تکنولوژی SSL نوعی پروتکل ایمنی است. این تکنولوژی استاندارد ایمن سازی ارتباطات وتبادلات از راه اینترنت است. SSL در تمامی مرورگرهاوسرورهای اصلی شبکه نصب شده است و از این رو در تجارت الکترونیکی و فعالیتهای مربوط به این نوع داد و ستدها در شبکه نقش عمومی دارد. در پروتکل S SL از تاییدهای دیجیتال برای ایجاد مسیر ارتباطی دراصطلاح Pipe Line ایمن و محرمانه میان دو شخص حقیقی یا حقوقی استفاده می شود. اطلاعاتی که در ارتباطی از نوع SSLمنتقل می شوند، را نمی توان بدون متوجه شدن دو طرف ارتباط تحریف یا جعل کرد، در صورت بروز چنین وقایعی دو طرف بی درنگ از وجود تحریف وجعل آگاه می شوند. جدیدترین ویرایش S SL به TSL موسوم است. اغلب می بینند این دو واژه به جای یکدیگر به کار می روند. ازآنجا که اصطلاح SSL بیشتر شناخته شده است، دراین مقاله استفاده از آن را بیشتر توضیح می دهیم.
چرا SSL ؟
هنگامی که به فروشگاهی قدم می گذارید، می دانید با چه کسی سر و کاردارید. محصولات، مارکها وفرشنده ها را می بینید، می توانید از نکته مطمئن باشید که اگر چیزی درباره خرید شما درست نباشد، می توانید به مدیر یا مالک فروشگاه مراجه کنید.
اما در اینترنت، بازدیدکنندگان یک وب سایت معمولا راهی مطمئن برای آگاهی از هویت مالک وب سایت(فروشنده مجازی) ندارند. هنگامی که مشتریانی از وب سایتی با قصد خرید از طریق اینترنت دیدن می کنند، می خواهند بدانند به چه کسی پول پرداخت می کنند. آنها می خواهند دلایلی برای شناخت اثبات هویت مالک وب سایت داشته باشندومی خواهند بدانند اطلاعات شخصی ارسال شده به وب سایت را دیگر کاربران اینترنت نمی توانند در بین راه بدست آورند. در اینجا استفاده از پروتکل SSL مطرح می شود. SSL پروتکلی است که شرکت Net Scape ایجاد کرده است و برای مرورگر و سرور شبکه امکان بر قراری ارتباط ایمن را فراهم می سازد. این پروتکل به مرورگر امکان می دهد، هویت سرور شبکه را تصدیق کند. در پروتکل SSL ضرورت دارد، سرور شبکه تاییدیه دیجیتال را برای برقراری ارتباط از نوع SSL نصب کرده باشد. به لطف وجود مرورگر مجهز به تاییدیه SSL مشتری متصل شونده به وب سایت ایمن از سه چیز اطمینان می یابد:
الف)تایید هویت: اینکه وب سایت واقعاً به کمپانی نصب کننده تاییدیه تعلق دارد.
ب)خصوصی ماندن پیام: با استفاده از یک کلید مقطعی منحصر به فردSSL
تمام اطلاعات مبادله شده میان سرور شبکه و مشتری شما رمزگذاری می کند.
این امرفرد را مطمئن می کند که اطلاعات شخصی در صورت سرقت شدن در بین راه قابل خوانده شدن نیستند.
ج)تمامیت پیام: داده ها را روی اینترنت نمی توان تحریف کرد.
از این مسئله مشتریان نیز سودی می برند، زیرا می دانند با بررسی کردن جزئیات موجود در تاییدیه می توانند مطمئن شوند، که وب سایتی که با آن سر و کار دارند واقعاً همان سایت مورد تقاضاست. اگر برای شما اهمیت دارد، مشتریان خود را قانع کنید که هنگام ارسال اطلاعات در اینترنت خطری متوجه آنها نیست، باید تاییدیه SSL را به دست آورید. اگربیش از یک قلمرو در اینترنت دارید که باید ایمن بماند، باید بیش از یک تاییدیه فراهم کنید.
به دلیل اختصاصی بودن این تاییدیه ها لازم است، به تعداد نام قلمروها تاییدیه داشته باشید.
چه کسی به تاییدیه SSL نیاز دارد؟
لایه SSL به عنوان راه حل برقراری ارتباط ایمن در شبکه تلقی می شود. هر چند مشخص نیست، که این گونه اطلاعات زمینه ای را برای اعتماد کاربر ایجاد کند.
هرگونه دارنده وب سایتی که دارای امکانات سفارشی اینترنت (Online) است و می خواهد به مشتریان خود اطمینان دهد.هنگام ارسال اطلاعات درشبکه ای بازدرمعرض خطر نیستند به این تاییدیه ها نیاز دارند.
چگونه اعلام کنیم یک وب سایت ایمن است ؟
اگر سایت وب تاییدیهSSL نداشته باشد، کاربر شبکه علامت قفل باز شده در پنجره مرورگر می بیند. اگر میان مرورگر و سرور شبکه ارتباطی ایمن از نوع SSL برقرار شود، Http در آدرس شبکه به Https تبدیل می شود.
به عنوان مثال www.cnn.com//:Http به www.cnn.com//:Http تبدیل می شود.
مرورگری که با روش SSL ارتباط برقرارکرده است، علامت قفل را نشان می دهد. برای آزمایش آنکه یک وب سایت تاییدیه معتبر دارد یا خیر سعی کنید با وب سایت با استفاده از //: Httpsدر VRL به جای //:Http ارتباط بر قرار کنید.
هشدارهای مرورگرها
هنگامی که اطلاعاتی را به وب سایتی می فرستید که تاییدیه SSL ندارد مرورگر پیام هشداری به شما می دهد.
به هرحال اگر از وب سایتی استفاده کنید، که تاییدیه دیجیتال معتبر داشته باشد، به کاربر شبکه اطلاع داده می شود که وب سایتی را که از آن دیدار می کند، تاییدیه دیجیتالی دارد که آن را مسئول تاییدیه شناخته شده ای صادر کرده است و به این ترتیب هر نوع داده ای که به این سایت فرستاده می شود، رمز گذاری شده است.
با بررسی تاییدیه مشتری می تواند تصدیق کند که وب سایت معتبراست و به چه کسی تعلق دارد؟
تاییدیه SSLچیست؟
تاییدیه دیجیتال حاوی اطلاعات زیراست:
قلمروی که تاییدیه برای آن صادر شده است.
مالک تاییدیه
محل فیزیکی مالک
تاریخ اعتبار تاییدیه
هنگامی که به سرور شبکه ایمن مانند www.cnn.com//:Http متصل می شوید، سرور فوق هویت خود را برای مرورگر با ارائه تاییدیه دیجیتال احراز می کند.این فرایند احراز هویت فرایندی به نسبت پیچیده است که تبادل کلید عمومی واستفاده از کلید مقطعی را برای رمز گذاری در برمی گیرد. این فرایند از نظر کاربر یکپارچه است.
تاییدیه اثباتی است بر اینکه یک شخص ثالث تایید می کند که این تاییدیه واقعاً به همان وب سایت مورد ادعا تعلق دارد.
تاییدیه معتبر مشتری را مطمئن می سازد، که اطلاعات شخص به طرز ایمن و به محل درست ارسال می شوند.
جفت کلید های عمومی و خصوصی
هنگامی درخواست تاییدیه می کنید، درسرور خود یک جفت کلید ایجاد می کنید. هنگامی که یک جفت کلید برای امور تجاری شما ایجاد می شود، کلید خصوصی روی سرورنصب می شود و هیچ کس جز شما به آن دسترسی ندارد.
کلید عمومی منطبق با آن نیز به عنوان جزئی از تاییدیه دیجیتال روی سرور نصب می شود. کلیدعمومی و خصوصی از نظر ریاضی با یکدیگر مرتبط هستند، ولی یکسان نیستند.
مشتری که می خواهد با شما به طور خصوصی مرتبط شود، ازکلید عمومی واقع در ID سرور شما برای رمز گذاری اطلاعات پیش از ارسال آنها استفاده می کند.(این فرایند نیز یکپارچه است.) تنها با استفاده از کلید خصوصی می توان این داده ها را رمز گشائی کرد.
مشتریان به خاطر اینکه می دانند هیچ کدام از اطلاعاتی که به سرور شما ارسال می شود را شخص ثالثی نمی تواند ببیند، احساس امنیت می کنند.
SUPER- CERT چیست؟
سوپر سرت تاییدیه SSL است که به مرورگرهای بین المللی اجازه می دهد به روش رمزگذاری 128 بیتی ارتقا یابند.IE 5.01 و NET SCAPE 4.7 و مرورگرهای جدیدتر سوپرسرت را شناسایی می کنند.
تصور بر آن است که رمز گذاری 128بیتی را نمی توان شکست به بیان دیگر سوپر سرت روش رمز گذاری را به سطح 128بیتی ارتقا می دهد.
فواید تاییدیه های SSL برای کسب وکار شما
سوپر سرت ها وتاییدیه های SSL امکانات زیر را فراهم می کنند:
اطمینان از تمامیت ایمنی تجارتONLINE و زیر ساختار شبکه شما. مشتریان به گونه روز افزونی درباره مزایای ایمنی SSL آگاه می شوند و اغلب ازفروشگاههای غیر ایمن خرید نمی کنند. تمامی تجار اصلی در شبکه از ایمنی SSL پشتیبانی شده با ضمانت های قوی را استفاده می کنند، که مشتری را تشویق می کند به طور آن لاین خرید کند.
قابلیت عملکرد با برنامه های کاربردی ومرورگرهای استاندارد و پشتیبانی این برنامه ها از این تاییدیه ها
تاییدیه غیر قابل تحریف هویت وب سایت شما.
آسانی استفاده.
بررسی کلاه برداری در شبکه
تقریبا تمامی فعالیتهای اجتماعی، دولتی و تجاری به سمت الکترونیکی شدن پیش می روند. شبکه جهانی رسانه بلامنازع برای ارائه چنین خدماتی است. خصائص ذاتی جهان فیزیکی باعث شده است، جعل کردن به اندازه کافی دشوار باشد، به گونه ای که هرگونه کلاه برداری موفقی از این نوع به صورت داستان در می آید. در نتیجه خدمات گیرندگان از جهان فیزیکی به دست یافتند که به آنها اعلام می کند، چه وقت مطمئن شوند خدماتی که ارائه می شود واقعاً همان است که به نظر می رسد. با این وجود تغییر از حالت فیزیکی به فن آوری الکترونیک مشکلات جدیدی را ایجاد کرده است:
بیتها قابل تغییرند، آیا به بصیرت مورد استفاده در جهان فیزیکی در دنیای الکترونیک نیز کافی است؟
چه وقت بر روی که می گوید، اینجا را کلیک کنید، کلیک کنیم. چگونه می توان دریافت، این همان جایی است که باید آن را انتخاب کرد.
پاسخ به این پرسش نیازمند بررسی این نکته است، که چگونه کاربران درباره اعتماد کردن به صفحه وب خاصی قضاوت می کنند.
کاربران امروزه به طور روزمره با مطالبی درشبکه روبرو می شوند، که ویژگیهای برخی موجودیتهای فیزیکی مانند روزنامه، فروشگاه یا بنگاه دولتی رادارند. چگونه کاربران ارزیابی کنند که این ویژگیها واقعی هستند یا خیر؟
تاییدیه های SSL
نشانه واقعی قفل SSL نشان می دهد، در مقطع کاری فعلی انتقال اطلاعات میان مرورگر و سرورها در برابر سرقت وتحریف محافظت می شود. تا به امروز رایج ترین سناریوی مربوط به SSL عبارت است از تایید از جانب سرور.
سرور یک جفت کلید و یک تاییدیه از جانب منبع موثق که به کلید اصلی متصل شده است، برای اعلان هویت و دیگر اطلاعات مربوط به سرور پردازش می کند. هنگام برقراری مقطع کاری SSL، مرورگر تاییدیه سرور را ارزیابی می کند و در صورت بودن مرورگر کلید SSL مقطعی قابل اشتراک با طرفی که کلید عمومی مطابق با کلمه تایید را دارد، ایجاد می کند.
در نتیجه برای ارزیابی اینکه آیا مقطع کاری قابل اعتماد وجود دارد یانه ،کاربر پیشرفته نه تنها وجود علامت SSL را کنترل می کند، بلکه در جستجوی اطلاعات تاییدیه نیز بر می آید. Net scape 4.0
کاربر این کار را با کلیک کردن علامت امنیت در S tatus Bar انجام می دهد. که این کار باعث ظاهر شدن پنجره اطلاعات امنیتی حاوی اطلاعات امنیت مربوط به سرور می شود. در IE و Net Scape کاربر این کار را با کلیک دوتایی علامت SSL انجام می دهد. از آنجا کنترل میله ها به عهده خود ما بود، کنترل رویدادها پس از کلیک کردن روی آیکونها نیز در اختیار ما بود.
به عنوان اثباتی بر این مدعا در تقلب Net scape 4.0، کلیک دوتایی بر آیکون امنیت پنجره جدیدی را باز می کرد. که به پنجره امنیت واقعی شباهت داشت. انتظار می رفت عمل می کردند. کلیک کردن ((نمایش اطلاعات تاییدیه))باعث نمایش پنجره تقلبی یا تاییدیه می شود. که اطلاعات تاییدیه به دلخواه نمایش می دهد.
آیکون SSLو StatusBar
یکی دیگراز نکات کلیدی برای قانع کردن کاربر به اینکه ارتباط ایمن بر قرار شده است وجودعلامت قفل در Statusbar است.
روش ما مهاجم را از داشتن تاییدیه از سازمانی معتبر وهمچنین ازشناسایی به علت وجود همین تاییدیه بی نیاز می ساخت.
در خلال مقطع کاری همزمان ممکن است بروز آوری ها ودیگر اطلاعات به طورهمزمان در Statusbar نمایش داده شود که این امر همواره در پاسخ به رویداد کاربر رخ نمی دهد. هنگامی این اطلاعات در روند تقلب اخلال ایجاد نمی کرداین رفتار را با استفاده ازتایمر Script J. نصب شده برای بررسی خاصیت Windows Status و کپی کردن آن در پنجره جعلی شبیه سازی می کردیم. در مورد IIE برای انجام دادن این حیله از خاصیت Innertext استفاده می کردیم.
صفحه تقلبی حاوی لایه های گوناگونی است که در اصل پنهان هستند و حاوی منتهای وضعیتند. هنگامی که ضرورت داشت این لایه ها را آشکار کردیم مجدداً باید متذکر شویم، از آنجا که Statusbar جعلی تنها تصویر تحت کنترل ما بود هیچ چیزنمی توانست مانع باز نویسی بخشهایی از آن شود.
پنجره های هشدار SSL
مرورگرها به طور معمول پنجره های Popup را هنگام ورود وخروج ازارتباط SSL نمایش می دهند. برای حفظ این رفتار نیاز به جعل این پنجره ها بود هر چند J ava Script می توانند، پنجره Popup شبیه به پنجره هشدار SSL را ایجادکند پنجره های هشدار SSL برای جلوگیری از جعل آیکونهای متفاوتی دارد، بنابراین اقدامات زیر را انجام دادیم:
در مورد Net scape مجددا از ویژگی Layer استفاده کردیم.صفحه تقلبی پنهان حاوی پنجره هشدار می باشد.این لایه را هنگامی که کادر محاوره هشدارباید ظاهر شود نمایش دادیم.در ابتدا متوجه شدیم این پنجره هشدار جعلی به طور صحیح نمایش داده نمی شود زیرا این پنجره فیلدهای واقعی را می پوشاند.این مشکل را جایگزین کردن این فیلدهای ورودی با تصاویر شبیه به آن حل کردیم هر چند در مورد برخی کاربران بازسازی تصویرزمینه قابل توجه بود و به عنوان راه حل به سادگی پنجره را در محلی نمایش دادیم که فیلدها را نمی پوشاند.
در مورد IE از یک مبدل یا لوگ ساخته شده HTML استفاده کردیم که همان مطالب پنجره هشدار را نمایش می داد. متاسفانه در پنجره جعلی رشته در کادر محاوره مربوط به صفحه وب قرار داشت که به میله عنوان در پنجره جعلی افزوده می شود.