SSL چيست؟ به زبان ساده

یکی از روش های افزایش امنیت اطلاعات رد و بدل شده و جلوگیری از شنود داده ها، رمزنگاری داده ها می باشد. اس اس الSSL پروتکلی است که برای رد و بدل کردن سندهای خصوصی از طریق اینترنت توسعه یافته است. SSL از یک کلید خصوصی برای به رمز درآوردن اطلاعاتی که بر روی یک ارتباط SSL منتقل می شوند استفاده می نماید. برای مثال هنگامیکه کلمه عبور کارت بانکی خود را در سایت بانک وارد می کنید و دکمه ارسال را می زنید، چنانچه وب سایت بانک از روش های رمزنگاری اطلاعات (مانند SSL) استفاده نکند، کلمه عبور وارد شده، در مسیر بین دستگاه شما و سایت بانک، توسط سایر واسطه ها قابل مشاهده خواهد بود. اما اگر سایت بانک از روش رمزنگاری اطلاعات (اینکریپت) استفاده کند، کلمه عبور کارت بانکی شما، قبل از ارسال، در دستگاه شما، به صورت درهم ریخته و رمزنگاری شده درآمده و سپس به سایت بانک ارسال می شود. در سایت بانک نیز کلمه عبور شما، از حالت درهم ریخته و رمزنگاری خارج شده و صحت رمز وارد شده کنترل می گردد. در این حالت، چنانچه واسطه ای بخواهد (در مسیر بین دستگاه شما و سایت بانک) کلمه عبور شما را مشاهده کند، آن را به صورت حروف ناخوانا و درهم ریخته می بیند که برای واسطه، تشخیص کلمه عبور اصلی تقریباً غیرممکن خواهد بود.

از پروتکل SSL برای کار کردن ایمن با پایگاه های وب، پست الکترونیکی، نمابرهای اینترنتی و مسنجرهای اینترنتی استفاده می شود. آدرس های اینترنتی که نیاز به یک ارتباط از نوع SSL دارند با https به جای http شروع می شوند.

توضیحات تخصصی:

الف) ملزومات ارتباط بر پایه اس اس ال:
برای داشتن ارتباطات امن مبتنی بر اس اس ال عموماً به دو نوع گواهی دیجیتال اس اس ال، یکی برای سرویس دهنده و دیگری برای سرویس گیرنده و یک مرکز صدور و اعطای گواهینامه دیجیتال (Certificate authorities) نیاز است. وظیفه CA این است که هویت طرفین ارتباط، نشانی ها، حساب های بانک اطلاعاتی و تاریخ انقضای گواهینامه را بداند و براساس آن ها هویت ها را تعیین نماید.

ب) نحوه عمل SSL:
زمانی که کلاینت و سرور تصمیم گرفتند از اتصال TLS استفاده کنند (TLS و SSL با هم تفاوت های اندکی دارند و قسمت عمده ای از این پروتکل کم و بیش یکسان است)، به مذاکره با استفاده از روش handshaking می پردازند. سپس سرور و کلاینت بر روی پارامترهای مختلفی که برای ایجاد امنیت اتصال استفاده می شود به توافق می رسند.

1- کلاینت اطلاعاتی را که سرور برای برقراری ارتباط با استفاده از SSL به آن نیاز دارد، ارسال می کند. مانند: شماره نسخه SSL کلاینت، تنظیمات رمزگذاری و سایر اطلاعاتی که سرور ممکن است به آن نیاز داشته باشد.

2- سرور اطلاعاتی را که کلاینت برای برقراری ارتباط با استفاده از SSL به آن نیاز دارد را برایش ارسال می کند. مانند: شماره نسخه SSL سرور، تنظیمات رمزگذاری و سایر اطلاعاتی که کلاینت به آن نیاز دارد. سرور همچنین گواهینامه خود را برای کلاینت ارسال می کند و اگر کلاینت درخواست منبعی از سرور داشته باشد، کلاینت باید احراز هویت شده و گواهینامه کلاینت برای سرور ارسال شود.

3- با اطلاعات دریافتی از سرور، کلاینت می تواند سرور را احراز هویت کند. اگر سرور تصدیق نشود، به کاربر هشدار داده می شود که عمل رمزگذاری و تصدیق نمی تواند انجام گیرد. اگر سرور به درستی تصدیق شد کلاینت به مرحله بعد می رود.

4- با استفاده از اطلاعات به دست آمده، کلاینت یک pre-master secret ایجاد کرده و آن را به سرور ارسال می کند.

5- اگر سرور از کلاینت بخواهد هویتش را ثابت کند، کلاینت کلیه اطلاعات لازم و گواهی خود را برای سرور ارسال می کند.

6- اگر کلاینت تصدیق نشود، ارتباط قطع می شود. اما اگر به درستی تصدیق شود، سرور از کلید خصوصی خود برای باز کردن pre-master secret استفاده می کند.

7- کلاینت و سرور از master secret برای تولید کلید جلسات استفاده می کنند که یک کلید متقارن است و برای رمزگذاری و رمزگشایی اطلاعات مبادله شده استفاده می شود.

8- وقتی کلاینت پیغامی برای سرور ارسال می کند با استفاده از کلید جلسه آن را رمز می کند.

9- وقتی سرور پیغامی برای کلاینت ارسال می کند با استفاده از کلید جلسه آن را رمز می کند.

اکنون SSL handshake کامل است و ارتباط شروع می شود. کلاینت و سرور از کلید جلسه برای رمزگذاری و رمزگشایی اطلاعاتی که برای هم می فرستند استفاده می کنند. اگر یکی از قدم های بالا با شکست مواجه شود TLS دچار شکست شده و ارتباط برقرار نمی شود. در قدم سوم مشتری باید گواهی سرور را به درستی چک کند تا باعث بروز مشکل نشود.

ج) نحوه عمل به زبان ساده تر:
1- وقتی سروری بخواهد پروتکل اس اس ال را فعال کند. ابتدا یک کلید عمومی (Public Key) می سازد.

2- سپس کلید عمومی را همراه با یک درخواست گواهی نامه اس اس ال به یکی از صادرکنندگان این گواهی نامه ها مثل وریساین (Verisign) می فرستد.

3- وریساین نیز ابتدا مشخصات و میزان قابل اعتماد بودن و امنیت سرور را ارزیابی کرده و کلید عمومی را دوباره رمزگذاری می کند و برای سرور می فرستد تا در انتقال اطلاعات خود از آن استفاده کند. به کلید جدید کلید امنیتی (private key) می گویند.

4- حال هر زمان که کاربر بخواهد از طریق پروتکل اس اس ال به این سایت دست یابد، ابتدا کامپیوتر کاربر یک کلید عمومی برای سرور می فرستد (هر کامپیوتری کلید مخصوص به خود را دارد).

5- سرور نیز این کلید عمومی را با کلید امنیتی خود مخلوط کرده و از آن کلید جدیدی می سازد. سپس آن را به کامپیوتر کاربر می فرستد.

6- از این به بعد تمامی اطلاعاتی که بین کاربر و سرور جابجا می شود با این کلید جدید رمز گذاری می شود.