SSL به معنای چیست؟
کلمه SSL مخفف عبارت Secure Socket Layer به معنای “لایه پروتکل امن” است و با نامهای زیر شناخته و ربط داده میشود:
- Https (پروتکل امن)
- Hypertext transfer protocol over secure layer (پروتکل انتقال ابر داده از طریق لایه امنیتی)
- s-HTTP
- Secure HTTP
این پروتکل در تاریخ ۱۹۹۶ توسط شرکت Netscape طراحی شد و به سرعت به یک پروتکل برای انتقال دادهها به صورت امن، مورد استفاده قرار گرفت.
پروتکل امن SSL چیست؟
SSL یک پروتکل استاندارد و رایج امنیتی برپایه رمزگذاری است که در آن دادههای رد و بدل شده بین سرویس دهنده (Server) و سرویس گیرنده (Client) توسط کلیدهای خاصی خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) میشود. امنیت در این پروتکل دو طرفه است؛ یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام میگیرد.
بسیاری از سرویس دهندگانی که اطلاعات و دادههای حساس مانند اطلاعات کارتهای بانکی (مثلاً در شبکه بانکی کشور)، کارتهای شناسایی، رمزهای عبور مهم و … را بین خود و سرویس گیرنده رد و بدل میکنند، از پروتکلهای امنیتی مانند SSL استفاده میکنند.
وبسایتهایی که از پروتکل امن SSL جهت رمزگذاری دادهها استفاده میکنند، معمولاً از طریق پروتکل HTTPS (به جای حالت عادی و غیر امن آن یعنی HTTP) با سرویس گیرندهها ارتباط برقرار میکنند. در مرورگرها، اینگونه وبسایتها معمولاً با علامت قفل سبز (به معنای ارتباط امن سالم) نشان داده میشوند:
مرورگر گوگل کروم درحال مرور صفحه با پروتکل SSL
مرورگر فایرفاکس درحال مرور صفحهای با پروتکل SSL
مرورگر اپرا درحال مرور صفحهای با پروتکل SSL
مرورگر اینترنت اکسپلورر درحال مرور صفحهای با پروتکل SSL
آیا پروتکل SSL واقعاً امن است؟
در این پروتکل، همانطور که گفته شد، دادهها بین سرویس دهنده و گیرنده رمزگذاری میشوند؛ به همین دلیل، دادهها در طول انتقال از کانال غیر امن مانند اینترنت، اینترانت و …، حفاظت شده باقی میمانند. هرچند دسترسی به این دادهها ممکن است، اما به دلیل آنکه رمزگذاری شده اند، برای بدست آوردن دادههای رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی وجود ندارد! برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهدنسی شده، حتی بدون داشتن کلید نیز بتوان دادههای اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.
از سوی دیگر، دادهها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی دادههای اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمیشوند. به همین دلیل، درصورتی که بدافزاری در هر یک از این سمتها قرار بگیرد، میتواند دادههای اصلی را به راحتی بدزدد.
منبع:سایت بایت گیت
