گواهینامه SSL چیست و چه ویژگی هایی دارد؟

گواهینامه SSL چیست و چه ویژگی هایی دارد؟

در تصویر فوق در نوار آدرس، “HTTPS”  را مشاهده می کنید. کاراکتر “S”  نشان می دهد که شما یک گواهی SSL (Secure Sockets Layer)  دارید، به این معنی که اتصال شما امن است. گواهینامه های SSL بسیار ضروری هستند. مهم نیست که شما یک وبلاگ کوچک یا یک سایت کاملا تجاری داشته باشید؛ در هر صورت شما نیاز به یک گواهینامه SSL دارید.

پروتکل HTTPS و گواهینامه SSL دو عامل متفاوت اما مهم در ایجاد یک اتصال امن در بستر اینترنت هستند. پروتکل HTTPS کانالی را فراهم می کند که داده ها رمزنگاری شده و ایمن منتقل شود. هنگامی که یک کاربر تلاش می کند تا اطلاعات را از طریق یک اتصال امن ارسال کند، گواهینامه های SSL جهت این امر ضروری است.

توضیحات مختصری در رابطه با برخی از موارد مربوط به گواهینامه ssl خدمت شما ارائه شده است :

Chain:

گواهینامه ssl از نوع Chain یک فایل استاندارد از نصب گواهینامه  می باشد که شامل سه بخش اصلی روت ، میانی و سطح نهایی (end-user) است. جهت ایجاد فایل chain نیاز است یک فایل با 4 بخش شامل کد crt و سه کد مربوط به Ca-bundle از بالا به پایین زیر هم قرار بگیرد. در این صورت یک Full Chain در اختیار خواهید داشت.

CSR:

یک فایل CSR (کلید عمومی) توسط کاربر یا شرکت ارائه دهنده سرور و هاست و معمولاً روی سروری ایجاد می شود که گواهینامه در آن نصب خواهد شد. فایل CSR حاوی اطلاعاتی شامل نام سازمان ، نام دامنه ، آدرس ایمیل ، نام کشور و شهر می باشد. همچنین شامل کلید عمومی است که در گواهینامه دیجیتال قرار دارد. همزمان که CSR  تولید می شود، معمولا یک کلید خصوصی نیز ساخته می شود و در نهایت یک جفت کلید بدست می آید.

یک لایسنس از CSR برای ایجاد گواهینامه SSL شما استفاده می کند ، اما به کلید خصوصی شما احتیاج ندارد. شما باید کلید خصوصی خود را مخفی نگه دارید. گواهی ایجاد شده توسطCSR  فقط توسط کلید خصوصی که با آن تولید شده است کار خواهد کرد. بنابراین اگر کلید خصوصی خود را گم کنید ، گواهی دیگر کار نخواهد کرد.

Private Key:

تمام گواهینامه های SSL برای نصب و فعال سازی به یک کلید خصوصی ( Private Key  ) نیاز دارند. کلید خصوصی یک پرونده جداگانه است که در رمزگذاری و رمزگشایی داده های ارسال شده بین سرور شما و سرویس گیرندگان استفاده می شود. هنگامی که اقدام به ایجاد درخواست فایل CSR می کنید، یک کلید خصوصی توسط شما ایجاد می شود.

مرجع صدور گواهینامه که گواهی شما را ارائه می دهد به private key  دسترسی ندارد.

CRT:

CRT  یک پسوند فایل گواهینامه ssl است که برای تأیید صحت امنیت وب سایت استفاده می شود. فایل CRT توسط شرکت های ارائه دهنده گواهینامه ssl ایجاد و  توزیع می شود. پرونده های CRT به مرورگر وب اجازه می دهند تا با استفاده از پروتکل ssl ایمن شود. پرونده های مربوط به فایل CRT را می توان با کلیک روی نماد قفل در مرورگر وب مشاهده کرد.

Ca-bundle:

بسته نرم افزاری CA فایلی است که شامل دو یا سه بخش است که حاوی کدهای روت و میانی می باشد و اصطلاحا یک نوع زنجیره است. این زنجیره برای بهبود سازگاری گواهینامه ها با مرورگرهای وب ضروری است تا مرورگرها گواهی شما را شناخته و هیچگونه هشدار امنیتی ظاهر نشود.

PEM:

یک نوع استاندارد ذخیره سازی کدهای رمزنگاری شده گواهینامه ssl می باشد که این نوع فرمت جهت نصب در برخی کنترل پنل ها ضروری است. زمانی که فایل PEM شامل فایل private key باشد پسوند آن KEY خواهد بود.

رمز گذاری چیست و چرا سطوح مختلفی وجود دارد؟

رمزگذاری یک فرایند ریاضی از کدگذاری اطلاعات است. در این فرایند منظور از تعداد بیت (40 بیتی، 56 بیتی، 128 بیتی، 256 بیتی) اندازه کلید می باشد. مانند یک رمز عبور طولانی، یک کلید بزرگتر ترکیبات بیشتری دارد. در واقع، رمزگذاری 128 بیتی یک تریلیون بار قوی تر از رمزگذاری 40 بیتی است. هنگامی که یک مرورگر یا سیستم عامل با یک گواهی SSL  مواجه می شود ، آن را بررسی می کند تا مطمئن شود که گواهی معتبر و قابل اطمینان است.

کلید عمومی و خصوصی چیست؟

هر گواهی SSL شامل یک جفت کلید عمومی و خصوصی است ؛ یک کلید خصوصی جهت کدگذاری و یک کلید عمومی برای رمزگشایی آن استفاده می شود. کلید خصوصی بر روی سرور نصب می شود و هرگز با کسی به اشتراک گذاشته نمی شود اما کلید عمومی در گواهی SSL با مرورگرهای وب به اشتراک گذاشته شده است.

یک درخواست امضای گواهی یا CSR چیست؟

CSR یک کلید عمومی است که شما بر اساس سرور و دستورالعمل های نرم افزار سرور تولید می کنید. (اگر شما به سرور خود دسترسی ندارید، میزبانی وب شما آن را برایتان ایجاد می کند.) CSR در طول فرایند ثبت نام گواهینامه SSL مورد نیاز است، زیرا اطلاعات خاصی را درباره وب سرور و سازمان شما ارائهمی کند.

هش چیست؟ 

الگوریتم هش کردن یک تابع ریاضی است که اطلاعات ورودی با طول متغیر را به یک اندازه ثابت تغییر می دهد. گاهی اوقات هش کردن به عنوان رمزنگاری یک طرفه نامیده می شود. برای اولین بار رایانه ، ورودی را برای هش محاسبه می کند و سپس مقادیری را مقایسه می کند تا با فایل های اصلی هم خوانی داشته باشد. هر رایانه ای در جهان که الگوریتم هش را انتخاب می کند می تواند به صورت محلی محاسبات هش را انجام و همان جواب را دریافت کند.

الگوریتم های هش کردن در انواع روش ها استفاده می شود ؛ برای ذخیره سازی کلمه عبور، در رایانه ها و در پایگاه داده ها. الگوریتم های هش شده مختلفی وجود دارد و همه آنها دارای اهداف خاص هستند ، برخی برای انواع خاصی از داده ها و برخی برای سرعت و امنیت استفاده می شوند. الگوریتم مورد بحث در گواهینامه ssl الگوریتم های SHA هستند. الگوریتم های رمزنگاری هش باعث ایجاد هش های غیرقابل برگشت و منحصر به فرد می شوند. معکوس برگشت ناپذیر به این معنی است که اگر شما فقط هش داشته باشید نمی توانید از آن برای کشف آنچه که داده اصلی بود استفاده کنید، بنابراین هش اجازه می دهد که داده های اصلی ایمن و ناشناخته باقی بمانند.

نکته:

به خاطر داشته باشید که پروتکل SSL/TLS ، اتصال را با استفاده از رمزنگاری نامتقارن آسان می کند. به این معنی است که دو کلید رمزگذاری وجود دارد و هر یک از آنها نیمی از فرآیند را انجام می دهند: یک کلید عمومی برای رمزگذاری و یک کلید خصوصی برای رمزگشایی. هر گواهی SSL حاوی یک کلید عمومی است که می تواند توسط مشتری برای رمزگذاری داده ها مورد استفاده قرار گیرد و مالک گواهی SSL یک کلید خصوصی را در سرور خود ذخیره می کند که از آن برای رمزگشایی داده ها و خواندن آن استفاده می کند. در نهایت هدف اولیه این رمزگذاری نامتقارن مبادله کلید امن است. کلید های نامتقارن جهت افزایش قدرت محاسبات نیاز به استفاده از کلیدهای متقارن کوچکتر برای بخش ارتباط واقعی اتصال دارند.

امضاهای دیجیتال بخش مهمی از نحوه تأیید هویت های SSL هستند. هنگامی که یک گواهی صادر می شود، گواهینامه شما توسط شرکت های ارائه دهنده گواهی (به عنوان مثال Sectigo، DigiCert و غیره) به صورت دیجیتالی امضا شده است. این امضا شواهد رمزنگاری را فراهم می کند که گواهینامه اصلاح یا بازتولید نشده باشد. مهمتر از همه، یک امضای معتبر شامل شواهد رمزنگاری می باشد که اطلاعات موجود در گواهی توسط شخص ثالث مورد اعتماد را تایید می کند.

امضای دیجیتال فوق العاده حساس است و هر تغییری در فایل باعث تغییر امضای شما خواهد شد. با کوچکترین تغییر نتیجه هش کاملا متفاوت خواهد بود ، به این معنی که امضای حاصل از آن هش نیز متفاوت خواهد بود. حتی تغییر یک بیت از سند چند هزار گیگابایتی منجر به یک هش کاملا متفاوت خواهد شد. اگر مرورگر شما با یک امضای نامعتبر مواجه شود، خطا را نمایش داده و به طور کامل از یک اتصال امن جلوگیری می کند.

SHA-1 and SHA 
همانطور که پیش از این اشاره شد ، SHA یکی از عناصر اصلی الگوریتم هش کردن امن است. SHA-1 و SHA-2 دو نسخه متفاوت از این الگوریتم هستند. SHA-2 به عنوان جانشین SHA-1 شناخته می شود، زیرا یک بهبود کلی از SHA-1 است. SHA-1 یک هش 160 بیتی است. SHA-2 نیز یک خانواده از هش ها در طول های مختلف است که محبوب ترین آن 256 بیت می باشد.