گواهینامه‌ی SSL چیست؟

مسئله‌ای که همواره ذهن بسیاری از سرمایه‌گزاران و علاقه‌مندان دنیای تجارت الکترونیک را به خود مشغول کرده است، بحث اعتبار شرکت‌های سرمایه‌گزاری و سایت‌های مرتبط با تجارت الکترونیک است. متأسفانه نکته‌ای که در خلال صحبت‌ها با دوستانمان به چشم می‌خورد، برداشت ناصحیح از دارا بودن گواهینامه‌ی SSL توسط گردانندگان سایت‌ها است. به این معنی که برخی از دوستان (که حتی شامل بسیاری از پیش‌کسوتان تجارت الکترونیک هم می‌شود) دارا بودن گواهینامه‌ی SSL توسط یک سایت را به معنای تأیید اعتبار و هویت آن شرکت توسط شرکت‌های امنیتی معتبر اینترنتی می‌دانند. در حالیکه SSL خود تنها یک مبحث فنی در تضمین امنیت ارتباطات با وب‌سایت‌های مختلف می‌باشد. اجازه بدهید با ارائه‌ی یک مثال، درک مقوله‌ی فنی آن را آسان‌تر کنیم.

فرض می‌کنیم شما وارد یک سایت فروشگاه اینترنتی شده‌اید و پس از انتخاب کالاها، جهت تسویه حساب وارد بخش پرداخت سایت Liberty Reserve می‌شوید. شما شماره حساب و رمز خود را در سایت وارد کرده و پس از پرداخت، جهت تأیید سفارش مجدداً به سایت فروشگاه راهنمایی می‌گردید. اما دو اشکال در این روال ممکن است رخ دهد:

۱. فرض کنیم، صاحب فروشگاه بجای آنکه شما را به سایت Liberty Reserve راهنمایی کند، با ساختن صفحات مشابه صفحات پرداخت لیبرتی ریزرو، شما را فریب می‌دهد. شما با فرض آنکه وارد سایت Liberty Reserve شده‌اید، شماره حساب و رمز خود را وارد نموده و صاحب فروشگاه آنها را ذخیره می‌کند. اکنون او رمز عبور شما را دارد و می‌تواند هرگاه خواست هر مبلغی را از حساب شما خارج نماید.

۲. به فرض درستکار بودن مدیر فروشگاه، ممکن است شرکتی که به شما خدمات اینترنتی ارائه می‌دهد (ISP) اقدام به ربودن اطلاعات ارسالی شما به سایت Liberty Reserve نماید. به این تکنیک در اصطلاح فنی MITM (مخفف عبارت Man In The Middle) گفته می‌شود. در این حالت شما هیچ تغییری متوجه نخواهید شد، چرا که اطلاعات بدون تغییر ارسال و دریافت می‌شوند و فردی در بین راه آنها را شنود می‌کند. به این وسیله وی می‌تواند شماره حساب و رمز عبور شما را ربوده و هرگاه نیاز داشت مبالغی از حساب شما برداشت کند.

SSL که مخفف عبارت Secure Socket Layer به معنای «لایه‌ی امن سوکت» می‌باشد، جهت جلوگیری از این موارد طراحی شده و در بسیاری از سایت‌ها پیاده‌سازی گردیده است. این تکنولوژی اطلاعات شما را در مبدأ و مقصد به گونه‌ای رمزگزاری می‌کند که تنها کامپیوتر شما و سایتی که به آن متصل هستید قادر به رمزگشایی آن می‌باشند. به این ترتیب مورد دوم که همان شنود اطلاعات است قابل انجام نخواهد بود. برای پیاده‌سازی این تکنولوژی در یک وب‌سایت، نیاز به یک گواهینامه‌ی SSL خواهد بود که از طرف یک صادرکننده‌ی معتبر صادر شده باشد. این صادرکننده ابتدا شما را به عنوان مالک سایت با روش‌های خاصی تأیید کرده و سپس گواهینامه‌ی SSL را جهت نصب در وب سایت در اختیار شما قرار می‌دهد. به این ترتیب مورد اول که جعل سایت پرداخت است نیز به صورت خودکار با تطبیق گواهینامه‌ی SSL و نام سایتی که به آن متصل هستید توسط مرورگر اینترنت شما بررسی شده و در صورت مغایرت به شما اطلاع داده می‌شود.

بنابراین گواهینامه‌ی SSL وقتی شما در مرورگر خود آدرس libertyreserve.com را درج نموده‌اید، تنها تأیید می‌کند که شما به خود سایت libertyreserve.com و نه یک نسخه جعلی مشابه آن متصل هستید و اطلاعات شما قابل شنود و یا تغییر در میان راه توسط شخص ثالث نیستند. البته همه‌ی اینها به این شرط است که شما با پروتکل HTTPS به وب سایت مورد نظر متصل باشید (در ابتدای آدرس بجای HTTP عبارت HTTPS وجود داشته باشد).

بعلاوه جدای از گواهینامه‌های SSL رایگان، گواهینامه‌های معتبر با قیمتی در حدود ۱۰ دلار در سال برای هر شخصی براحتی قابل دریافت می‌باشند! پس هیچگاه دارابودن گواهینامه‌ی SSL امتیاز مثبتی جهت اعتماد به اعتبار یک وب‌سایت تلقی نمی‌شود بلکه تنها امنیت اطلاعات ارسالی و دریافتی شما با آن وب‌سایت را از نظر جعل و شنود تضمین می‌کند.