نوشته‌ها

گواهینامه SSL رایگان CloudFlare

گواهینامه SSL رایگان CloudFlare:

گواهینامه SSL رایگان CloudFlare

قبل از هر چیز به معرفی انواع گواهینامه های SSL ارائه شده توسط CloudFlare میپزدازیم :

گواهینامه اس اس ال انعطاف پذیر یا Flexible SSL

با استفاده از گواهینامه رایگان Flexible SSL یک کانکشن رمز گذاری شده یا به عبارتی Encrypt شده با پروتکل HTTPS  بین کاربر و وب سایت (وب سرور) شما برقرار خواهد شد، کانکشن بین کلاودفلیر و وب سایت شما همچنان غیر امن و از طریق http برقرار خواهد بود.  برای استفاده از این گواهینامه SSL نیازی به وجود و یا نصب هیچ گواهینامه حقیقی  و یا حتی غیر حقیقی و امضا نشده SSL بر روی سرور خود ندارید و کاربران سایت شما به سادگی قادر به باز کردن سایت با HTTPS و مشاهده آیکون lock روی مرورگر خواهند بود. تنها مشکل استفاده از این سرویس، باز نشدن سایت در بعضی از ورژن های بسیار قدیمی اینترنت اکسپلورر است. در بعضی از اسکریپت ها برای استفاده از این نوع اس اس ال رایگان نیاز به نصب پلاگین های مربوطه خواهید داشت. برای مثال اگر از وردپرس استفاده میکنید، نصب این پلاگین ضروری خواهد بود :

پلاگین CloudFlare طراحی شده توسط تیم رسمی کلاودفلیر

گواهینامه اس اس ال کامل یا CloudFlare Full SSL

سرویس Full SSL در ابتدای معرفی توسط CloudFlare رایگان نبود و در پلن Pro ارائه میشد ولی خوشبختانه مدتیست که از لیست سرویس های پولی خارج شده است. با استفاده از سرویس اس اس ال رایگان CloudFlare Full SSL ارتباط و کانکشن بین کاربر و سایت و همچنین بین CloudFlare و سایت کاملا امن و از طریق پروتکل HTTPS خواهد بود. برای استفاده از سرویس Full SSL وجود یک گواهینامه غیر واقعی یا اصطلاحا امضا نشده توسط کاربر ضروری است. در واقع کلاود فلیر حقیقی بودن یا نبودن گواهینامه اس اس ال مورد بحث را بررسی نخواهد کرد.

گواهینامه اس اس ال Full SSL (strict) CloudFlare

این سرویس به دلیل رایگان نبودن و از طرفی نیاز داشتن به یک گواهینامه ولید SSL موضوع بحث ما نخواهد بود.

گواهینامه SSL رایگان CloudFlare

چند نکته ساده ولی مهم در رابطه با سرویس SSL رایگان CloudFlare وجود داره که در ادامه توضیح خواهم داد.

  • سرویس رایگان SSL ارائه شده توسط CloudFlare روی دامنه ملی دات آی آر قابل استفاده نیست.
  • در صورت استفاده از سرویس Flexible SSL حتی نیاز به ایجاد تغییر در VHOST ها نیست.
  • در صورت استفاده از سرویس Full SSL حتما باید کلیه VHOST ها ویرایش شده و پورت آن ها از ۸۰ به ۴۴۳ تغییر کنید و در غیر این صورت سایت از دسترس خارج خواهد شد.
  • در صورت استفاده از SSL رایگان CloudFlare سایت شما با هر دو پروتکل http و https قابل دسترس است. در صورتی که تمایل به باز شدن سایت فقط با SSL را دارید میتوانید از طریق .htaccess و یا nginx.conf ریرایت های مورد نظر را اضافه کنید یا از قسمت Page Rules پنل کلاودفلیر روی گزینه Always use https کلیک کرده و رول های مربوط به ریدایرکت شدن سایت از http به https را در آن وارد کنید. استفاده همزمان از هر ۲ روش بهترین گزینه است.

انواع گواهی‌نامه‌های SSL: گواهی‌های SGC همراه با جمع بندی

گواهی‌های Server-Gated Cryptography یا SGC

مربوط به زمانی می‌شدند که بنا به مقررات دولت آمریکا مرورگرهایی که در کشورهای خارجی استفاده می‌شدند تنها می‌توانستند رمزگذاری ۴۰ یا ۵۶ بیتی داشته باشند. گواهی SGC به مرورگرها اجازه می‌داد با رمزگذاری ۱۲۸بیتی به سرور صاحب گواهی وصل شوند. این‌ها همه برای اواسط دهه‌ی ۹۰ میلادی بود. بعدها دولت آمریکا این محدودیت صادراتی را لغو کرد و نسل مرورگرهایی که به عمد قابلیت رمزگذاری‌شان محدود شده بود بر افتاد.

این روزها هیچ کس از مرورگرهای قدیمی‌یی که چنین شرایطی داشتند استفاده نمی‌کند -مرورگرهایی مانند IE 5- و دریافت این نوع گواهی‌ها هیچ فایده‌ای ندارد. با این حال برخی از مراجع صدور گواهی هنوز وانمود می‌کنند گواهی‌های SGC چیزهای ارزشمندی‌اند که باید برای آن‌ها پول بیش‌تری پرداخت. باور نکنید و دنبال تهیه‌ی این گونه گواهی‌ها نباشید.

جمع‌بندی:

به طور خلاصه کل مفاهیمی که برای جمع‌بندی کلی انواع گواهی SSL باید بدانید این‌هاست:

تفاوت قیمت‌ها مربوط به فرآیند تأیید اعتبار شما به عنوان درخواست‌دهنده‌ی گواهی و تفاوت تعداد دامنه‌ها و زیردامنه‌هایی است که می‌توانند با هم از یک گواهی SSL استفاده کنند.

-گواهی ممکن است شما را فقط در سطح دامنه تأیید کند (DV)

-گواهی می‌تواند شما را در سطح دامنه و شرکت/سازمان تأیید کند (OV یا EV).

-گواهی EV نوار آدرس را سبز می‌کند.

-هر گواهی SSL فقط برای یک زیردامنه صادر می‌شود.

-گواهی‌های Wildcard برای هر تعداد زیردامنه قابل استفاده‌اند. ویژگی Wildcard معمولاً با تأییدیه‌ی سطح سازمانی ارایه می‌شود، اما ممکن است آن را شرکتی روی گواهی‌های DV نیز بفروشد.

-گواهی‌های SAN یا UCC برای بیش از یک دامنه قابل استفاده‌اند. با این حال تعداد این دامنه‌ها محدود است. این گواهی‌ها هم معمولاً و نه ضرورتاً با تأییدیه‌ی سطح سازمانی هستند.

-گواهی‌های SGC در دوران ما کارآیی ندارند.

انواع گواهی‌نامه‌های SSL: گواهی‌های Wildcard و SAN (یک گواهی برای بیش از یک دامنه)

چگونه می توان از یک گواهی، برای پشتیبانی از چند دامنه و زیر دامنه استفاده کرد؟

گواهی Wildcard ممکن است از هر کدام از انواع بالا باشد، بنابراین تفاوت آن در فرآیند تأیید معتبر بودن درخواست‌دهنده نیست. بلکه تفاوت در کارآیی آن است. وقتی شما یک گواهی SSL دریافت می‌کنید آن را فقط برای یک زیردامنه از دامنه‌ی اصلی‌تان می‌توانید به کار ببرید حالا این زیردامنه می‌تواند www.yourdomain.com باشد یا login.yourdomain.com. اگر شما بیش از یک زیردامنه دارید که برایشان احتیاج به گواهی SSL و مبادله‌ی امن اطلاعات دارید ممکن است مجبور شوید برای هر کدام یک گواهی بخرید. برای کاهش هزینه‌ها در چنین مواردی می‌توانید از گواهی‌های Wildcard استفاده کنید. یک گواهی Wildcard را می‌توانید برای هر تعداد زیردامنه استفاده کنید. با پرداخت هزینه‌ی بیش‌تر گواهی SSL شما برای *.yourdomain.com صادر می‌شود.

گواهی SAN یا UCC

یک گواهی Subject Alternative Name یا گواهی UCC (Unified Cummunications Certificates) را می‌توانید برای چند دامنه به کار ببرید. روش SAN ممکن است روی هر کدام از انواع گواهی اصلی پیاده‌سازی شده باشد؛ بنابراین فرآیند تأیید فرقی با موارد قبلی ندارد. اما در این مورد شما علاوه بر نام دامنه‌ی اصلی می‌توانید در هنگام درخواست دامنه‌های دیگری نیز تعیین کنید که گواهی بر روی آن‌ها نیز کار کند.
تفاوت این نوع گواهی با گواهی Wildcard محدودیت تعداد دامنه‌هایی است که می‌توانید گواهی خود را به آن‌ها توسعه دهید. گواهی wildcard برای هر تعداد زیردامنه که شما بتوانید تعریف کنید کار می‌کند اما گواهی SAN فقط برای تعداد مشخصی دامنه کار می‌کند (مثلاً ۱۰۰ دامنه). به علاوه در گواهی wildcard شما نیازی ندارید برای افزودن زیردامنه‌ی جدید درخواست تغییر در گواهی‌تان بدهید ولی در مورد گواهی‌های SAN باید درخواست کنید نام دامنه‌ی جدید نیز به لیست دامنه‌هایتان افزوده شود.

انواع گواهی‌نامه‌های SSL: گواهی‌های EV (تأیید گسترش یافته)

گواهی‌نامه SSL با تأیید سطح گسترش یافته (Extended Validation SSL Certificate):

برای دریافت گواهی‌های Extended Validation همان مراحل مربوط به گواهی‌های OV که در بالا اشاره شد یعنی تأیید دامنه و تأیید هویت سازمان درخواست‌دهنده لازم است. تفاوت در این است که با دریافت یک گواهی EV وقتی مشتری به سایت شما وارد می‌شود نوار آدرس یا بخشی از آن به رنگ سبز در می‌آید که به روشنی به مشتری نشان می‌دهد که شما حاضر بوده‌اید برای اطمینان خاطر به او از دقت و امنیت کارتان بالاترین هزینه را برای دریافت گواهی، تأیید فعالیت‌تان، و امنیت تبادل اطلاعات او با سرور خودتان بپردازید.

دقیقاً به همین دلیل است که در معرفی گواهی OV گفتیم اگر واقعاً به دنبال طی مراحل تأیید هویت شرکت‌تان توسط صادرکننده‌ی گواهی هستید بهتر است بیش‌تر هزینه کنید و گواهی‌ EV تهیه کنید. در مورد گواهی‌های OV این نوار سبز در نوار آدرس نشان داده نمی‌شود، یعنی میزان اهمیت دادن شما به مشتری به اندازه‌ی کافی مشهود نیست! مراحل تأیید سازمان در مورد این گواهی‌ها کامل‌تر است و ممکن است شامل چک کردن شماره تلفن و برقراری تماس هم شود.

انواع گواهی‌نامه‌های SSL: گواهی‌های OV (تأیید سازمان)

گواهی‌نامه SSL با تأیید سطح سازمان (Organization Validated SSL Certificate):

چنان‌که گفتیم در روش رمزگذاری تفاوتی میان انواع گواهی SSL که یک مرجع صدور گواهی (Certificate Authority) صادر می‌کند وجود ندارد اما میزان اعتبار گواهی را محدوده‌ی تأیید اعتباری که مرجع صدور انجام داده تعیین می‌کند. در گواهی‌های Organization Validated دامنه‌ی تأیید اعتبار علاوه بر تأیید دامنه شامل تأیید هویت درخواست‌کننده نیز می‌شود. این تأیید هویت معمولاً شامل دریافت گواهی قانونی شرکت یا سازمان درخواست‌دهنده برای گواهی می‌شود. مدارکی مانند گواهی ثبت شرکت، مجوز کار، پروانه‌ی کسب، گواهی بانکی، گذرنامه یا گواهی‌نامه (در صورت درخواست شخصی)، و تأیید درخواست گواهی با امضای رسمی شرکت در این مورد از متقاضی دریافت می‌شود. ارسال این مدارک برای آن است که مرجع صدور گواهی بتواند قانونی بودن فعالیت شما را به عنوان یک واحد اقتصادی در تأیید کند. معمولاً ارسال مدارک درخواست شده کفایت می‌کند و صادرکنندگان گواهی چندان هم به کشیدن مو از ماست مقید نیستند. برای آن‌ها کافی است که بتوانند بگویند بررسی کافی انجام شده و بر اساس مدارکی که دریافت کرده‌اند گواهی برای یک واحد قانونی صادر شده است.

بعضی از مراجع صدور گواهی این گواهی را یک باره در قالب گواهی‌های EV ارایه می‌دهند. برای یک شرکت معتبر که می‌خواهد پول کافی بپردازد تا اعتبارش مورد تأیید قرار بگیرد پرداخت پول بیش‌تر و دریافت گواهی EV به دلیلی که در مطلب بعد خواهیم آورد معقول‌تر است. اگرچه گاهی این پول بیش‌تر واقعاً بیش‌تر است.

انواع گواهی‌نامه‌های SSL: گواهی‌های DV (تأیید دامنه)

گواهی‌نامه SSL با تأیید سطح دامنه (Domain Validated SSL Certificate):

گواهی DV یا Domain Validated ساده‌ترین نوع گواهی SSL است که فرآیند تأیید اعتبار آن تنها دامنه را در بر می‌گیرد. منظور از تأیید اعتبار دامنه (Domain Validation) این است که صادرکننده‌ی گواهی تأیید می‌کند که این دامنه را شما خریده‌اید و به عنوان مالک دامنه اقدام به خرید گواهی SSL نموده‌اید. این گواهی از طریق رمزگذاری SSL تضمین می‌کند که اطلاعات تبادل شده میان سرور وب شما و مرورگر وب کاربر به شکل محرمانه انجام می‌گیرد.

این گواهی هویت وب‌سایت و شرکت شما را تأیید نمی‌کند و حتا سایت‌های کلاه‌بردار هم به‌راحتی می‌توانند این نوع گواهی‌نامه‌ی SSL را تهیه کنند و با وانمود کردن به فعالیت قانونی از آن سوءاستفاده کنند. سایت‌هایی که به تجارت الکترونیک علاقه دارند می‌توانند به دنبال کلاس‌های گواهی بالاتر با سطح تأییدیه‌ی بهتر باشند. اما باید توجه کرد که از نظر سطح رمزگذاری تفاوتی بین این گواهی و کلاس‌های بالاتر نیست. تنها تفاوت میان گواهی‌ها در میزان اعتباری است که گواهی به وب‌سایت شما می‌دهد و این اعتبار تنها مربوط به فرآیندی می‌شود که مرجع صادرکننده‌ی گواهی برای تأیید اعتبار شما به عنوان درخواست‌کننده‌ی گواهی طی می‌کند. فرض بر این است که در گواهی‌های سطح بالاتر این فرآیند شامل سازمان یا شرکت درخواست‌کننده و مجوز قانونی آن برای فعالیت نیز می‌شود.

با داشتن گواهی SSL حتا در سطح DV بازدیدکننده در نوار آدرس به جای http می‌تواند https را مشاهده کند. به علاوه در گوشه نوار آدرس یا پایین مرورگر علامت قفل دیده می‌شود که به معنی رمزگذاری شدن اطلاعات مبادله شده با وب‌سایت است.

موارد استفاده از گواهی SSL

چرا باید از گواهی‌نامه SSL در وب‌سایت استفاده کرد؟

اگر یک فروشگاه مجازی دارید، یا یک وب‌سایت بانک‌داری الکترونیکی، یا هر گونه وب‌سایت دارای خدمات الکترونیکی، ممکن است مشتریان به سبب نگرانی از محرمانگی و امنیت اطلاعات‌شان وب‌سایت شما را ترک کنند. یک سرور با گواهی SSL مختص خود که توسط یک مرجع رسمی صدور گواهی‌نامه SSL که مختصراً به نام CA شناخته می‌شود صادر شده باشد به کاربران اطمینان می‌دهد که سرور، دامنه و وب‌سایت را همان سازمان یا شرکتی اداره می‌کند که در وب‌سایت ادعا شده و محتوا و فعالیت اقتصادی وب‌سایت قانونی است.

گواهی SSL را برای طیف وسیعی از تراکنش‌های الکترونیکی می‌توان استفاده کرد، از جمله:

ایمیل

تجارت الکترونیک

اپلیکیشن‌های گروهی وب

انتقال وجه الکترونیکی

برای مثال مشتری‌ ای که در یک فروشگاه الکترونیکی خرید می‌کند برای تأیید هویت فروشگاه یا درگاه پرداخت و محتوایی که وب‌سایت نمایش داده است نیاز به مشاهده‌ی گواهی SSL سرور دارد. بدون تأیید اعتبار سرور خریدار نمی‌تواند به سیستم فروش سایت اعتماد کند و اطلاعات حساسی نظیر شماره‌ی کارت اعتباری خود را در وب‌سایت و از بستر اینترنت وارد کند.

مسأله فقط تمایل مشتری و بازدیدکننده‌ی وب‌سایت به اطمینان به فرآیند طی شده برای انتقال اطلاعاتش نیست. خاصیت اصلی گواهی SSL این است که با کمک یک جفت کلید رمزگذاری عمومی و خصوصی اطلاعات انتقال داده شده را به رمز در می‌آورد و از دست‌رس متجاوزان فضای آنلاین دور نگه می‌دارد. به همین دلیل برای هر درگاه پرداخت و وب‌سایت بانک‌داری اینرنتی نصب یک گواهی SSL معتبر روی سرور هاست ضرورت دارد.

تعریف گواهینامه SSL

گواهی SSL چیست؟

افراد و سازمان‌ها روزانه اطلاعات زیادی را از طریق اینترنت ارسال و دریافت می‌کنند. برخی از این اطلاعات مانند اخبار یا نوشته‌های یک وبلاگ‌نویس، از لحاظ امنیت کاربر یا سازمان چندان حساس نیست، اما اطلاعاتی مانند ایمیل‌ها، اطلاعات حساب‌های بانکی، رمزهای عبور، و… وجود دارند که قطعاً مایل نیستیم در اختیار دیگران قرار بگیرد.

مثلاً اگر درگاه پرداخت یک بانک برای خرید اینترنتی رمز عبور مشتریان را دریافت می‌کند و فاقد پروتکل امنیتی باشد ممکن است اطلاعات ورود به حساب مشتری در انتقال میان سرورها دزدیده شود. این مطلب در مورد همه‌ی سایت‌هایی که اطلاعات خصوصی کاربران را نگه‌داری می‌کنند صادق است.

زمانی که اطلاعات را در مرورگر وارد می‌کنیم، اطلاعات بین کامپیوتر ما (Client) و کامپیوتری که سایت روی آن قرار دارد (Server) مبادله می‌شوند. باید به طریقی ارتباط بین کلاینت و سرور را امن کنیم. این کار با رمزگذاری اطلاعات انجام می‌شود. در این صورت حتی اگر افراد خراب‌کار به آن دست‌رس پیدا کردند با مانع شکستن رمز روبه‌رو می‌شوند و نمی‌توانند از محتوای آن اطلاع پیدا کنند.

یکی از روش‌های متداول رمزگذاری اینترنتی استفاده از پروتکل Secure Sockets Layer) SSL) است. پروتکل SSL  یا «لایه‌ی سوکت‌های امن» برای امن کردن پروتکل‌های غیرامن اینترنت استفاده می‌شود. SSL به کمک الگوریتم‌های رمزنگاری داده‌هایی را که قرار است از یک کانال ارتباطی غیرامن -یعنی بستر اینترنت- بگذرد برای هکرها ناخوانا می‌سازد تا محرمانه ماندن داده‌ها تضمین شود. SSL عموماً برای محافظت از ارتباطات میان مرورگرهای وب و سرورهای وب به کار می‌رود. اما استفاده از آن برای ارتباطات سرور به سرور و برنامه‌های کاربردی تحت وب در حال گسترش است.

وقتی به وب‌سایتی وارد می‌شوید به چند روش می‌توانید از مرورگرتان متوجه شوید که آن سایت از یک گواهی‌نامه‌ی SSL معتبر استفاده می‌کند و متعلق به همان فرد یا سازمانی است که ادعا می‌کند:

ابتدای URL از http به https تبدیل می‌شود

یک علامت قفل بسته در گوشه‌ی نوار آدرس ظاهر می‌شود.

برای وب‌سایت‌های دارای SSL با تأیید گسترش یافته (Extended Validation SSL Certificate) یا EV نوار آدرس یا بخشی از آن سبزرنگ می‌شود.

هر کسی می‌تواند برای خود گواهی SSL ایجاد کند. این نوع گواهی‌نامه هم همان کار رمزگذاری اطلاعات را انجام خواهد داد؛ اما اعتبار این گواهی‌های خودامضا (self-signed) را مرورگرهای وب به طور پیش‌فرض نمی‌پذیرند. در نتیجه بازدیدکننده‌ی سایت باید مسؤولیت قبول اعتبار گواهی را خود بپذیرد. اعتبار گواهی SSL به این است که آن را یک مرجع صدور گواهی (Certificate Authority) یا CA صادر کرده باشد. این اعتبار از آن‌جا ایجاد می‌شود که فرض بر آن است که صادرکننده‌ی گواهی‌نامه خط‌مشی‌های کلی سنجش اعتبار درخواست‌کننده‌ی گواهی را رعایت کرده است. از مرورگر می‌توانید جزییات یک گواهی‌نامه‌ی SSL را مشاهده کنید. این جزییات معمولاً حاوی اطلاعات زیر است:

کلید عمومی مالک گواهی

نام مالک

تاریخ انقضای کلید عمومی

نام صادرکننده (CA)

شماره‌ سریال گواهی

امضای دیجیتال صادرکننده