امنیت اینترنت، یک دنیای عمیقا گسترده است. این باعث میشود که درک اصطلاحات آن و نحوهی ارتباط آنها با یکدیگر برای افراد مبتدی، کمی دشوار باشد. بنابراین، کسی انتظار ندارد که در ابتدای کار با مفاهیم تخصصی نظیر تفاوت SSL و TLS آشنایی داشته باشید. اما آگاهی از آنها، میتواند شناخت خوبی نسبت به دنیای امنیت اینترنت به افراد بدهد که در درک هر چه بهتر آن هم بسیار تاثیرگذار است. اگر با SSL آشنا باشید، حتما اسم TLS را هم شنیدهاید. اما تفاوت SSL و TLS دقیقا چیست؟ چه شباهتهایی بین آنها وجود دارد؟ با مبین هاست همراه باشید تا این موضوع را بررسی کنیم.
SSL چیست؟
SSL در سال ۱۹۹۴ توسط کمپانی Netscape توسعه یافت. در ابتدای توسعهی SSL پیشبینی میشد که این سیستم قادر به تامین ارتباط امن بین سیستمهای کلاینت و سرور در وب باشد هدف از به وجود آمدن آن نیز همین موضوع بود. به تدریج، IETF (کارگروه مهندسی اینترنت) SSL را به عنوان یک پروتکل به رسمیت شناخت و باعث افزایش تقاضا برای خرید SSL شد. پس از آن، دو نسخه از SSL منتشر شد که آسیبپذیریهای نسخه اول را برطرف کردند. نسخهی کنونی این پروتکل، SSL ۳.۰ است. در ادامه، تاریخچه نسخههای مختلف SSL که تاکنون عرضه شده را میتوانید مشاهده کنید. با نگاهی به آن، میتوان توجه شد که IETF به طور جدی تلاش کرده تا دادههای آنلاین را در امنیت کامل نگه دارد. همچنین، تفاوت SSL و TLS را هم بهتر متوجه خواهید شد.
SSL ۱.۰ | این نسخه، به دلیل نقص امنیتی منتشر نشد. |
SSL ۲.۰ | این نسخه، اولین نسخهی SSL بود که توسط Netscape به طور رسمی برای عموم کاربران در فوریه ۱۹۹۵ منتشر شد. اما اشکالاتی در طراحی آن وجود داشت که Netscape را مجبور به انتشار نسخه سوم SSL کرد. در نهایت SSL ۲.۰ هم در سال ۲۰۱۱ به کار خود خاتمه داد. |
SSL ۳.۰ | این نسخه، به عنوان یک نسخهی آپگرید شده از SSL ۲.۰ منتشر شد که چند نقص در طراحی امنیتی آن را برطرف کرد. با این حال، نسخه سوم SSL به دلیل حملهی POODLE در سال ۲۰۰۴ ناامن تلقی شد. |
TLS چیست؟
در پاسخ به این سوال که TLS چیست میتوان گفت مخفف Transport Layer Security است که برای اولین بار در سال ۱۹۹۹ توسعه یافت و جانشین پروتکل رمزنگاری SSL ۳.۰ شد. برای شناخت بهتر تفاوت SSL و TLS لازم است با تاریخچه نسخههای مختلف این پروتکل که در جدول زیر قید شده است، آشنا شوید.
TLS ۱.۰ | TLS ۱.۰ که نسخهی آپگرید شدهی SSL ۳.۰ به شمار میرفت، در ژانویه ۱۹۹۹ منتشر شد. |
TLS ۱.۱ | پس از آن، TLS ۱.۱ در سال ۲۰۰۶ به عنوان نسخهی آپدیت شدهی TLS ۱.۰ عرضه شد. یکی از ویژگیهای جدیدی که به همراه آورد، توانایی مقاومت در برابر حملات CBC (یا Cipher Block Chaining) بود. در نهایت هم شرکتهای گوگل، اپل، موزیلا و مایکروسافت در مارس ۲۰۲۰ منسوخ شدن نسخههای ۱.۰ و ۱.۱ پروتکل TLS را به طور رسمی اعلام کردند تا پایان آنها رقم بخورد. |
TLS ۱.۲ | این نسخه، در سال ۲۰۰۸ منتشر شد و امکان تعیین هش و الگوریتم مورد استفاده توسط کلاینت و سرور را فراهم کرد. در این نسخه، امکان رمزگذاری احراز هویت شده بوجود آمد که باعث شد با حالتهای دادههای بیشتری سازگاری پیدا کند. TLS ۱.۲ توانست طول دادهها را براساس Cipher Suite تایید کند. |
TLS ۱.۳ | این نسخه، در آگوست ۲۰۱۸ منتشر شد و دارای ویژگیهای عمدهای بود که آن را کاملا از نسخه قبلی خود یعنی TLS ۱.۲ متمایز میکرد. در واقع، این نسخه تفاوت SSL و TLS را بسیار پررنگتر از هر زمان دیگری کرد. درخصوص این ویژگیها میتوان به حذف پشتیبانی از MD5 و همینطور SHA-224، نیاز به امضای دیجیتال در زمان استفاده از پیکربندی اولیه، استفاده اجباری از محرمانگی فوروارد کامل در صورت مبادله کلید مبتنی بر کلید عمومی (Public Key)، و رمزگذاری Handshake پیامها پس از مرحله Server Hello اشاره کرد. |
تفاوتهای بین SSL و TLS
تفاوت SSL و TLS بسیار جزئی است. در واقع، فقط افراد متخصص و فنی میتوانند تفاوت SSL و TLS را تشخیص دهند. زیرا این دو پروتکل برای کاربران عادی، اساسا یکسان به شمار می روند. اما در عین حال، تفاوتهای بزرگی هم با هم دارند. با توجه به اینکه SSL پیشدرآمدی بر TLS محسوب میشود، بیشترِ این تفاوتها میان این دو، ماهیت تکاملی دارند. اما شباهت آنها کجاست؟ هم SSL و هم TLS دو پروتکل رمزنگاری هستند که انتقال دادهها را بین سرورها، سیستمها، برنامهها و کاربران تایید میکنند. به عنوان مثال، یک پروتکل رمزنگاری، دادههایی که بین یک وب سرور و یک کاربر ردوبدل میشود را رمزگذاری میکند. با این حال، تفاوتهای قابل توجه این دو پروتکل امنیتی شامل موارد زیر میشوند:
مجموعههای رمزنگاری
پروتکل SSL از مجموعه رمزنگاری Fortezza پشتیبانی میکند. در صورتی که TLS از آن پشتیبانی نمیکند. TLS فرآیند استانداردسازی بهتری را دنبال میکند که تعریف مجموعههای رمزنگاری جدید مانند RC4، Triple DES، AES، IDEA و غیره را آسانتر میکند.
پیامهای هشدار
SSL از پیام هشداری مبنی بر No certificate در مرورگرهای وب استفاده میکند. در صورتی که پروتکل TLS با حذف این پیام هشدار، چندین پیام دیگر جایگزین آن میکند.
Record Protocol
SSL پس از رمزگذاری هر پیام، از MAC (یا Message Authentication Code) استفاده میکند. در حالی که TLS از سوی دیگر، پس از رمزگذاری هر پیام از HMAC که یک کد احراز هویت پیام مبتنی بر هش محسوب میشود، استفاده میکند.
فرآیند Handshake
در پروتکل SSL، محاسبه هش شامل Master secret میشود. اما در TLS، هشها از طریق پیام Handshake محاسبه میشوند.
احراز هویت پیام
احراز هویت SSL جزئیات کلیدی و دادههای مربوط به اپلیکیشن را به صورت موقت به یکدیگر متصل میکند. در صورتی که TLS به کد احراز هویت پیام مبتنی بر هش HMAC متکی است.
موارد ذکر شده در بالا، اصلیترین تفاوت گواهیهای SSL و TLS به شمار میروند. با این حال، همانطور که اشاره شد، فقط افراد باتجربه و متخصص میتوانند تفاوت SSL و TLS را به معنی واقعی کلمه متوجه شوند.
تفاوت اصلی SSL و TLS چه چیزی است؟
به طور خلاصه، درخصوص تفاوت اصلی SSL و TLS میتوان گفت که SSL نسخه منسوخ شده و TLS نام جدید این پروتکل قدیمی است که به عنوان استاندارد جدید رمزنگاری مدرن توسط همهی کاربران شناخته میشود. از نظر فنی، TLS کاملا ارتقاء یافته است و عملکرد سریعتر، دقیقتر و امنتری هم دارد. از طرفی دیگر، SSL با وجودی که شناخته شدهتر است، امنیت کمتری دارد. البته آن چه که امروزه عموم کاربران آن را با عنوان SSL میشناسند و از آن روی سایتهای خود استفاده میکنند همان نسخه ارتقا یافته یا TLS است که با نام SSL/TLS نیز شناخته میشود.
مهمترین مزایای SSL چه چیزی است؟
قطعا هیچکس دوست ندارد اطلاعات شخصی یا حساب بانکیاش در سراسر اینترنت پخش شود. کاربرانی که به یک وب سایت مراجعه میکنند هم دقیقا همین انتظار را دارند. برای این که کاربران با ورود خود به یک وب سایت به آن اعتماد کنند، از آن انتظار خواهند داشت که از اطلاعات آنها به بهترین شکل ممکن، محافظت کند. خرید گواهی SSL برای وب سایت، میتواند به شما به عنوان صاحب یک کسبوکار کمک کند تا این کار را به خوبی انجام دهید. اما SSL یک سری مزیت دیگر هم دارد که در ادامه به آنها اشاره خواهیم کرد.
امنیت
هدف اصلی گواهی SSL، رمزنگاری اطلاعات است تا فقط دریافت کنندگانِ مورد نظر قادر به خواندن آنها باشند. به هر حال، احتمال اینکه اطلاعاتِ رد و بدل شده در فضای اینترنت به دست افراد غیرمجاز برسند، زیاد است. این امر، باعث افزایش سوءاستفادههای احتمالی میشود. با توجه به اینکه گواهی SSL دادهها را رمزگذاری میکند، یک سری کاراکتر تصادفی هم در آنها درج میشود.
پس حتی اگر سودجویان بتوانند به این اطلاعات دسترسی هم پیدا کنند، قادر به خواندن آنها نخواهند بود. SSL با برخورداری از این ویژگی، برای محافظت از اطلاعات حساس مانند شناسههای کاربری، رمز عبور و شماره کارت اعتباری، یک گزینه کاملا ایدهآل است. در این پروتکل، همهی ارتباطات کاملا امن است و افراد غیر مجاز نمیتوانند به همهی اطلاعاتی که از آن عبور میکنند دسترسی یابند.
رمزنگاری
در پروتکل SSL که تفاوت آن با TLS هم مورد بحث بود، میتوانید اطلاعات حساسی را که بین یک دستگاه با دستگاه دیگر انتقال پیدا میکنند را رمزگذاری کنید. این اطلاعات حساس شامل هر چیزی میشوند. از رمزعبور و شناسههای کاربری گرفته تا اطلاعات کارت اعتباری و…
احراز هویت
همانطور که اشاره شد، اطلاعات در فضای اینترنت، به دست منابع متعدد مختلفی میرسند. بنابراین، حتی به طور ناخواسته هم ممکن است منابعی به غیر از منابع اصلی به آنها دست پیدا کنند. SSL مطمئن میشود که هر اطلاعاتی که در سایت شما وجود دارد، به سرور هدف میرسد. در واقع، هنگام بازدید از یک وب سایت، بهخصوص هنگام ثبت هرگونه اطلاعات یا فایلی در سرور، SSL از رسیدن آن به وب سایت و سرور مناسب، اطمینان حاصل میکند. SSL برای تحقق این امر، از پوششی به اسم Server Certificate استفاده میکند. این گواهی، به عنوان یک رابط بین مرورگرها و سرورهای SSL عمل میکند تا مطمئن شود که ارائه دهنده گواهی SSL مورد اعتماد است.
اعتماد
گواهی SSL نشان دهندهی اعتبار یک سایت است و به عنوان یک تاییدیه عمل میکند. از این رو، هنگامی که بازدیدکنندگان از یک سایتِ دارای این گواهی بازدید میکنند، این حس اعتماد را به دست میآورند که به یک سایت کاملا قانونی مراجعه کردهاند که جعلی نیست. معمولا سایتهای احراز هویت شده توسط SSL دارای یک قفل سبز در نوار آدرس خود هستند. این قفل، نشان میدهد که سایت مورد نظر تمامی اقدامات امنیتی لازم را انجام داده و برای تراکنشهای کاربران نیز به اندازه کافی قابل اعتماد است. بازدیدکنندگان در صورت مشاهده اتصال امن HTTPS، به وب سایت شما بیشتر اعتماد خواهند کرد.
به هر حال، هیچکس دوست ندارد که بازدیدکنندگان زمان مراجعه به سایت او، با هشدار “This website is not secure” مواجه شوند. این هشدار، از مراجعهی مجدد آنها در آینده جلوگیری خواهد کرد. حتی اگر فروشگاه اینترنتی ندارید هم سایتتان باید حتما گواهی SSL داشته باشد. این گواهی به مشتریان و مراجعه کنندگان کمک میکند تا به شما و سایتتان اعتماد کنند. در غیر این صورت، این احتمال وجود دارد که کاربران پس از یک بار مراجعه مجددا به سایت باز نگردند. اگر سایت شما دارای این گواهی باشد، خودتان را به عنوان یک برند حرفهای و معتبر نشان خواهید داد که به مشتریان خود اهمیت می دهد.
جلوگیری از فیشینگ
گاهی اوقات ممکن است کاربران ایمیلهای فیشینگ (اغلب به شکل تبلیغات و یا تاییدیههای ارسال) دریافت کنند که حاوی یک لینک مستقیم به یک وب سایت دیگر هستند. تنها هدف این سایتها، جمع آوری اطلاعات حساس مانند اطلاعات کارت اعتباری کاربران و سایر جزئیات حریم شخصی است. تقریبا غیر ممکن است که چنین سایتهایی بتوانند گواهی SSL معتبر دریافت کنند. یکی از دلایل اصلی مقایسه تفاوت SSL و TLS هم دقیقا همین است. بنابراین، زمانی که بازدیدکنندگان متوجه وجود هیچ گواهی SSL معتبری در سایتی که به آن مراجعه کردهاند نمیشوند، میفهمند که نباید هیچ اطلاعات محرمانهای را در آن وارد کنند. SSL را میتوان به عنوان اثباتی بر این دانست که اطلاعات به وب سایت اشتباهی ارسال نمیشوند. این امر به تنهایی، از شما در برابر فیشینگ محافظت میکند. سایتهای فیشینگ سعی میکنند دقیقا از طراحی وب سایت شما تقلید کنند و به دنبال به دست آوردن اطلاعات حساس کاربران سایت شما هستند
پرداختهای آنلاین
تمامی صنایعی که در زمینه پرداخت با کارتهای اعتباری فعالیت میکنند، سایتها را به داشتن گواهی SSL با حداقل رمزنگاری ۱۲۸ بیتی برای پذیرش فرایند پرداخت ملزم میکنند. سایتها نمیتوانند بدون داشتن گواهی SSL معتبر، درگاه پرداخت با کارتهای اعتباری داشته باشند.
سرعت
در گذشته، این تصور وجود داشت که گواهی SSL سرعت سایت را کاهش میدهد. اما این یک باور کاملا اشتباه است. امروزه ثابت شده که HTTPS بهخصوص در پروتکلهای جدیدی نظیر نسخههای اخیر TLS که تفاوت آن با SSL هم بررسی شد، به جای کاهش سرعت سایت، باعث افزایش سرعت بارگذاری آن میشود. علاوه بر این، به طور غیر مستقیم با افزایش اعتماد کاربر باعث بهبود و ارتقاء عملکرد و بهینهتر شدن سایتها میشود.
الزامات نرم افزاری
SSL هیچ نیازی به نصب نرم افزارهای کلاینت ندارد. تنها چیزی که لازم است، اتصال به اینترنت از طریق یک مرورگر وب استاندارد است. بنابراین، با داشتن SSL میتوان در هزینه خرید، نگهداری و مدیریت نرم افزار هم به میزان قابل توجهی صرفه جویی کرد. این میتواند هم برای سازمانهای کوچک و هم ارگانهای بزرگ مفید باشد.
سئو
اخیرا گوگل اعلام کرده که داشتن گواهی SSL یکی از عوامل تاثیرگذار در افزایش رتبه در موتورهای جستوجو است. این الگوریتم، به گونهای ساخته شده که سایتهای دارای این گواهی رتبه بالاتری در SERP یا صفحهی نتایج موتورهای جستوجو به دست میآورند. هدف گوگل از انجام این کار، این است که دارندگان سایت را به استفاده از این گواهی ترغیب کند. تقریبا همهی سایتهایی که رتبه بالاتری در گوگل دارند، دارای گواهی SSL هستند. در واقع، از سال ۲۰۱۷ نصب این گواهی ضرورت بسیار بیشتری پیدا کرده. زیرا گوگل میتواند وب سایتهای بدون این معیار امنیتی را پرچم گذاری یا flag کند. برای جلب اعتماد بیشتر کاربران سایت خود و در نتیجه دریافت نتایج بهتر در رتبه بندی گوگل توصیه میشود بسته به نوع کسبوکار خود حتما یکی از انواع SSL را برای سایت خود تهیه و نصب کنید.
قیمت مناسب
خرید گواهی SSL هزینه چندان زیادی ندارد. گزینههای زیادی برای انتخاب وجود دارد که بسیاری از آنها قیمت پایینی دارند. ارائه دهندگان خدمات هاستینگ معتبر نظیر مبین هاست گواهی SSL را با قیمت بسیار مناسبی در اختیار کاربران قرار میدهند و همچنین، امکان انتخاب از بین انواع مختلف اس اس ال را نیز به آنها میدهند. در صورتی که شما هم قصد دارید با خرید گواهی SSL ضمن بهبود سرعت سایت خود و رتبه آن در نتایج موتورهای جستوجو، فضای امنتری در اختیار مراجعه کنندگان قرار دهید، میتوانید با مراجعه به سایت رسمی مبین هاست برای خرید گواهی SSL با بهترین شرایط و قیمت ممکن اقدام نمایید.
نصب راحت
برای نصب گواهی SSL نیازی به دانش فنی و مهارت چندان بالایی ندارید. شما میتوانید این گواهی را از طریق اکثر کنترل پنلها، تنها با چند کلیک ساده به راحتی نصب کنید. همچنین، برخی از شرکتهای هاستینگ همچون مبین هاست دارای پشتیبانی مدیریت شده شبانهروزی هستند که میتوانند این گواهی را برای شما نصب کند.
اکنون که تفاوت SSL و TLS را هم بررسی کردیم، میتوان گفت که مزیت اصلی این دو گواهی این است که با استفاده از رمزنگاری، از دادههای کاربران و حریم خصوصی آنها محافظت میکنند. همچنین، تجربهی کلی آنها را هم ارتقاء میدهند.
آیا به SSL و TLS نیاز دارم؟
امروزه امنیت سایبری به یک تهدید جدی تبدیل شده که در تمام بخشهای اینترنت در حال گسترش است. دادههای کاربران در هر نوع و مقیاسی در معرض خطرات جدی هستند و این امر برای همهی کاربران، از مدارس، آموزشگاهها و سایر موسسات آموزشی گرفته تا شرکتها و افراد، به یک اندازه اهمیت دارد. این ریسک، بهویژه در هنگام تبادل اطلاعات بین سیستمهای سرور و کلاینت بیشتر هم میشود. به همین دلیل، کاربران به یک سیستم امن نیاز دارند که جریان دادهها را از هر دو طرف رمزگذاری کند. فارغ از تفاوت SSL و TLS، وجود هر یک از این دو گواهی میتواند به این امر کمک موثری کند.
گواهی SSL یا TLS به عنوان یک سیستم رمزنگاری نهایی عمل میکند که ضمن رمزگذاری دادهها، از دسترسی غیرمجاز به آنها توسط هکرها و سایر سودجویان نیز جلوگیری میکند. همانطور که گوگل هم اعلام کرده، امروزه SSL به عنوان یک سیگنال رتبه بندی اهمیت زیادی پیدا کرده است که پیش از این هم اشاره مختصری در بخش سئو به آن داشتیم. وب سایتهای دارای گواهی SSL رتبههای بهتری در موتورهای جستوجو کسب میکنند، با نصب راحت و سرعت بارگذاری بیشتر تجربه بهتری در اختیار کاربران خود قرار میدهند و هیچ گونه نگرانی امنیتی خاصی هم ایجاد نمیکنند.
جمع بندی
با بررسی تفاوت SSL و TLS متوجه شدیم که هر دوی این گواهیهای امنیتی، یک وظیفهی مهم انجام میدهند که آن هم رمزنگاری دادههای قابل انتقال است. TLS نسخهی آپدیت شدهی SSL محسوب میشود که امنیت آن، ارتقاء یافته است. با این وجود، گواهیهای SSL که به سادگی در اینترنت در دسترس هستند، به همان هدف که ایمن سازی وب سایت شما است، کمک میکنند. در واقع، هر دوی آنها همان نوار آدرس HTTPS را به وبسایتها ارائه میکنند که به عنوان نماد بارز امنیت آنلاین شناخته شده است. بنابراین، تفاوت SSL و TLS چندان چشمگیر نیست و هر دو این پروتکلها برای ایجاد یک لایه حفاظت اضافی در سایت شما به کار میروند.