شبکه
شبکه | خدمات شبکه | راه اندازی شبکه | طراحی شبکه

پروتکل امنیتی (SSL) یکی از پروتکل‌های استاندارد جهت انتقال داده‌ها بین سرویس دهنده (Server) و سرویس گیرنده (Client) به صورت رمزنگاری شده است.

 

SSL به معنای چیست؟

کلمه SSL مخفف عبارت Secure Socket Layer به معنای “لایه امن پروتکل” است و با نام‌های زیر شناخته و ربط داده می‌شود:

• Https (پروتکل امن)
• Hypertext transfer protocol over secure layer (پروتکل انتقال ابر داده از طریق لایه امنیتی)
• s-HTTP
• Secure HTTP

این پروتکل در تاریخ 1996 توسط شرکت Netscape طراحی شد و به سرعت به یک پروتکل برای انتقال داده‌ها به صورت امن، مورد استفاده قرار گرفت.

 

پروتکل امن SSL چیست؟

SSL یک پروتکل استاندارد و رایج امنیتی برپایه رمزگذاری است که در آن داده‌های رد و بدل شده بین سرویس دهنده (Server) و سرویس گیرنده (Client) توسط کلیدهای خاصی خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) می‌شود. امنیت در این پروتکل دو طرفه است؛ یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.

بسیاری از سرویس دهندگانی که اطلاعات و داده‌های حساس مانند اطلاعات کارت‌های بانکی (مثلاً در شبکه بانکی کشور)، کارت‌های شناسایی، رمزهای عبور مهم و … را بین خود و سرویس گیرنده رد و بدل می‌کنند، از پروتکل‌های امنیتی مانند SSL استفاده می‌کنند.

وبسایت‌هایی که از پروتکل امن SSL جهت رمزگذاری داده‌ها استفاده می‌کنند، معمولاً از طریق پروتکل HTTPS (به جای حالت عادی و غیر امن آن یعنی HTTP) با سرویس گیرنده‌ها ارتباط برقرار می‌کنند. در مرورگرها، اینگونه وبسایت‌ها معمولاً با علامت قفل سبز (به معنای ارتباط امن سالم) نشان داده می‌شوند:

 

آیا پروتکل SSL واقعاً امن است؟

در این پروتکل، همان‌طور که گفته شد، داده‌ها بین سرویس دهنده و گیرنده رمزگذاری می‌شوند؛ به همین دلیل، داده‌ها در طول انتقال از کانال غیر امن مانند اینترنت، اینترانت و …، حفاظت شده باقی می‌مانند. هرچند دسترسی به این داده‌ها ممکن است، اما به دلیل آن‌که رمزگذاری شده اند، برای بدست آوردن داده‌های رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی وجود ندارد! برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز روزی بتوان داده‌های اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.

از سوی دیگر، داده‌ها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی داده‌های اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمی‌شوند. به همین دلیل، درصورتی که بدافزاری در هر یک از این سمت‌ها قرار بگیرد، می‌تواند داده‌های اصلی را به راحتی بدزدد. البته تاکنون گزارشی از سرقت اطلاعات از طریق کانال امن SSL منتشر نشده است بنابراین می‌توان آن را یک پروتکل “واقعاً امن” دانست.

 

تعدادی از ارائه دهندگان پروتکل امن SSL:

شرکت‌های بسیاری اقدام به ارائه سرویس‌های پروتکل امن SSL کرده اند. با این حال، تعدادی از ارائه دهندگان، شرکت‌های زیر هستند:

• Symantec
• Entrust
• Digicert
• Google Internet Authority (مخصوص سرویس‌های خود گوگل)
• TURKTRUST (سرویس محبوب در ایران)