SSL چیست و چه اهمیتی در امنیت وبگردی دارد؟

بدون شک در ماه های اخیر خبرهای بسیار زیادی درباره به سرقت رفتن اطلاعات هویتی کاربران اینترنت، دزدی و کلاهبرداری های اینترنتی، سرقت رمزهای عبور کاربران و آلوده شدن بسیاری از سیستم ها به بدافزارها و باج افزارها شنیده اید. یکی از کلیدی ترین مشخصات مشترک بین حمله این اقدامات خرابکارانه پدیده ای است که با عنوان “مهندسی اجتماعی” شناخته می شود. مهندسی اجتماعی زمانی کاربرد دارد که خرابکاران سایبری افراد را به کلیک کردن بر روی یک لینک و یا اجرای نرم افزاری آلوده تشویق کرده و با این کار آنها را فریب می دهند. بهترین راه حل برای مقابله با این اتفاقات، کسب شناخت کافی از پارامترهای حیاتی در امنیت وب در راس آنها SSL است. حتما پیش از این با عبارت SSL آشنا شده اید و حتی در صورت عدم شناخت کافی، نشانی از آن در زمان وبگردی خود دیده اید. در هنگام مراجعه به برخی از وب سایت ها (به خصوص وب سایت های دولتی و بانکی) پیش از شروع آدرس وب سایت مورد نظر، عبارت Secure به همراه یک قفل سبز رنگ قرار داده می شود که به معنی استفاده از SSL و تامین امنیت کاربران است. اما SSL دقیقا چیست و چه اهمیتی در امنیت وبگردی دارد؟

شناخت SSL

SSL شکل کوتاه شده از عبارت Secure Socket Layer به معنی لایه سوکت امن است و می توان آن را استانداردی برای ایجاد ارتباطی امن و رمزنگاری شده بین دو نقطه در اینترنت (برای مثال یک رایانه و یک سرور وب) تعریف کرد. در سال های اخیر این استاندارد به SSL/TLS (یا Secure Socket Layer/Transport Layer Security) بروزرسانی شده اما همچنان با همان نام ساده تر SSL شناخته می شود. به علاوه می توان SSL را اساس https به عنوان یک لینک امن دانست. اما اجازه بدهید کمی ساده تر به قضیه نگاه کنیم.

فرض کنید قصد دارید در یک بانک حسابی باز کنید. اگر بدون داشتن مدارک شناسایی معتبر به بانک مراجعه کنید بدون شک با پاسخ منفی بانکدار روبرو خواهید شد زیرا در صورت مخدوش بودن اطلاعات شما، نمی توان برای تراکنش های بعدی به آنها استناد کرد. بانک می تواند برای تایید هویت شما از مراجع مرتبط (مانند ثبت احوال) استعلام کند اما هرگز چنین اتفاقی رخ نخواهد داد و در عوض به شما تاکید خواهند کرد که برای افتتاح حساب حتما باید کارت ملی معتبر داشته باشید. در نتیجه کارت ملی به عنوان مدرکی معتبر برای ایجاد یک حساب شناخته می شود که می توانید به کمک آن یک کارت بانکی دریافت کرده و سپس به وسیله کارت بانکی به انجام اموری مانند دریافت و پرداخت پول یا انتقال وجه بپردازید. درست همین ماجرا زمانی که قصد دارید از یک وب سایت امن بازدید کنید نیز وجود دارد. شما برای اعتماد کردن به یک وب سایت (برای مثال وب سایت بانک) نیازمند تاییدیه ای معتبر هستید و این تاییدیه از طریق وب سرور و به کمک گواهینامه SSL فراهم می شود. به این معنی که وجود SSL مشابه وجود همان کارت شناسایی است.

سطوح اعتبار

اما آیا شما می توانید با کارت ملی به یک کشور دیگر سفر کنید؟ پاسخ منفی است. برای سفر به کشورهای دیگر نیازمند گذرنامه خواهید بود (و البته ویزا) که اعتباری بین المللی به هویت شما خواهد بخشید. همین داستان درباره SSL نیز وجود دارد. برخی از گواهینامه های SSL رایگان هستند و برخی دیگر آنقدر اعتبار دارند که برای دریافت آنها می بایست سالانه رقم های سنگینی در حد چند هزار دلار پرداخت کنید. روش تشخیص سطح اعتباری این گواهینامه های SSL نیز بسیار ساده است. اگر همان طور که اشاره شد پیش از آدرس وب سایت عبارت Secure با قفل سبز رنگ وجود داشته باشد یعنی با یک گواهینامه معتبر و البته معمولی سر و کار داریم و اگر اسم مرجع وب سایت (برای مثال بانک ملی ایران) نیز به همان صورت سبز رنگ در کنار آدرس سایت وجود داشته باشد یعنی وب سایت مورد نظر از یک گواهینامه گران قیمت و با اعتبار بسیار بالا استفاده کرده است. استفاده از این گواهینامه ها برای نهادهایی مانند بانک ها که تراکنش های بین المللی و داخلی سنگین در آنها صورت می گیرد ضروری است اما سایر وب سایت نیازی به انجام خرج های سنگین اینچنینی ندارند.

چطور از درجه اعتبار گواهینامه SSL یک وب سایت با خبر شویم؟

برای آنکه بدانید گواهینامه SSL یک وب سایت دارای چه اعتباری است می توانید از مراجعی که برای بررسی همین منظور وجود دارند استفاده کنید. یکی از این مراجع وب سایت SSL Labs است که سطح اعتباری گواهینامه هر وب سایت را با انجام بررسی های ویژه خود مشخص می کند. برای مثال صفحه ورود به وب سایت مربوط به بانک ایالات متحده (Bank of America) دارای سطح اعتباری A- است و در طرف مقابل، صفحه ورود به سیستم بانکداری الکترونیکی بانک ملی ایران از این وب سایت درجه F دریافت کرده است (که به معنی آسیب پذیری بسیار زیاد آن در برابر حملات سایبری است).

در نتیجه برای جمع بندی می توان گفت SSL اولین و ساده راه برای مقابله با حملات سایبری است. باید توجه داشته باید که SSL نمی تواند مانع از به سرقت رفتن اطلاعاتی که خود شما در اختیار هکرها قرار می دهید شود، اما توجه به وجود گواهینامه های SSL در وب سایت های حساس مانند سامانه های بانکداری الکترونیکی (به خصوص زمانی که قصد پرداخت آنلاین وجه برای خرید محصولی به صورت اینترنتی دارید) می تواند سطح هوشیاری شما در برابر صفحات جعلی را افزایش داده و باعث شود از قرار دادن اطلاعات حیاتی مانند رمزهای عبور کارت بانکی در اختیار این وب سایت ها خودداری کنید.