SSL، TLS و HTTPS چیست؟

اگر فقط پروتکل HTTP استاندارد استفاده شود، اطلاعات ارسال شده به صورت متن ساده در معرض حملات قرار می‌گیرد. بنابراین، معمولاً از پروتکل HTTPS برای اطمینان از اینکه اطلاعات در طول انتقال داده‌ها محافظت شده و رمزنگاری شده استفاده می‌شود.

فرق بین HTTP و HTTPS چیست؟

HTTPS: HTTPS برای HTTP بر روی SSL/TLS استفاده می شود. HTTPS مزایای متمایزی نسبت به HTTP دارد:

مزایای HTTPS:

سلامت داده: بررسی سلامت انتقال محتوا.

حریم خصوصی داده: محتوا به صورت رمزگذاری تقارنی انجام می‌شود و یک کلید رمزگذاری منحصر به فرد برای هر اتصال تولید می‌شود.

تأیید هویت: یک شخص ثالث نمی‌تواند هویت سرور (مشتری) را جعل کند.

SSL و TLS چیست؟

SSL (لایه سوکت امن) مجموعه ای از پروتکل هایی است که توسط نت اسکیپ در سال 1994 طراحی شده و در نسخه 3.0 در سال 1995 منتشر شده است.

TLS (امنیت لایه انتقال) امنیت لایه انتقال یک پروتکل است که توسط IETF بر اساس SSL3.0 طراحی شده است، معادل نسخه بعدی از SSL است.

هر دو TLS و SSL پروتکل‌های رمزنگاری هستند که داده‌ها را رمزنگاری می‌کنند و اتصالات را تأیید می‌کنند هنگام انتقال داده‌ها از طریق اینترنت.

تفاوت بین TLS و SSL چیست؟

SSL 1.0 هرگز به صورت عمومی منتشر نشد. SSL 2.0 در فوریه 1995 برای اولین بار منتشر شد. اگرچه SSL 2.0 به صورت عمومی منتشر شد، اما شامل نقص‌های امنیتی بود و به سرعت توسط SSL 3.0 در سال 1996 جایگزین شد.

نسخه اول TLS 1.0 در سال 1999 به عنوان یک ارتقاء به SSL 3.0 منتشر شد. از آن زمان تاکنون، سه نسخه دیگر از TLS منتشر شده است، جدیدترین آن TLS 1.3 در اوت 2018 بود.

می‌توانیم بگوییم که TLS یک ادامه‌ی SSL است که برخی از آسیب‌پذیری‌های امنیتی در پروتکل SSL قبلی را رفع می‌کند.

درک نسخه کامل SSL و TLS در این نمودار پیشرفت تاریخی:

همانطور که در مقاله قبلی یاد گرفتیم، داده های انتقالی توسط کلیدهای عمومی و خصوصی رمزگذاری می شوند. کلید عمومی و خصوصی از کجا می آیند؟ این مربوط به مسئله احراز هویت است.

هویت احراز هویت چیست؟

گواهی CA یک حالت احراز هویت سنتی است. مرکز CA یک گواهی دیجیتال به هر کاربری که از کلید عمومی استفاده می کند صادر می کند تا اثبات کند که کاربر موجود در گواهی به طور قانونی مالک کلید عمومی موجود در گواهی است.

اگر میخواهید گواهی خود را دریافت کنید، باید ابتدا به CA درخواست دهید. پس از شناسایی شما توسط CA، یک کلید عمومی به شما اختصاص داده میشود که به اطلاعات هویت شما مرتبط است و CA آن را امضا کرده و گواهی به شما صادر میکند.

گواهی‌نامه‌های دیجیتال تنها می‌توانند امنیت آنلاین را تضمین کنند، شما می‌توانید از گواهی‌نامه‌های دیجیتال برای تأیید هویت طرف مقابل و اطمینان از ایمیل، معاملات آنلاین و خریدهای کارت اعتباری استفاده کنید.

هر کاربر یک جفت کلید عمومی و خصوصی دارد.

کلید خصوصی برای رمزگشایی و امضا کردن استفاده می شود و برای استفاده شماست.

کاربر کلید عمومی را فاش می‌کند و کاربر امضا را رمزگذاری و تأیید می‌کند که توسط دیگران استفاده می‌شود.

SSL و TLS چگونه امنیت داده‌ها را حفاظت می‌کنند؟

وقتی یک گواهینامه بر روی یک سرور نصب می‌شود، شامل یک کلید عمومی و یک کلید خصوصی است که سرور را تأیید می‌کند و به سرور شما اجازه می‌دهد داده‌ها را رمزگشایی و رمزنگاری کند.

وقتی کسی سایت شما را بازدید می‌کند، مرورگر وب آنها گواهی SSL/TLS سایت شما را بررسی می‌کند. سپس مرورگر برای بررسی صحت گواهی شما و احراز هویت سرور شما، یک “دست‌بازی” انجام می‌دهد.

اگر گواهی SSL نامعتبر باشد، ممکن است با خطاهای “اتصال شما خصوصی نیست” مواجه شوید.

یک بار مرورگر بازدیدکننده تصمیم می‌گیرد گواهی شما معتبر است و سرور شما را تأیید کند، یک پیوند رمزنگاری شده بین مرورگر و سرور شما ایجاد می‌شود تا اطلاعات به صورت امن انتقال یابد.

به عنوان مثال، اگر شما پرداخت های کارت اعتباری را در وب سایت خود پردازش می کنید، TLS و SSL می توانند به شما در امنیت اطلاعات کمک کنند تا هکرهای خبیث نتوانند آن را در اختیار بگیرند.

مزایای TLS: TLS برای ارائه محرمانگی و سالمت داده بین دو برنامه ارتباطی استفاده می شود. این مستقل از پروتکل برنامه است و پروتکل های سطح بالا می توانند به طور شفاف بر روی پروتکل TLS توزیع شوند. استاندارد TLS مشخص نمی کند که برنامه ها چگونه می توانند امنیت را بر روی TLS افزایش دهند.