SSL چیست؟

SSL مخفف عبارت Secure Sockets Layer است و به‌صورت خلاصه می‌توان آن را پروتکل امنیتی رمزنگاری شده برای ایمن نگه داشتن اتصال اینترنت و محافظت از هرگونه داده حساسی دانست که بین دو سیستم ارسال می‌شود. این پروتکل اولین بار در سال ۱۹۹۵ توسط Netscape با هدف تضمین حریم شخصی، احراز هویت و یکپارچگی داده‌ها در ارتباطات اینترنتی توسعه داده شد اما امروزه از رمزنگاری مدرن‌تری با نام TLS استفاده می‌شود.

با فعال‌سازی SSL می‌توان از خوانده شدن و تغییر هرگونه اطلاعات منتقل شده از جمله اطلاعات شخصی توسط مجرمان جلوگیری کرد و برای تشخیص فعال بودن SSL/TLS می‌توانید به URL وبسایت مورد نظر خود توجه کنید. در وب‌سایت‌هایی که SSL/TLS پیاده‌سازی شده باشد، در آدرس آن وب‌سایت HTTPS به‌جای HTTP وجود دارد.

مزیت‌های فعال‌سازی SSL/TLS

با فعال‌سازی SSL/TLS تمام داده‌هایی که در سرتاسر وب منتقل می‌شوند، رمزنگاری می‌شود و حریم‌شخصی در سطوح بالایی حفظ خواهد شد. به این شکل هرکسی سعی کند داده‌ها رهگیری کند فقط با کاراکترهای مخدوشی مواجه خواهد شد که رمزگشایی آن‌ها تقریبا غیرممکن است.

در وهله‌ی دوم SSL یک فرایند احراز هویت به‌نام handshake را بین دو دستگاه ارتباطی انجام می‌دهد و در نتیجه، مهاجم نمی‌تواند خودش را به‌عنوان فرد دیگری معرفی کند.

علاوه‌براین‌ها SSL داده‌ها را به‌صورت دیجیتالی امضا می‌کند و این اطمینان حاصل می‌شود که داده‌ها قبل از رسیدن به مقصد، دستکاری نشده باشند.

چرا فعال‌سازی SSL/TLS اهمیت بالایی دارد

در پروتکل HTTP داده‌ها به‌صورت متن ساده (plaintext) ارسال می‌شوند و هرکسی می‌تواند آن‌ها را بخواند. یعنی اگر شما از یک فروشگاه اینترنتی خرید کنید و SSL فعال نباشد، داده‌های کارت اعتباری شما بدون هیچ رمزنگاری به سمت سرور فروشگاه ارسال می‌شود و در این میان هرکسی می‌تواند داده‌های کارت اعتباری شما را مشاهده کند.

اما SSL برای اصلاح این مشکل و محافظت از حریم شخصی کاربران ایجاد شد، با رمزنگاری داده‌ها بین کاربر و وب‌سرور دیگر فرد مهاجم و یا هر کاربر دیگری نمی‌تواند داده‌ها رهگیری کند. اکنون با SSL، اطلاعات کارت اعتباری خریدار امن خواهد ماند و اطلاعات فقط برای وب‌سایتی که خرید از آن انجام شده، قابل مشاهده خواهد بود.

آیا SSL با TLS یکسان است

TLS (Transport Layer Security) را می‌توان نسخه‌ی جدید‌تر پروتکل SSL دانست که کارگروه مهندسی اینترنت (IETF) آن را در سال ۱۹۹۹ به‌عنوان آپدیتی برای SSL پیشنهاد کرد. البته تفاوت بین نسخه‌های SSL 3.0 و اولین نسخه‌ی TLS زیاد نیست و فقط برای نشان دادن تغییر در مالکیت، این تغییر نام توسط IETF اعمال شد.

حال به‌دلیل شباهت و نزدیکی این دو مفهوم، اغلب به‌جای یکدیگر استفاده می‌شوند و برخی افراد هنوز از SSL برای اشاره به TLS استفاده می‌کنند. برخی دیگر از اصطلاح SSL/TLS استفاده می‌کنند زیرا هنوز هم SSL برای بسیاری افراد آشنا‌تر است.

آیا SSL هنوز به‌روز است؟

SSL 3.0 دیگر از سال ۱۹۹۶ به‌روز نشده و امروزه منسوخ شده است. حتی چندین آسیب‌پذیری شناخته شده از SSL 3.0 وجود دارد که کارشناسان امنیتی توصیه می‌کنند استفاده از SSL 3.0 را متوقف کنید. در واقع اکثر مرورگرهای وب مدرن اصلا از پروتکل SSL پشتیبانی نمی‌کنند.

TLS یک پروتکل رمزنگاری به‌روز است که در حال حاضر در اینترنت پیاده‌سازی می‌شود گرچه بسیاری افراد هنوز هم از آن باعنوان SSL یاد می‌کنند. حتی این موضوع باعث شده تا سرویس‌دهندگان خدمات‌های امنیتی برای ارائه‌ی سرویس‌های خود به مشتریان دچار سردرگمی شوند. حقیقت این است که هر فروشنده‌ای به شما SSL ارائه می‌کند در واقع در حال ارائه TLS است که از حدود ۲۰ سال قبل به یک استاندارد در صنعت IT تبدیل شده است اما از آنجایی که بسیاری مشتریان برای SSL جستجو می‌کنند، این اصطلاح هنوز در بسیاری از صفحه‌های فروش محصول‌های امنیتی به چشم می‌خورد.

منبع: https://www.cloudflare.com/learning/ssl/what-is-ssl