شده است.

۱. گواهینامه DV یا Domain Validate

این نوع SSL تنها نام دامنه را بررسی میکند، و زمان بسیار کوتاهی از درخواست تا صدور دارد. به گونه ای میباشد که روند ثبت آن آنی بوده و معمولا به صورت آنلاین انجام می‌شود. این گواهینامه بیشتر برای وب‌سایت‌های معمولی و افراد حقیقی مورد استفاده قرار میگیرد. این به این معنی نمیباشد که شرکت‌ها و وب‌سایت‌های بزرگ نمیتوانند از آن استفاده کنند. هدف اصلی آن تبدیل http به httpS میباشد.

مزایای آن

• صدور آنی
• بدون نیاز به ارائه مدارک
• عدم تحریم و سازگاری با دامنه IR

و از معایب اصلی آن میتوان به عدم نمایش اطلاعات مربوط به کسب و کار و وب‌سایت اشاره کرد.

۲. گواهینامه OV یا همان Organization Validate

گواهینامه ov یکی دیگر از انواع اس اس ال است که علاوه بر تامین امنیت در صدد تائید اعتبار یک کسب و کار و تجارت اینترنتی است و سطح اعتبار بسیار بالاتری نسبت به گواهینامه اس اس ال dv دارد. گواهینامه SSL OV نیاز به تائید کامل هویت در خواست کننده دارد و تنها برای شرکت‌ها، سازمان‌های دولتی، بانک‌ها و به طور کلی برای اشخاص حقوقی می‌باشد.

درخواست کننده این نوع گواهینامه اس اس ال ov باید مدارک کامل ثبتی و هویتی شرکت و یا نهاد مربوطه را همراه فرم‌های در خواستی در مرحله اول به صورت اینترنتی ارسال نموده و پس از قبول درخواست از سمت صادر کننده نسخه ترجمه شده کامل مدارک به همراه مهر برجسته از طریق پست الکترونیکی برای صادر کننده ارسال میشود.

مزایا

1- نیاز به 2-3 روز کاری برای فعال شدن
2- مزایای واضحتری نسبت به گواهینامه‌های DV ندارد
3- مناسب برای پورتال‌‌های تجارت الکترونیک

مدارک لازم برای تهیه این گواهینامه

1- اسکن ترجمه رسمی روزنامه تاسیس شرکت با مهر وزارت امورخارجه که بیشتر از ۶ ماه از اعتبار آن نگذشته باشد.
2- اسکن پاسپورت فرد اقدام کننده در آن شرکت
3- اسکن نامه معرفی نامه از طرف شرکت به زبان انگلیسی

۳. گواهینامه EV یا همان Exntended Validate

گواهينامه EV، معتبرترین و پیچیده‌ترین نوع از انواع گواهینامه اس اس ال مي‌باشد. اين گواهينامه‌ها جهت وب‌‌سايت‌‌هایی که از تراکنش‌‌های مالی بسیار بالایی برخوردار و نیازمند امنيت بالایی مي‌باشند، توصيه ميشود.

در اين گواهينامه‌ها نوار آدرس بار و یا بخشی از آن به رنگ سبز نشان داده مي‌شود که نشان از اعتبار بالای آن سازمان و یا شرکت است و بیانگر اين مطلب است که شرکت و یا سازمان مذکور به صورت قانونی تصديق شده است و نام آن در نوار آدرس نمایش داده مي‌شود که اطمينان خاصی را جهت مشتريان فراهم می‌آورد.

مزایای آن

کاملاً معتبر در سطح بین المللی
سبز شدن رنگ آدرس بار
ارائه دهنده بالاترین سطح اعتماد و اعتبار
افزایش اعتماد بازدید کننده
پشتیبانی توسط تمامی مرورگرهای معتبر
گواهینامه SSL به صورت استاندارد صنعتی ۲۰۴۸ بیتی
قابل استفاده جهت شرکت‌ها، بانک‌ها، سازمان‌ها و ادارات بزرگ
بازگرداندن مبلغ در صورت عدم دریافت گواهینامه
پشتیبانی کامل از طریق تلفن، ایمیل و وب

این نوع از گواهینامه‌ها تنها جهت اشخاص حقوقی صادر می‌گردند.

تفاوت انواع گواهینامه های اس اس ال از نظر اعتبار

برای دریافت گواهینامه DV تنها ارائه ایمیل کافی میباشد ولی برای دریافت گواهینامه OV و EV باید مدارک معتبر ارائه گردد و زمان دریافت آن و همچنین هزینه آن‌ها بیشتر می‌باشد. برای دریافت اس اس ال DV محدودیتی وجود ندارد و مشکلی از بابت تحریم وجود ندارد ولی برای دریافت OV و EV باید شرکت ثبت شده و حقوقی باشد.

در گواهینامه EV نوار سبز رنگ کنار نام وب‌سایت نمایش داده میشود که نشان از اعتبار زیاد آن وب‌سایت دارد و بیشتر در وب‌سایت‌های بزرگ مانند گوگل مورد استفاده قرار میگیرد.
از لحاظ رمزگزاری هر 3 نوع آن یکسان میباشد و تفاوتی ندارند.
متاسفانه اکثر شرکت‌های معتبر ارائه دهنده انواع گواهینامه‌های اس اس ال ایران را برای دریافت گواهینامه OV و EV تحریم کرده اند ولی با توجه به قبول کردن ریسک آن قابل انجام خواهد بود.

انواع گواهی های اس اس ال از نظر ایمنی دامنه

باید نوع گواهی را بر اساس دامنه‌ها و زیر دامنه‌های خود انتخاب کنید. یعنی بعضی از گواهی‌ها صرفا امکان استفاده روی دامنه اصلی را دارند که قیمت آنها ارزان است.

۱. گواهی های SSL Single Name

فقط یک hostname میزبان با این نوع SSL امن است. یعنی با خرید آن صرفا امکان استفاده روی دامنه یا یک ساب‌دامنه از سایت را دارید. گواهی SSL یک hostname نیز می‌تواند برای محافظت تنها یک زیر دامنه استفاده شود. یعنی اینکه محدود به دامنه نیست و اگر دنبال خرید ssl ارزان هستید که امکان استفاده از زیردامنه را داشته باشد، می‌توانید با خرید دو single ssl به صورت جداگانه از آنها استفاده کنید.

۲. گواهی های Multi-domain از انواع اس اس ال

این نوع گواهینامه SSL امکان استفاده روی چند دامنه از تمامی دامنه‌ها و زیر دامنه‌های مختلف را به شما می‌دهد. این نوع گواهی برای کسانی که دارای چندین دامنه و زیر دامنه‌های متعدد هستند توصیه می‌شود.

۳. گواهی های واحد ارتباطات

UCCs به مشتریان اجازه می‌دهد تا 100 دامنه را با استفاده از گواهی یکسان محافظت کنند. گواهینامه‌های ارتباطات یکپارچه به طور خاص برای ایمن سازی محیط‌های Microsoft Exchange و Office طراحی شده‌اند. استفاده از یک گواهی برای چندین دامنه به هیچ وجه تاثیرگذار نیست و مزایای خاصی ندارد.

۴. گواهینامه Wildcard از انواع اس اس ال

در برخی موارد بخش‌های مختلف یک وب‌سایت از طریق زیر دامنه‌های (Subdomains) آن قابل دسترسی خواهد بود. جهت بارگذاری ساب دامین‌ها با HTTPS، لازم است گواهینامه ای تهیه کنید که تمامی Subdomainها را نیز به صورت Secure نمایش دهد. این نوع گواهینامه که Wildcard نام دارد، امکان امن کردن آدرس اصلی سایت و همچنین زیر دامنه‌های آن را دارد. گواهینامه های معمولی تنها برای یک دامنه با آدرس مشخص و واحد فعال می‌شوند اما گواهینامه های از نوع Wildcard در کنار عملکرد مشابه گواهینامه های معمولی این امکان را فراهم می‌کنند تا بتوانید به همراه دامنه اصلی خود تمامی ساب دامنه‌های آن را نیز تحت پوشش گواهینامه SSL خود قرار دهید.

با استفاده از این گواهینامه Wildcard، علاوه بر نام دامنه اصلی، تمامی زیر دامنه‌های وب‌سایت نیز قابل امن شدن هستند. به طور مثال در صورتی که شما صاحب وب‌سایتی با نام wyz.ir هستید، با استفاده از گواهینامه Wildcard می‌توانید علاوه بر دامنه اصلی، زیر دامنه blog.xyz.ir را هم ایمن کنید. در صورت عدم استفاده از گواهینامه Wildcard، شما باید برای تک تک زیر دامنه‌ها، علاوه بر دامنه اصلی، گواهینامه جداگانه تهیه نمایید. گواهینامه Wildcard برای وب‌سایت‌هایی مناسب است که زیر دامنه‌های متعددی دارند که باعث می‌شود، خریداری یک گواهینامه معمولی برای هر زیر دامنه، مقرون به صرفه نباشد.

با تهیه این نوع گواهینامه برای دامنه و ساب دامین‌های آن، هزینه کمتری در مقایسه با تهیه گواهینامه DV-SSL به صورت جداگانه برای هر ساب دامین پرداخت خواهید کرد. لذا مقرون به صرفه تر بوده و زمان راه اندازی آن برای امن کردن تمامی زیر دامنه‌ها نیز کوتاه تر است.

انواع گواهینامه اس اس ال Wildcard

از میان گواهینامه های بررسی شده، دو گواهینامه DV و OV امکان فنی Wildcard را دارا می‌باشند. در زیر هر کدام را به اختصار شرح می‌دهیم:

گواهی OV-Wildcard-SSL

یکی از انواع این گواهینامه اس اس ال OV- wildcard ویژگی‌های DV-Wildcard را دارا است و علاوه بر آن، نام شرکت ثبت شده که گواهینامه برای وب‌سایت آن تهیه شده است را نیز در مشخصات خود جای خواهد داد. برای صدور این گواهینامه احراز هویت شرکت مالک دامنه، توسط شرکت صادر کننده گواهینامه تائید خواهد شد. پس از تایید هویت شرکت که با بررسی مدارک ثبتی آن صورت خواهد پذیرفت، گواهینامه صادر می‌شود. برای بررسی صحت آن، در بخش مشخصات Certificate، نام شرکت قابل مشاهده خواهد بود.

گواهی DV-Wildcard-SSL

این نوع گواهینامه، دامنه و تمامی ساب دامین‌های آن را امن کرده و سریع و آنی صادر می‌شود. برای صدور این گواهینامه کافیست فایل CSR برای دامنه ای با عنوان domain.tld.* ایجاد شده (که مشخصه بارز در روال صدور این نوع گواهینامه است) و برای شرکت صادر کننده گواهینامه ارسال شود. پس از تائید و احراز مالکیت دامنه، گواهینامه به صورت Wildcard صادر خواهد شد.

گواهینامه SSL‌ از نوع SAN‌

هیچ سازمان یا شرکتی وجود ندارد که تنها از یک دامنه و آدرس استفاده کند. دامنه‌های متفاوتی توسط سازمان‌ها و شرکت‌ها استفاده می‌شود و در برخی از سناریوها امکان هدایت همه ی آنها به یک آدرس مشخص و واحد وجود ندارد. با در نظر داشتن این مورد، بدیهی است که تهیه گواهینامه SSL برای تمامی این دامنه‌ها هزینه در بر داشته و زمان زیادی را برای پیگیری آنها تلف می‌کند. بهترین نوع گواهینامه SSL برای چنین سناریوهایی گواهینامه SSL از نوع SAN یا Subject Alternative Name است. ویژگی این گواهینامه امن سازی چند Hostname یا نام دامنه تحت یک گواهینامه SSL است. ویژگی این نوع گواهینامه ایمن نمودن نام هاست‌ها بر روی دامنه‌های مختلف، با استفاده از یک گواهینامه SSL است.

چنانچه می‌خواهید گواهینامه SSL را علاوه بر دامنه اصلی، روی چند دامنه متفاوت دیگر هم فعال کنید، می‌توانید برای هر گواهینامه به تعداد موردنظرتان (SAN (Subject Alternative Name تهیه کنید که امکان فعال نمودن SSL، روی چندین دامنه با نام‌های متفاوت از یکدیگر را فراهم می‌کند. گواهینامه SAN می‌تواند بین ۵ تا ۱۰ نام سرور را بر روی یک گواهینامه SSL پوشش دهد که هزینه هر بخش، به صورت جداگانه باید پرداخت شود. همچنین با بهره گیری از گواهینامه SSL از نوع SAN می‌تواند تحت یک گواهینامه دو آدرس با www و بدون آن را امن سازی نمود.

تفاوت گواهینامه SAN با گواهینامه Wildcard

Wildcard می‌تواند تمامی زیر دامنه‌ها مربوط به یک دامنه خاص را همچون example.com پشتیبانی و محافظت نمایید. اما توانایی پشتیبانی از چند دامنه و زیر دامنه‌های آنها را ندارد. این قابلیت را گواهینامه SAN دارا است. در واقع تفاوت این نوع گواهینامه با گواهینامه Wildcard در این است که در گواهینامه Wildcard، پروتکل HTTPS روی هر تعداد زیر دامنه، قابلیت فعالسازی دارد، این در حالی است که گواهینامه SAN فقط برای تعداد مشخصی دامنه، کار می ‌کند.

علاوه بر آن، در گواهینامه Wildcard جهت افزودن زیر دامنه ‌ی جدید، نیاز به ارسال درخواست جدید جهت اعمال تغییرات در گواهینامه‌ نمی‌باشد. اما در گواهینامه های SAN می‌بایست درخواست دهید تا نام دامنه ‌ی جدید نیز به لیست دامنه ‌ها افزوده شود و به اصطلاح گواهینامه SSL شما، Reissue شود.

آیا برای استفاده از گواهینامه ssl به IP اختصاصی نیاز است؟

به منظور استفاده از گواهینامه SSL برای یک دامنه، داشتن IP اختصاصی (Dedicated IP) الزامی است. معمولاً به ازای هر دامنه با قابلیت SSL، باید یک IP اختصاصی مجزا وجود داشته باشد. اما جهت استفاده از یک IP‌ اختصاصی برای چند دامنه با قابلیت SSL دو راه وجود دارد:

۱. گواهینامه SAN یا گواهینامه Wildcard

در صورتی که بخواهیم برای چند دامنه مختلف، فقط یک IP اختصاصی جهت استفاده از قابلیت SSL داشته باشیم، می ‌توان از یک گواهینامه SAN استفاده نمود. لازم به ذکر است که دامنه‌ها باید روی یک سرور باشند. اما در صورتی که بخواهیم برای چند زیر دامنه مختلف، فقط یک IP اختصاصی جهت استفاده از قابلیت SSL داشته باشیم، می‌توان از گواهینامه Wildcard استفاده نمود. توجه داشته باشید که زیر دامنه‌ها باید روی یک سرور باشند.

۲. قابلیت Server Name Indication

استفاده از این قابلیت مستلزم شرایط خاصی است؛ مثلاً نسخه‌های خاصی (معمولاً نسخه‌های قدیمی) از مرورگرها و وب‌‌سرورها از این قابلیت پشتیبانی نمی ‌کنند.