گواهی الکترونیکی SSL/TLS

گواهی الکترونیکی (digital certificate) شناسه دیجیتال یک موجودیت (مانند وب‌ سایت، فرد، سرور، دستگاه شبکه، و غیره) در تعاملات الکترونیکی می ‌باشد. در واقع، همانطور که در تعاملات غیر الکترونیکی، "کارت ملی" یا شناسنامه یک فرد شناسه وی می ‌باشد، در تعاملات الکترونیکی "گواهی الکترونیکی" شناسه فرد (و بطور کلی هر موجودیت) می ‌باشد. در تعاملات الکترونیکی (برخلاف تعاملات رو در رو)، طرفین ممکن است نتوانند هویت طرف مقابل را شناسایی کنند. این چالش می ‌تواند منجر به برخی مشکلات امنیتی شود. مثلاً کاربران یک سایت ممکن است با یک سایت جعلی دیگر فریب داده شوند.

گواهی الکترونیکی، رایج ‌ترین راه‌ حل مواجهه با چالش بالا است. یک موجودیت با استفاده از گواهی الکترونیکی خود می ‌تواند به طرف مقابل اطمینان دهد که با موجودیت موردنظرش در تعامل است. برای مثال، یک سایت با استفاده از گواهی الکترونیکی می ‌تواند به کاربرانش اطمینان دهد که داده ‌های خود (مثلاً نام کاربری و گذرواژه، یا اطلاعات حساب بانکی) را به سایت جعلی ارسال نمی‌ کنند.

Secure Socket Layer (SSL) و Transport Layer Security (TLS) پروتکل‌ های امنیتی هستند ‌که به منظور تأمین امنیت تبادلات روی شبکه و اینترنت استفاده می‌ شوند. به بیان دقیق‌ تر، SSL/TLS یک ارتباط رمز‌گذاری ‌شده و تصدیق‌ اصالت ‌شده بین سرویس ‌دهنده (Server) و سرویس ‌گیرنده (Client) فراهم می ‌کند. به عنوان نمونه، SSL یک لینک رمزگذاری‌شده بین مرورگر کاربر و وب‌ سایت فراهم می ‌کند. این لینک تضمین می‌ کند که داده‌ های مبادله‌ شده بین مرورگر و وب ‌سایت توسط دیگران قابل مشاهده و تغییر نیستند.

استفاده از SSL، مستلزم دریافت گواهی الکترونیکی SSL است.

دو کاربرد اصلی گواهی الکترونیکی SSL، تصدیق اصالت سرویس ‌دهنده و سرویس‌ گیرنده (به طور اختیاری) و رمزگذاری ارتباطات بین آن ‌ها می ‌باشد. از دیدگاه تجاری، یکی از پرکاربردترین موارد استفاده از گواهی الکترونیکی SSL‌ تأمین امنیت وب ‌سایت ‌هایی است که در زمینه کسب و کار اینترنتی فعالیت می‌ کنند. در صورتی که یک سایت از SSL استفاده کند، کاربران می ‌توانند اطمینان حاصل ‌نمایند وب ‌سایتی که بازدید می ‌کنند، همان وب ‌سایت موردنظرشان است و اطلاعات خود را به سایت درستی ارسال می‌ کنند. بدین ‌سان، از حملاتی مانند فیشینگ مبتنی بر جعل سایت جلوگیری می ‌شود. در حمله مذکور، حمله ‌کننده (مثلاً یک رقیب تجاری) با ایجاد یک وب‌ سایت با ظاهری کاملاً مشابه سایت اصلی، با فریب دادن کاربران، آن‌ها را به سایت جعلی هدایت کرده و امنیت آن‌ ها را به مخاطره می ‌اندازد؛ مثلاً اطلاعات کاربران (نام کاربری و گذرواژه، شماره کارت اعتباری، و غیره) را به سرقت می برد یا در مورد مشتریان سایت اطلاعات جمع‌آوری می‌کند. در صورتی که از گواهی الکترونیکی SSL‌ استفاده شود، از این حمله جلوگیری می ‌شود. علاوه بر تصدیق اصالت سرویس ‌دهنده (سایت)، با رمزگذاری ارتباطات بین کاربران و سایت، کاربران مطمئن می ‌شوند که ارتباط آن ‌ها با سایت، ارتباطی امن و قابل اطمینان است؛ بدین معنا که اطلاعات آن ‌ها بدون استراق سمع، دستکاری، و جعل تبادل می ‌شوند.

گواهی الکترونیکی SSL می ‌تواند برای کاربرد‌های مختلف مانند امن‌ سازی وب‌ سایت، سرور ایمیل، سرور پایگاه داده، سرور فایل، و غیره استفاده شود که رایج ‌ترین آن‌ ها برای وب ‌سایت (سرویس HTTPS) است. علاوه بر کاربرد گواهی الکترونیکی، بر اساس تعداد دامنه ‌ها نیز می ‌توان نوع گواهی الکترونیکی را دسته بندی کرد:

• گواهی الکترونیکی معمولی: این گواهی الکترونیکی فقط برای یک دامنه (مثلاً www.mydomain.com) صادر می‌ گردد. دقت کنید، از این گواهی الکترونیکی نمی ‌توان برای زیردامنه‌ های یک دامنه (مثلاً mail.mydomain.com) استفاده کرد. بدیهی است که اگر بخواهیم چندین دامنه یا زیر دامنه‌ های یک دامنه را امن کنیم، برای هر یک باید از گواهی الکترونیکی مجزایی استفاده شود که به جای این کار، توصیه می ‌شود از گواهی‌ های الکترونیکی SAN یا Wildcard (که در زیر توضیح داده شده ‌اند) استفاده شود.
• گواهی الکترونیکی Wildcard: این گواهی الکترونیکی می‌ تواند تمام زیردامنه‌های سطح یک (first level subdomain) روی یک دامنه را امن کند. برای مثال، در صورتی که یک گواهی الکترونیکی برای زیردامنه‌ های mydomain.com داشته باشیم (یک گواهی الکترونیکی با نام *.mydomain.com)، می ‌توانیم زیردامنه‌های www.mydomain.com ،mail.mydomain.com، secure.mydomain.com، و بطور کلی هر زیردامنه ‌ای که به جای * قرار گیرد را امن کنیم.

هشدار: در صورتی که گواهی الکترونیکی را برای *.mydomain.com دریافت کنیم، نمی ‌توانیم آنرا برای FQDNی مثل server1.mail.mydomain.com (با دو سطح زیردامنه) یا برای mydomain.com استفاده کنیم.

توجه: اغلب سرور‌ها، دستگاه‌ ها، سرویس ‌ها، و پلتفرم‌ ها از این نوع گواهی الکترونیکی به خوبی پشتیبانی می ‌کنند. با این حال، برخی کاربردی‌ های محدود مانند Oracle Wallet Manager، Microsoft Office Communication Server ، و Microsoft Lync Server از این نوع گواهی الکترونیکی پشتیبانی نمی کنند. دقت کنید، این موضوع به دلیل صدور گواهی‌ الکترونیکی توسط مرکز میانی پارس‌ ساین نیست، بلکه محدودیت خود کاربرد می ‌باشد.

• گواهی الکترونیکی SAN یا UC (Unified Communications): با استفاده از این گواهی الکترونیکی می ‌توان چند نام دامنه و زیردامنه یا نام سرور را امن کرد. در واقع، یک گواهی الکترونیکی برای چند دامنه صادر می ‌شود. برای مثال، می ‌توان همه دامنه‌ های www.my-ir-domain.ir، www.my-com-domain.com، mail.mydomain.com، myserver.local، mydomain.ir، و حتی آدرس IP سرور را در قالب یک گواهی الکترونیکی امن کرد. از این گواهی الکترونیکی می‌توان در Live Communications Server و Exchange Server استفاده نمود. با این حال، کاربرد آن به این موارد محدود نبوده و در سرور‌هایی مثل Apache و IIS نیز می ‌توان از آن استفاده کرد. استفاده از گواهی الکترونیکی SAN نسبت به دو نوع گواهی الکترونیکی دیگر دارای مزایای زیر است:

1. برخلاف گواهی الکترونیکی معمولی که فقط یک نام دامنه و گواهی الکترونیکی Wildcard که فقط زیردامنه‌ ها را امن می ‌کند، با استفاده از گواهی الکترونیکی SAN می‌ توان چند نام دامنه و زیردامنه یا نام و IP سرور را امن کرد. با استفاده از این ویژگی می ‌توان با یک گواهی الکترونیکی نام‌ های شبکه داخلی (internal network) و نام‌ های دامنه خارجی (external domain names) را امن کرد.
2. در اغلب موارد، استفاده از گواهی الکترونیکی SAN هزینه کمتری دارد. برای مثال، در صورتی که بخواهیم دو نام دامنه را امن کنیم، احتیاج به دو گواهی الکترونیکی معمولی داریم، در حالی که یک گواهی الکترونیکی SAN برای این مورد هزینه کمتری دارد. علاوه بر این، در استفاده از گواهی الکترونیکی SSL روی سرور، به ازای هر گواهی الکترونیکی معمولاً به یک آدرس IP اختصاصی (dedicated IP address) نیاز می باشد که هزینه بالاتری ایجاد می ‌کند. البته لازم به ذکر است استفاده از یک IP‌ اختصاصی برای چند دامنه با گواهی‌ های الکترونیکی معمولی نیز با استفاده از قابلیت (Server Name Indication) SNI به لحاظ عملیاتی امکان‌ پذیر است اما باید شرایط خاصی وجود داشته باشد؛ مثلاً نسخه‌ های خاصی (معمولاً نسخه‌های قدیمی) از مرورگرها و وب ‌سرورها از این قابلیت پشتیبانی نمی‌ کنند. برای اطلاعات کامل‌ تر در مورد SNI به اینجا مراجعه نمایید. همچنین لازم به ذکر است متأسفانه در برخی ارائه ‌دهندگان خدمات هاستینگ‌، امکان استفاده از SNI وجود نداشته و مشتری برای هر گواهی الکترونیکی باید IP مجزایی خریداری نماید.

به منظور استفاده از گواهی الکترونیکی SSL برای یک دامنه، داشتن IP اختصاصی (Dedicated IP) الزامی است. معمولاً به ازای هر دامنه (با قابلیت SSL)، باید یک IP اختصاصی مجزا وجود داشته باشد. جهت استفاده از یک IP‌ اختصاصی برای چند دامنه با قابلیت SSL، دو راه وجود دارد:

• استفاده از قابلیت (Server Name Indication)SNI در سرور: استفاده از این قابلیت مستلزم شرایط خاصی است؛ مثلاً نسخه‌ های خاصی (معمولاً نسخه‌ های قدیمی) از مرورگرها و وب‌ سرورها از این قابلیت پشتیبانی نمی‌ کنند. برای اطلاعات کامل ‌تر در مورد SNI به اینجا مراجعه نمایید.
• استفاده از گواهی الکترونیکی SAN یا گواهی الکترونیکی Wildcard :
• در صورتی که بخواهیم برای چند دامنه مختلف، فقط یک IP اختصاصی جهت استفاده از قابلیت SSL داشته باشیم، می توان از یک گواهی الکترونیکی SAN استفاده نمود. لازم به ذکر است که دامنه‌‌ ها باید روی یک سرور باشند.
• در صورتی که بخواهیم برای چند زیردامنه مختلف، فقط یک IP اختصاصی جهت استفاده از قابلیت SSL داشته باشیم، می ‌توان از گواهی الکترونیکی Wildcard استفاده نمود. لازم به ذکر است که زیردامنه ‌‌ها باید روی یک سرور باشند.

برای مطالعه نحوه ایجاد فایل csr جهت درخواست گواهی الکترونیکی امضای دیجیتال ssl به این صفحه مراجعه کنید. همچنین در این صفحه می توانید ویدیو آموزشی آن را مطالعه کنید.