یکی از چالش‌های مهم در دنیای امروز، تبادل امن اطلاعات بر بستر وب است. روزانه میلیون‌ها داده‌ی شخصی از اطلاعات حساب بانکی تا پیام‌های متن خصوصی در حال تبادل بر بستر اینترنت هستند و هر روز حملاتی جدیدتر برای دست‌یابی به این اطلاعات حیاتی کاربران ظهور می‌کنند. اهمیت این اطلاعات گاهی به اندازه‌ای است که درز آن‌ها از سوی وب‌سایت‌ها یا اپلیکیشن‌های مسوول تبادل این داده‌ها، می‌تواند خسارات جبران‌ناپذیری به اشخاص و کسب‌وکارها و پی‌آمدهای ناگواری برای مالک آن وب‌سایت یا اپلیکیشن رقم زند.

تبادل اطلاعات بر بستر وب به‌شکل رمزنگاری شده گامی مهم در راستای پاسخ‌گویی به این چالش جدی است و آروان جزو معدود CDNهایی در دنیا است که این امکان را با ارایه‌ی گواهینامه‌ی رایگان SSL خود فراهم می‌آورد.

گواهینامه‌ی SSL چیست؟

نخستین گام برای پشتیبانی وب‌سایت از HTTPS، تهیه‌ی گواهینامه‌ی ‎SSL (SSL certificate)‎ است. گواهینامه‌ی SSL پیش‌شرطی لازم برای استفاده از پروتکل TLS و برقراری ارتباطی امن میان سرور و کاربر (مرورگر) است.
گواهینامه‌ی SSL حاوی اطلاعاتی است که از آن‌ها در فرآیند TLS handshake استفاده می‌شود همانند اطلاعات کلی در رابطه با هویت دارنده‌ی وب‌سایت (نام دامنه، سازمان و...)، public key و...

چرایی استفاده از گواهینامه‌ی SSL

مبنای عملکرد پروتکل TLS بر پایه‌ی رمزنگاری متقارن (Symmetric) و نامتقارن (Asymmetric Cryptography) است. روش رمزنگاری نامتقارن (Asymmetric Cryptography) یا ‎Public Key Infrastructure (PKI)‎، برخلاف روش رمزنگاری متقارن که برای رمزنگاری و رمزگشایی داده‌های تبادلی میان دو نقطه تنها از یک کلید (secret key) استفاده می‌کند، از دو کلید با نام‌های Private Key (کلید خصوصی) و Public Key (کلید عمومی) برای انجام این عمل بهره می‌گیرد.

هر دوی کلیدهای خصوصی و عمومی روی سرور میزبان وب‌سایت تولید می‌شوند. تفاوت آن‌ها در این است که کلید خصوصی نزد سرور، محفوظ باقی می‌ماند و به‌هیچ‌وجه به خارج از آن ارسال نمی‌شود، اما کلید عمومی همان‌طور که از نام آن پیداست می‌تواند با دیگران به اشتراک گذاشته شود. شخص دریافت‌کننده‌ی کلید عمومی از این کلید به‌منظور رمزنگاری داده‌های ارسالی خود برای سرور استفاده می‌کند و سرور نیز، این داده‌های رمزنگاری‌شده را با استفاده از کلید خصوصی خود، رمزگشایی می‌کند.

چون کلید عمومی قابلیت اشتراک‌گذاری با دیگران را دارد، احتمال سواستفاده از آن نیز بالاست. برای حل این مشکل از یک سطح امنیتی بیش‌تر استفاده می‌شود، یعنی احراز هویت کلید عمومی دریافتی. این احراز هویت را گواهینامه‌ی SSL انجام می‌دهد.

هنگام فعال‌سازی گواهینامه‌ی SSL برای یک وب‌سایت، نخستین گام تولید فایل ‎Certificate Signing Request (CSR)‎ است. فایل CSR در واقع همان گواهینامه‌ی SSL پیش از امضای ‎Certificate Authority (CA)‎ (یا مرجع صدور گواهینامه‌ی دیجیتال) و حاوی اطلاعات مربوط به دارنده‌ی وب‌سایت و کلید عمومی است. این فایل برای یک CA ارسال می‌شود و اگر شروط را دارا باشد، به‌وسیله‌ی آن امضا (sign) می‌شود. سپس فایل امضاشده را CA که اکنون SSL certificate نام دارد، برای دارنده‌ی وب‌سایت می‌فرستد و روی سرور نصب می‌شود. سرور از این گواهینامه به‌منظور احراز هویت خود برای مرورگر، در فرآیند TLS handshake استفاده می‌کند. CAها دارای تاریخ انقضا هستند و اگر منقضی شوند باید تمام این مراحل دوباره تکرار شوند. هر یک از این مراحل به‌درستی انجام نشوند، ارتباط HTTPS میان مرورگر و وب‌سرور برقرار نمی‌شود.

تمام مرورگرها فهرستی از CAهای معتبر دارند و با دریافت گواهینامه‌ی امضا شده‌ی یکی از CAهای معتبر در این فهرست، از اصالت اطلاعات و کلید عمومی این گواهینامه مطمین شده و آن را می‌پذیرند.

1Generate Certificate Signing Request (CSR)2Get signed by Certificate Authority3Install certificateon Origine Server4Repeat when certificate expires

کاربرد گواهینامه‌ی SSL در فرآیند TLS handshake

پس از برقراری ارتباط TCP میان کاربر و سرور، فرآیند TLS handshake آغاز می‌شود. به‌شکل خلاصه مراحل کلی این فرآیند (فارغ از نسخه‌ی TLS مورد استفاده) عبارت‌اند از:

one

مرورگر یک پیام client hello حاوی نسخه‌ی TLS (یا SSL)، هم‌چنین الگوریتم‌های رمزنگاری مورد پشتیبانی خود را برای سرور می‌فرستد.

two

سرور در پاسخ به این پیام دریافتی، پیام Server hello را (که در آن از فهرست الگوریتم‌های مورد پشتیبانی مرورگر یکی را انتخاب کرده) به همراه گواهینامه‌ی SSL خود برای مرورگر می‌فرستد.

three

مرورگر با دریافت این گواهینامه و رجوع به فهرست CAهای معتبر خود، از صحت گواهینامه SSL مطمین می‌شود و آن را می‌پذیرد. سپس کلیدی با نام Secret Key را تولید و آن را با کلید عمومی دریافتی از سرور رمزنگاری می‌کند و درنهایت آن را در قالب پیامی برای سرور می‌فرستد.

four

سرور با دریافت این پیام، آن را با استفاده از کلید خصوصی خود رمزگشایی می‌کند و به Secret Key ارسالی از جانب مرورگر دست می‌یابد. از این مرحله به بعد، ارتباط TLS میان مرورگر و سرور برقرار و داده‌های تبادلی میان آن‌ها به‌کمک Secret Key، رمزنگاری و رمزگشایی می‌شود.

>Client randomVISITORARVANVisitor sends hello,client random, and cipher suits supportedSSL Handshake (RSA) HandshakeServer sends server random & public key certificateVisitor encrypts premaster secret with public keyArvan decrypts the premastersecret with the private keyBoth the visitor & Arvan create session keys fromthe client random, server random, and premaster secret,Now the visitor can request content from Arvan.( also sent is a session ticket for session resumption )(also sent is a session ID for session resumption)Server randomPublic key certificatePremaster secretPremaster secretSession keyClient randomServer randomPublic key certificateEncrypted premaster secretSession keyPrivate key1234

آروان و گواهینامه‌ی رایگان SSL

رایگان
VS.
Google DNS
+$0.20 per zone per month
+$0.40 per million queries
Amazon AWS
+$0.40 per million queries
Azure DNS
+$0.50 per zone per month

ابر آروان در سال‌های اخیر تلاش کرد تا با مذاکرات با Let’s Encrypt این امکان را برای کاربران خود فراهم کند که بر بستر ابر آروان و تنها با یک کلیک از «گواهی‌نامه‌ی رایگان SSL» سه ماهه‌ی این شرکت، بهره‌مند شوند. به‌ این‌ ترتیب کاربران ابر آروان برای تهیه‌ی این گواهی‌نامه هزینه‌ای پرداخت نمی‌کنند، هم‌چنین پس از منقضی شدن مدت زمان این گواهی‌نامه، بدون هیچ اقدام اضافه‌تری این گواهی‌نامه برای آنان به‌شکل خودکار تمدید می‌شود. مزیت بزرگ‌تر خدمت گواهی‌نامه‌ی رایگان ابر آروان، ارایه‌ی این گواهی‌نامه‌ها به‌‌شکل Wildcard است.

Wildcard SSL Certificate

با استفاده از Wildcard SSL می‌توان تعداد نامحدودی از زیردامنه‌های خود را تنها با یک گواهینامه‌ی SSL امن کرد. برخلاف گواهینامه‌های SSL استاندارد که تنها می‌توان از آن‌ها برای یک تک FQDN مشخص چون www.example.com استفاده کرد، با استفاده از Wildcard SSL Certificate می‌توان گواهینامه SSL را برای ‎*.example.com‎ فعال کرد که “*” می‌تواند هر چیزی (www.example.come، example.com، test.example.com و ...) باشد.

برای آشنایی با شیوه‌ی دریافت گواهی‌نامه‌ی رایگان ابر آروان می‌توانید این مقاله را بخوانید.

تنها به میزان مصرف‌تان، هزینه پرداخت کنید

جزییات قیمت‌گذاری هر محصول را از این‌جا ببینید یا به قسمت ماشین حساب بروید و هزینه‌های خود را برآرود کنید.