هویتا- گواهی الکترونیکی یا گواهی نامه SSL چیست؟

 گواهی الکترونیکی یا گواهی نامه SSL چیست؟

پروتکل SSL (مخفف Secure Sockets Layer) نسخه قدیمی پروتکل TLS (مخفف Transport Layer Security) می‌باشد. این پروتکل مبتنی بر زیرساخت کلید عمومی (PKI) و برای امن‌سازی ارتباطات شبکه‌ای طراحی شده است. پروتکل SSL  بصورت گسترده در امن‌سازی ارتباطات بین وب‌سایت‌ها و مرورگرهای اینترنت، مورد استفاده قرار می‌گیرد. از دیگر کاربردهای مرسوم آن می‌توان به امن‌سازی ارتباطات بین سرورهای ایمیل، سرورهای فایل و شبکه‌های خصوصی مجازی، اشاره کرد.

یکی از ملزومات بکارگیری این پروتکل، استفاده از گواهی‌های الکترونیکی SSL برای سرور می‌باشد. گواهی‌های الکترونیکی حاوی مشخصات هویتی سرور هستند که توسط مراکز صدور گواهی معتبر بین‌المللی یا داخلی، بررسی و تایید شده‌ است. به عنوان مثال، وب‌سایت شرکت هویتا با آدرس اینترنتی https://www.hovita.ir، دارای یک گواهی الکترونیکی SSL است که از یک مرکز صدور گواهی الکترونیکی معتبر دریافت شده و مشخصات سرور این وب‌سایت شامل آدرس وب‌سایت، کلید عمومی سرور، تاریخ اعتبار گواهی SSL و مشخصات و امضای مرکز صدور گواهی تایید کننده هویت وب‌سایت هویتا، در این گواهی الکترونیکی وجود دارد.

با فعال‌سازی SSL بر روی یک وب‌سایت، دسترسی به دامنه‌هایی از آن وب‌سایت که SSL برای آن‌ها فعال شده است، به جای پروتکل HTTP با استفاده از پروتکل HTTPS در مرورگر انجام خواهد شد. در این صورت، هویت و اصالت صفحات و سرویس‌های وب‌سایت برای کاربر احراز، و کلیه ارتباطات بین مرورگر تا وب‌سرور، رمزنگاری خواهد شد. البته کاربر باید به هشدارهای مرورگر در رابطه با اعتبار گواهی الکترونیکی سرور، توجه نماید و در صورت وجود هشدار یا خطا، از وارد کردن اطلاعات حساس از قبیل رمز عبور، در وب‌سایت اجتناب نماید.

استفاده از گواهی‌های معتبر SSL چه مزایایی دارد ؟

  • افزایش رتبه وب‌سایت در گوگل
  • حفظ محرمانگی اطلاعات تبادل شده بین کاربر و وب‌سایت
  • عدم امکان تغییر محتوای وب‌سایت در بین مسیر ارتباطی
  • کاهش احتمال حملات فیشینگ توسط وب‌سایت‌های جعلی
  • پشتیبانی توسط انواع مرورگرها، سیستم‌های عامل و تجهیزات سخت‌افزاری

چرا گواهی الکترونیکی SSL را از هویتا خریداری کنیم ؟

هسته اصلی شرکت فناوران هویت الکترونیکی امن (هویتا) متشکل از متخصصین امضای دیجیتال و زیرساخت کلید عمومی است که فعالیت خود را از سال 1381 در کشور آغاز نموده‌اند. این شرکت در زمینه طراحی و توسعه محصولات، خدمات و راهکارهای نوین مبتنی بر رمزنگاری، امضای دیجیتال، گواهی‌های الکترونیکی و زیرساخت کلید عمومی، در سال 1395 به ثبت رسیده است.

اولین مرکز صدور گواهی ایران که انواع گواهی الکترونیکی را برای شرکت‌ها و سازمان‌ها صادر می‌کرد در سال 1381 با نام پارس‌ساین، توسط متخصصین این شرکت، راه‌اندازی شد و در سال 1391 با دریافت مجوز از مرکز ریشه وزارت بازرگانی وقت، ذیل مرکز ریشه مرکز توسعه تجارت الکترونیکی ایران، به فعالیت خود ادامه داد. این شرکت همچنین با مراکز صدور گواهی معتبر بین‌المللی از قبیل Comodo، Digicert، GeoTrust، Izenpe، Keynectis، WiseKey، TurkTrust و Certum، طی این مدت همکاری داشته است.

در صورت خرید گواهی معتبر بین‌المللی از شرکت هویتا، خدمات زیر توسط این شرکت، ارایه می‌شوند:

  • قیمت پایین‌تر بین 10 تا 75 درصد نسبت به خرید مستقیم از مرکز صدور گواهی
  • امکان پرداخت هزینه بصورت ریالی و عدم نیاز به حواله ارزی
  • راهنمایی و مشاوره در تهیه اسناد و مدارک مورد نیاز
  • بررسی و ارسال مدارک به مرکز صدور گواهی و عدم نیاز به پست بین‌المللی
  • ارایه مشاوره در تولید کلید و CSR برای وب‌سایت

انواع گواهی‌های الکترونیکی SSL کدامند ؟

گواهی‌های الکترونیکی SSL معتبر برای سرورهایی با آدرس‌های مشخص یا همان دامنه‌های اینترنتی، صادر می‌شوند. این گواهی‌ها با دو روش دسته‌بندی می‌شوند. معیار دسته‌بندی در روش اول، مبتنی بر دامنه‌ اینترنتی است. در این روش، تعداد دامنه‌ها، یا پشتیبانی از همه زیردامنه‌های یک دامنه، توسط گواهی، مد نظر قرار می‌گیرد.روش دوم دسته‌بندی، مبتنی بر سطح اعتماد و اطمینان به گواهی است.

طبق دسته‌بندی اول، گواهی‌های الکترونیکی SSL، به سه نوع Single-domain، Wildcard و Multi-domain یا اصطلاحا گواهی SAN، تقسیم می‌شوند. در دسته‌بندی دوم، این گواهی‌ها به سه نوع DV، OV و EV تقسیم‌ می‌گردند. لازم به ذکر است، اکثر انواع گواهی، قابلیت ترکیب با یک یا چند نوع دیگر گواهی را دارند و می‌توانند اعتبار یک یا دو ساله داشته باشند. به عنوان مثال گواهی Wildcard OV با اعتبار دو سال، گواهی EV SAN با اعتبار یکسال یا گواهی Single-domain DV یکساله

انواع گواهی بر اساس دامنه

  • گواهی Single-domain: همانطور که از نام آن مشخص است. تنها یک دامنه مشخص در گواهی قرار می‌گیرد. با توجه به اینکه ساختار این گواهی با گواهی چند دامنه‌ای یکسان است، معمولا بصورت مجزا در لیست گواهی‌های قابل ارایه توسط مراکز صدور گواهی، به آن‌ها اشاره نمی‌شود.
  • گواهی Multi-domain: این نوع گواهی از چندین دامنه مجزا پشتیبانی می‌کند. دامنه‌های متفاوت در بخشی از گواهی با عنوان Subject Alternative Name (SAN)، قرار می‌گیرند. لذا به این نوع گواهی، گواهی SAN نیز گفته می‌شود.
  • گواهی Wildcard: این نوع گواهی از همه زیردامنه‌های دامنه اصلی پشتیبانی می‌کند. به عنوان مثال *.domain.ir

انواع گواهی بر اساس سطح اطمینان

  • گواهی (Domain Validated (DV: برای صدور این نوع گواهی، مرکز صدور گواهی بررسی می‌کند که وب‌سایت (دامنه اصلی) توسط درخواست‌کننده گواهی DV SSL کنترل شود و فقط آدرس دامنه در مشخصات گواهی SSL قرار می‌گیرد. مرکز صدور گواهی برای این منظور، معمولا از یکی از دو روش ارسال ایمیل تایید به آدرس ایمیل مدیر وب‌سایت با همان دامنه درخواستی، یا قراردادن یک فایل در مسیر مشخص از وب سایت توسط درخواست کننده، استفاده می‌کند.
  • گواهی (Organization Validated (OV: در این نوع گواهی، عنوان سازمان، کشور، استان و شهری که کنترل دامنه درخواستی را در اختیار دارد، در گواهی SSL قرار می‌گیرد. لذا مرکز صدور گواهی علاوه بر بررسی کنترل دامنه توسط درخواست کننده، مدارک ثبت شرکت و مالکیت دامنه را نیز بررسی می‌نماید. این نوع گواهی سطح اطمینان و هزینه بالاتری به نسبت گواهی DV دارد و زمان بیشتری برای بررسی مدارک و صدور گواهی نیاز است.
  • گواهی (Extended Validated (EV: در این نوع گواهی علاوه بر عنوان سازمان، کشور، استان و شهری که کنترل دامنه درخواستی را در اختیار دارد، آدرس کامل و ثبتی شرکت نیز در گواهی SSL قرار می‌گیرند. در گذشته، مرورگرها از یک نوار سبزرنگ که نام کامل شرکت در آن پیدا بود، برای نمایش این نوع گواهی استفاده می‌کردند، ولی در نسخه‌های جدیدتر مرورگرهای مرسومی از قبیل Chrome و Firefox، این گواهی مشابه سایر گواهی‌ها نمایش داده می‌شود. مرکز صدور گواهی علاوه بر بررسی کنترل دامنه توسط درخواست کننده، مدارک ثبت شرکت و مالکیت دامنه، وجود شرکت و هویت ثبتی آن را نیز بررسی می‌نماید. این نوع گواهی سطح اطمینان و هزینه بالاتری به نسبت گواهی OV دارد و زمان بیشتری برای بررسی مدارک و صدور گواهی نیاز است. لازم به ذکر است امکان صدور گواهی Wildcard از نوع EV وجود ندارد.

مشخصات مشترک انواع گواهی‌ها

  • دارای گارانتی جبران خسارت به نسبت سطوح اطمینان
  • انطباق کامل با الزامات WebTrust
  • پشتیبانی از دو روش CRL و OCSP در بررسی وضعیت ابطال گواهی
  • پشتیبانی از الگوریتم (SHA-2 (256 bits
  • پشتیبانی از کلیدهای 2048 بیتی RSA
  • امکان صدور گواهی برای انواع دامنه‌ها از قبیل ir، com، net، ir، co.ir و غیره

چرا  OCSP Stapling را روی وب‌سرور فعال کنیم ؟

با فعال‌سازی SSL بر روی یک وب سرور، مرورگر کاربران با هر بار اتصال به وب سرور مذکور، گواهی الکترونیکی SSL سرور را اعتبارسنجی می‌نماید. مرورگر در فرایند اعتبارسنجی گواهی، جهت بررسی وضعیت آن، به سرورهای OCSP مرکز صدور گواهی متصل می‌شود و درخواست اعتبارسنجی را بصورت مستقیم به سرویس‌دهنده‌های OCSP بین‌المللی ارایه می‌نمایند. لذا صفحه وب با تاخیر نمایش داده می‌شود و تجربه کاربر را تحت تاثیر قرار می‌دهد. همچنین ترافیک اینترنت کشور افزایش می‌یابد.

در نسخه‌های جدیدتر پروتکل SSL/TLS این قابلیت وجود دارد که ارایه‌کننده گواهی الکترونیکی در مرحله Handshake (در اینجا وب‌سرور گواهی را برای مرورگر می‌فرستد)، پاسخ OCSP را که خود قبلا از سرویس‌دهنده OCSP دریافت کرده، به همراه گواهی برای مرورگر ارسال نماید. در این صورت مرورگر به جای اتصال مستقیم به سرویس‌دهنده OCSP، پاسخ ارایه شده از سمت سرور وب را بررسی خواهد کرد.

قابلیت OCSP Stapling تقریبا در تمامی وب‌سرورهای متداول پشتیبانی می‌شود. به عنوان مثال با پیکربندی زیر در Apache این قابلیت در این وب‌سرور، فعال می‌شود.

(SSLStaplingCache shmcb:/tmp/stapling_cache(128000

SSLEngine on
SSLProtocol all -SSLv3 -SSLv2

SSLCertificateFile /path/to/server_certificate.crt
SSLCertificateKeyFile /path/to/server_private.key
SSLCertificateChainFile /path/to/CAs_Chain.crt

SSLUseStapling on

بعد از اعمال این تغییرات، می‌توان وجود خطا را با استفاده از دستور زیر بررسی کرد:

Apachectl -t

سپس تنظیمات وب‌سرور را با دستور زیر مجددا بارگذاری نمود.

service apache2 reload

  روابط عمومی: info@hovita.ir

   تلفن : 02166034809

  تهران ,خیابان دکتر حبیب الله ,خیابان قاسمی , خیابان حبیب زادگان , پلاک 69 طبقه 6 واحد 36

  کدپستی: 1459996612

  دورنگار : 66042924-021

logo-samandehi