SSL چيست؟

تكنولوژي SSL نوعي پروتكل ايمني است. اين تكنولوژي استاندارد ايمن سازي ارتباطات وتبادلات از راه اينترنت است. SSL در تمامي مرورگرهاوسرورهاي اصلي شبكه نصب شده است و از اين رو در تجارت الكترونيكي و فعاليتهاي مربوط به اين نوع داد و ستدها در شبكه نقش عمومي دارد. در پروتكل S SL از تاييدهاي ديجيتال براي ايجاد مسير ارتباطي دراصطلاح Pipe Line ايمن و محرمانه ميان دو شخص حقيقي يا حقوقي استفاده مي شود. اطلاعاتي كه در ارتباطي از نوع SSLمنتقل مي شوند،

را نمي توان بدون متوجه شدن دو طرف ارتباط تحريف يا جعل كرد، در صورت بروز چنين وقايعي دو طرف بي درنگ از وجود تحريف وجعل آگاه مي شوند. جديدترين ويرايش S SL بهTSL موسوم است. اغلب مي بينند اين دو واژه به جاي يكديگر به كار مي روند. ازآنجا كه اصطلاح SSL بيشتر شناخته شده است، دراين مقاله استفاده از آن را بيشتر توضيح مي دهيم.

چرا SSL ؟
هنگامي كه به فروشگاهي قدم مي گذاريد، مي دانيد با چه كسي سر و كارداريد. محصولات، ماركها وفرشنده ها را مي بينيد، مي توانيد از نكته مطمئن باشيد كه اگر چيزي درباره خريد شما درست نباشد، مي توانيد به مدير يا مالك فروشگاه مراجه كنيد.
اما در اينترنت، بازديدكنندگان يك وب سايت معمولا راهي مطمئن براي آگاهي از هويت مالك وب سايت(فروشنده مجازي) ندارند. هنگامي كه مشترياني از وب سايتي با قصد خريد از طريق اينترنت ديدن مي كنند، مي خواهند بدانند به چه كسي پول پرداخت مي كنند. آنها مي خواهند دلايلي براي شناخت اثبات هويت مالك وب سايت داشته باشندومي خواهند بدانند اطلاعات شخصي ارسال شده به وب سايت را ديگر كاربران اينترنت نمي توانند در بين راه بدست آورند.

در اينجا استفاده از پروتكل SSL مطرح مي شود. SSL پروتكلي است كه شركت Net Scape ايجاد كرده است و براي مرورگر و سرور شبكه امكان بر قراري ارتباط ايمن را فراهم مي سازد. اين پروتكل به مرورگر امكان مي دهد، هويت سرور شبكه را تصديق كند. در پروتكل SSL ضرورت دارد، سرور شبكه تاييديه ديجيتال را براي برقراري ارتباط از نوع SSL نصب كرده باشد. به لطف وجود مرورگر مجهز به تاييديه SSL مشتري متصل شونده به وب سايت ايمن از سه چيز اطمينان مي يابد:
الف)تاييد هويت: اينكه وب سايت واقعاً به كمپاني نصب كننده تاييديه تعلق دارد.
ب)خصوصي ماندن پيام: با استفاده از يك كليد مقطعي منحصر به فردSSL
تمام اطلاعات مبادله شده ميان سرور شبكه و مشتري شما رمزگذاري مي كند.
اين امرفرد را مطمئن مي كند كه اطلاعات شخصي در صورت سرقت شدن در بين راه قابل خوانده شدن نيستند.
ج)تماميت پيام: داده ها را روي اينترنت نمي توان تحريف كرد.

از اين مسئله مشتريان نيز سودي مي برند، زيرا مي دانند با بررسي كردن جزئيات موجود در تاييديه مي توانند مطمئن شوند، كه وب سايتي كه با آن سر و كار دارند واقعاً همان سايت مورد تقاضاست. اگر براي شما اهميت دارد، مشتريان خود را قانع كنيد كه هنگام ارسال اطلاعات در اينترنت خطري متوجه آنها نيست، بايد تاييديه SSL را به دست آوريد. اگربيش از يك قلمرو در اينترنت داريد كه بايد ايمن بماند، بايد بيش از يك تاييديه فراهم كنيد.
به دليل اختصاصي بودن اين تاييديه ها لازم است، به تعداد نام قلمروها تاييديه داشته باشيد.

چه كسي به تاييديه SSL نياز دارد؟
لايه SSL به عنوان راه حل برقراري ارتباط ايمن در شبكه تلقي مي شود. هر چند مشخص نيست، كه اين گونه اطلاعات زمينه اي را براي اعتماد كاربر ايجاد كند.
هرگونه دارنده وب سايتي كه داراي امكانات سفارشي اينترنت (Online) است و مي خواهد به مشتريان خود اطمينان دهد.هنگام ارسال اطلاعات درشبكه اي بازدرمعرض خطر نيستند به اين تاييديه ها نياز دارند.

چگونه اعلام كنيم يك وب سايت ايمن است ؟
اگر سايت وب تاييديهSSL نداشته باشد، كاربر شبكه علامت قفل باز شده در پنجره مرورگر مي بيند. اگر ميان مرورگر و سرور شبكه ارتباطي ايمن از نوع SSL برقرار شود، Http در آدرس شبكه به Https تبديل مي شود.
به عنوان مثال www.cnn.com//:Http به www.cnn.com//:Http تبديل مي شود.
مرورگري كه با روش SSL ارتباط برقراركرده است، علامت قفل را نشان مي دهد. براي آزمايش آنكه يك وب سايت تاييديه معتبر دارد يا خير سعي كنيد با وب سايت با استفاده از //: Httpsدر VRL به جاي //:Http ارتباط بر قرار كنيد.

هشدارهاي مرورگرها
هنگامي كه اطلاعاتي را به وب سايتي مي فرستيد كه تاييديه SSL ندارد مرورگر پيام هشداري به شما مي دهد.
به هرحال اگر از وب سايتي استفاده كنيد، كه تاييديه ديجيتال معتبر داشته باشد، به كاربر شبكه اطلاع داده مي شود كه وب سايتي را كه از آن ديدار مي كند، تاييديه ديجيتالي دارد كه آن را مسئول تاييديه شناخته شده اي صادر كرده است و به اين ترتيب هر نوع داده اي كه به اين سايت فرستاده مي شود، رمز گذاري شده است.

با بررسي تاييديه مشتري مي تواند تصديق كند كه وب سايت معتبراست و به چه كسي تعلق دارد؟
تاييديه SSLچيست؟
تاييديه ديجيتال حاوی اطلاعات زيراست:
• قلمروي كه تاييديه براي آن صادر شده است.
• مالك تاييديه
• محل فيزيكي مالك
• تاريخ اعتبار تاييديه

هنگامي كه به سرور شبكه ايمن مانند www.cnn.com//:Http متصل مي شويد، سرور فوق هويت خود را براي مرورگر با ارائه تاييديه ديجيتال احراز مي كند.اين فرايند احراز هويت فرايندي به نسبت پيچيده است كه تبادل كليد عمومي واستفاده از كليد مقطعي را براي رمز گذاري در برمي گيرد. اين فرايند از نظر كاربر يكپارچه است.
تاييديه اثباتي است بر اينكه يك شخص ثالث تاييد مي كند كه اين تاييديه واقعاً به همان وب سايت مورد ادعا تعلق دارد.
تاييديه معتبر مشتري را مطمئن مي سازد، كه اطلاعات شخص به طرز ايمن و به محل درست ارسال مي شوند.

جفت كليد هاي عمومي و خصوصي
هنگامي درخواست تاييديه مي كنيد، درسرور خود يك جفت كليد ايجاد مي كنيد. هنگامي كه يك جفت كليد براي امور تجاري شما ايجاد مي شود، كليد خصوصي روي سرورنصب مي شود و هيچ كس جز شما به آن دسترسي ندارد.
كليد عمومي منطبق با آن نيز به عنوان جزئي از تاييديه ديجيتال روي سرور نصب مي شود. كليدعمومي و خصوصي از نظر رياضي با يكديگر مرتبط هستند، ولي يكسان نيستند.

مشتري كه مي خواهد با شما به طور خصوصي مرتبط شود، ازكليد عمومي واقع در ID سرور شما براي رمز گذاري اطلاعات پيش از ارسال آنها استفاده مي كند.(اين فرايند نيز يكپارچه است.) تنها با استفاده از كليد خصوصي مي توان اين داده ها را رمز گشائي كرد.
مشتريان به خاطر اينكه مي دانند هيچ كدام از اطلاعاتي كه به سرور شما ارسال مي شود را شخص ثالثي نمي تواند ببيند، احساس امنيت مي كنند.

SUPER- CERT چيست؟
سوپر سرت تاييديه SSL است كه به مرورگرهاي بين المللي اجازه مي دهد به روش رمزگذاري ۱۲۸ بيتي ارتقا يابند.IE 5.01 و NET SCAPE 4.7 و مرورگرهاي جديدتر سوپرسرت را شناسايي مي كنند.
تصور بر آن است كه رمز گذاري ۱۲۸بيتي را نمي توان شكست به بيان ديگر سوپر سرت روش رمز گذاري را به سطح ۱۲۸بيتي ارتقا مي دهد.
فوايد تاييديه هاي SSL براي كسب وكار شما

• سوپر سرت ها وتاييديه هاي SSL امكانات زير را فراهم مي كنند:
• اطمينان از تماميت ايمني تجارتONLINE و زير ساختار شبكه شما. مشتريان به گونه روز افزوني درباره مزاياي ايمني SSL آگاه مي شوند و اغلب ازفروشگاههاي غير ايمن خريد نمي كنند. تمامي تجار اصلي در شبكه از ايمني SSL پشتيباني شده با ضمانت هاي قوي را استفاده مي كنند، كه مشتري را تشويق مي كند به طور آن لاين خريد كند.
• قابليت عملكرد با برنامه هاي كاربردي ومرورگرهاي استاندارد و پشتيباني اين برنامه ها از اين تاييديه ها
• تاييديه غير قابل تحريف هويت وب سايت شما.
• آساني استفاده.

بررسی كلاه برداري در شبكه
تقريبا تمامي فعاليتهاي اجتماعي، دولتي و تجاري به سمت الكترونيكي شدن پيش مي روند. شبكه جهاني رسانه بلامنازع براي ارائه چنين خدماتي است. خصائص ذاتي جهان فيزيكي باعث شده است، جعل كردن به اندازه كافي دشوار باشد، به گونه اي كه هرگونه كلاه برداري موفقي از اين نوع به صورت داستان در مي آيد. در نتيجه خدمات گيرندگان از جهان فيزيكي به دست يافتند كه به آنها اعلام مي كند، چه وقت مطمئن شوند خدماتي كه ارائه مي شود واقعاً همان است كه به نظر مي رسد. با اين وجود تغيير از حالت فيزيكي به فن آوري الكترونيك مشكلات جديدي را ايجاد كرده است:
بيتها قابل تغييرند، آيا به بصيرت مورد استفاده در جهان فيزيكي در دنياي الكترونيك نيز كافي است؟

چه وقت بر روي كه مي گويد، اينجا را كليك كنيد، كليك كنيم. چگونه مي توان دريافت، اين همان جايي است كه بايد آن را انتخاب كرد.
پاسخ به اين پرسش نيازمند بررسي اين نكته است، كه چگونه كاربران درباره اعتماد كردن به صفحه وب خاصي قضاوت مي كنند.
كاربران امروزه به طور روزمره با مطالبي درشبكه روبرو مي شوند، كه ويژگيهاي برخي موجوديتهاي فيزيكي مانند روزنامه، فروشگاه يا بنگاه دولتي رادارند. چگونه كاربران ارزيابي كنند كه اين ويژگيها واقعي هستند يا خير؟

تاييديه هاي SSL
نشانه واقعي قفل SSL نشان مي دهد، در مقطع كاري فعلي انتقال اطلاعات ميان مرورگر و سرورها در برابر سرقت وتحريف محافظت مي شود. تا به امروز رايج ترين سناريوي مربوط به SSL عبارت است از تاييد از جانب سرور.
سرور يك جفت كليد و يك تاييديه از جانب منبع موثق كه به كليد اصلي متصل شده است، براي اعلان هويت و ديگر اطلاعات مربوط به سرور پردازش مي كند. هنگام برقراري مقطع كاري SSL، مرورگر تاييديه سرور را ارزيابي مي كند و در صورت بودن مرورگر كليد SSL مقطعي قابل اشتراك با طرفي كه كليد عمومي مطابق با كلمه تاييد را دارد، ايجاد مي كند.

در نتيجه براي ارزيابي اينكه آيا مقطع كاري قابل اعتماد وجود دارد يانه ،كاربر پيشرفته نه تنها وجود علامت SSL را كنترل مي كند، بلكه در جستجوي اطلاعات تاييديه نيز بر مي آيد. Net scape 4.0
كاربر اين كار را با كليك كردن علامت امنيت در S tatus Bar انجام مي دهد. كه اين كار باعث ظاهر شدن پنجره اطلاعات امنيتي حاوي اطلاعات امنيت مربوط به سرور مي شود. در IE و Net Scape كاربر اين كار را با كليك دوتايي علامت SSL انجام مي دهد. از آنجا كنترل ميله ها به عهده خود ما بود، كنترل رويدادها پس از كليك كردن روي آيكونها نيز در اختيار ما بود.

به عنوان اثباتي بر اين مدعا در تقلب Net scape 4.0، كليك دوتايي بر آيكون امنيت پنجره جديدي را باز مي كرد. كه به پنجره امنيت واقعي شباهت داشت. انتظار مي رفت عمل مي كردند. كليك كردن ((نمايش اطلاعات تاييديه))باعث نمايش پنجره تقلبي يا تاييديه مي شود. كه اطلاعات تاييديه به دلخواه نمايش مي دهد.

آيكون SSLو StatusBar
يكي ديگراز نكات كليدي براي قانع كردن كاربر به اينكه ارتباط ايمن بر قرار شده است وجودعلامت قفل در Statusbar است.
روش ما مهاجم را از داشتن تاييديه از سازماني معتبر وهمچنين ازشناسايي به علت وجود همين تاييديه بي نياز مي ساخت.
در خلال مقطع كاري همزمان ممكن است بروز آوري ها وديگر اطلاعات به طورهمزمان در Statusbar نمايش داده شود كه اين امر همواره در پاسخ به رويداد كاربر رخ نمي دهد. هنگامي اين اطلاعات در روند تقلب اخلال ايجاد نمي كرداين رفتار را با استفاده ازتايمر Script J. نصب شده براي بررسي خاصيت Windows Status و كپي كردن آن در پنجره جعلي شبيه سازي مي كرديم. در مورد IIE براي انجام دادن اين حيله از خاصيت Innertext استفاده مي كرديم.

صفحه تقلبي حاوي لايه هاي گوناگوني است كه در اصل پنهان هستند و حاوي منتهاي وضعيتند. هنگامي كه ضرورت داشت اين لايه ها را آشكار كرديم مجدداً بايد متذكر شويم، از آنجا كه Statusbar جعلي تنها تصوير تحت كنترل ما بود هيچ چيزنمي توانست مانع باز نويسي بخشهايي از آن شود.

پنجره هاي هشدار SSL
مرورگرها به طور معمول پنجره هاي Popup را هنگام ورود وخروج ازارتباط SSL نمايش مي دهند. براي حفظ اين رفتار نياز به جعل اين پنجره ها بود هر چند J ava Script مي توانند، پنجره Popup شبيه به پنجره هشدار SSL را ايجادكند پنجره هاي هشدار SSL براي جلوگيري از جعل آيكونهاي متفاوتي دارد، بنابراين اقدامات زير را انجام داديم:

در مورد Net scape مجددا از ويژگي Layer استفاده كرديم.صفحه تقلبي پنهان حاوي پنجره هشدار مي باشد.اين لايه را هنگامي كه كادر محاوره هشداربايد ظاهر شود نمايش داديم.در ابتدا متوجه شديم اين پنجره هشدار جعلي به طور صحيح نمايش داده نمي شود زيرا اين پنجره فيلدهاي واقعي را مي پوشاند.اين مشكل را جايگزين كردن اين فيلدهاي ورودي با تصاوير شبيه به آن حل كرديم هر چند در مورد برخي كاربران بازسازي تصويرزمينه قابل توجه بود و به عنوان راه حل به سادگي پنجره را در محلي نمايش داديم كه فيلدها را نمي پوشاند.

در مورد IE از يك مبدل يا لوگ ساخته شده HTML استفاده كرديم كه همان مطالب پنجره هشدار را نمايش مي داد. متاسفانه در پنجره جعلي رشته در كادر محاوره مربوط به صفحه وب قرار داشت كه به ميله عنوان در پنجره جعلي افزوده مي شود.
معرفي نرم افزار Central Dispatch مربوط به شركت Resonate
در شركتهايي كه با حجم زياد سايت ها روبرو هستند، مديران سيستم براي براي تامين سرويسهايي با كيفيت با لا براي ارتباط ايمن و حتي غير ايمن با مشكلات زيادي مواجه هستند.

Central Dispatch مربوط به Resonate يك نرم افزار توزيع شده براي مديريت عبور و مرور مي باشد كه بسيار مفيد است. بخاطر توانايي فوق العاده اي SSL 3.0 ما بين چندين سرويس دهنده (كه مبتني بر شناسه هاي خاص جلسه هستند)دارد، اين نرم افزار سطح كنترل بالا ،منابع موثر وبهنيه سازي جلسه هاي ايمن منتهي به كاربر را بر عهده دارد .

فوايد مهم SSL مبتني بر شناسه
۱ـ توانايي كنترل ارتباطات دقيق ايمن
۲ـ به اشتراك گذاري مناسب منابع سرويس دهنده از طريق توزيع هوشمندانه عبور و مرور
۳ـ بالا بردن سطح سرويس دهي
۴ـ كنترل هزينه هاي اداره سايت
۵- بهبود كنترل عبور ومرور

به طور معمول دوام SSL بدين دليل مورد توجه است كه هر IP هر Client خاص را به آدرس IP سرويس دهنده خاص وابسته كرده است .
متعاقبا تمامي تراكنش هاي كه از آن Client سر چشمه مي گيرند بدون توجه به اينكه آيا بخشي از همان اتصال SSL هستند يا خير به همان سرويس دهنده اي كه در ابتدا تعريف شده ارسال مي شود .به جز اولين تراكنش زماني كه صرف پيدا كردن يك سرويس دهنده مي شود، ناديده گرفته مي شود بر عكس آن در SSL نسخه ۳ با استفاده از شناسه هاي هر جلسه مي توان جلسه هاي يكتا و ايمن را مشخص كرد كه Central Dispatch ميتواند به صورت هوشمند هر جلسه ايمن را به مطمئن ترين سرويس دهنده ارسال كند، حتي اگر جلسه ها از همان آدرس IP سر چشمه بگيرند و يا اينكه از چندين آدرس IP ديگر منشعب شوند.

اين امر بسيار متداول است در هنگامي كه چندين كاربر در يك شبكه مشترك كار مي كنند و از طريق يك Proxy و چندين Proxy به اينترنت دسترسي دارند.
سايتهاي مشترك معمولا از يك Proxy براي تمام كاربرانشان استفاده مي كنند با اين كار يعني استفاده از جدول تقسيم بندي كاركنان بر اساس آدرس اصلي IP ايشان تمامي كاربراني كه پشت Proxy هستند همگي به يك سرويس دهنده هدايت مي شوند چون به نظر مي رسد كه از يك منبع IP سر چشمه گرفته اند كه همان سرويس دهنده Proxy مي باشد.

برنامه ريزي جلسه هاي ايمن با ISP ها، براي مثال AOL. باعث مي شود كه همان اشكالها در مورد استفاده از يك Proxy آشكار شود (چندين جلسه ايمن با يك آدرس IP خاص به هم به اشتراك گذاشته مي شوند) و يك مسئله جديدي را معرفي مي كند ويعني مربوط ساختن يك جلسه به چندين Proxy (ومتناوبا چندين آدرس IP) .اين امر باعث مي شود تا راه حل هاي مديريت ترافيك روي سرويس دهنده از هم پاشيده شود. راه حل هايي كه نظم مي دادند به شكل رفت وآمد از طريق منابع آدرسIP با توجه به اينكه يك كاربر مي تواند به چندين فهرست سرويس دهنده هدايت شود ودر اين صورت ماندگاري يك جلسه از بين مي رود.

اما با برنامه ريزي از طريق شناسه هاي جلسه C entral Dispatch ,SSL 3.0 جامعيت يك جلسه ايمن را تضمين مي كند و بدون توجه به Proxy كه به جلسه واگذار شده است. هر جلسه ايمن به عنوان يك جلسه جدا گانه توسط برنامه ريز Central Dispatch شناخته مي شود ودر ابتدا به مناسب ترين سرويس دهنده راهنمايي مي شود و در نتيجه به همان سرويس دهنده در طول ماندگاري جلسه ارسال ميشود.