فرادرسگواهی امنیتی یک وبسایت چیست و چرا باید به آن توجه کنیم؟
آیا تاکنون با خطایی به صورت «There is a problem with this website’s security certificate» مواجه شدهاید؟ این خطا میگوید که مشکلی در گواهی امنیتی وبسایت پیش آمده است. در این نوشته تلاش خواهیم کرد تا مفهوم گواهی امنیتی وبسایت را معرفی کرده و شیوه کار آن را توضیح دهیم. بنابراین از این پس میتوانید با خیال راحت به وبگردی بپردازید و هر بار که با این خطا مواجه شدید، بدانید که دقیقاً چه کار باید بکنید. جهت آشنایی با مفاهیم امنیت شبکه میتوان مقاله آموزش CCNA Security را مطالعه کرد.
چرا گواهی امنیتی مهم است
وقتی به وبسایتی دسترسی دارید که باید وارد آن شوید و حساب خود را مدیریت کنید، بسیار حائز اهمیت است که اطلاعات حسابتان بین شما و ارائهدهنده سرویس محفوظ بماند. بدین ترتیب پول، هویت و اطلاعات شخصیتان ایمن باقی میماند. این ارائهدهنده خدمات آنلاین، ممکن است بانک، فروشگاه آنلاین و یا وبسایت تجارت الکترونیک، پیپال، ایمیل و یا وبلاگ شخصی شما باشد.
وقتی به چنین وبسایتهایی دسترسی دارید باید توجه داشته باشید که آیکون قفل در کنار آدرس وبسایت باشد و آدرس آن به جای «http» با «https» آغاز شده باشد.
Https یا «پروتکل انتقال فرامتن امن» نشان میدهد که یک وبسایت به وسیله لایه امنیتی لایه/انتقال سوکت امن حفاظت شده است. در این حالت دادههایی که بین شما و وبسایت مبادله میشوند، همگی رمزنگاری میشوند و بنابراین اطلاعات، خصوصی میمانند. همچنین این حالت میتوان مطمئن بود که وبسایت مربوطه همان است که ادعا میکند. دقیقاً همان طور که شما هویت خود را از طریق نام کاربری و رمز عبور و دیگر اطلاعات مانند اعتبارسنجی دومرحلهای که ممکن است از شما پرسیده شود، تأیید میکنید، وبسایت نیز باید هویت خود را اثبات کند. وبسایت این کار را از طریق نشان دادن گواهی امنیتی به مرورگر وب شما انجام میدهد و سپس شما میتوانید بدانید که این وبسایت که دارای آیکون قفل است امن محسوب میشود.
خطر جعل
اگر زمانی که در یک وبسایت امن هستید، این نکات را نبینید یا با یک هشدار مواجه شوید، این بدان معنی است که وبسایت ممکن است جعلی باشد. در چنین وبسایتی ممکن است شما اطلاعاتتان را به افراد نادرستی بفرستید. در نتیجه ممکن است قربانی حملهای شده باشید که به نام man-in-the-middle نامیده میشود. ممکن است نماد قفل مرورگر به رنگ سبز نباشد یا هشداری زردرنگ بر روی خود داشته باشد. در چنین مواردی شما میتوانید بر روی آیکون قفل کلیک کنید تا جزییات بیشتری در مورد گواهی امنیتی وبسایت مشاهده کنید.
نمادهای امنیتی متفاوت هستند و بسته به این که از چه نوع مرورگری استفاده میکنید باید به مستندات آن مراجعه کنید تا معنی نمادهای مختلف را بدانید.
مالکان وبسایت، مرورگرها و مراجع امنیتی
مالکان وبسایتهای تجارت الکترونیک به یک شخص ثالث به نام مرجع امنیتی (CA) هزینهای میدهند تا هویت شرکتشان را تأیید کند و تضمین دهد که تراکنشها معتبر هستند.
مرورگرهای وب مانند گوگل کروم، فایرفاکس و اینترنت اکسپلورر فهرستی از مراجع گواهی در اختیار دارند که آنها را مورد اعتماد میدانند. زمانی که شما به یک وبسایت امن مراجعه میکنید، این وبسایت گواهی امنیتی خود را به مرورگر شما میفرستد. اگر این گواهی بروز بوده و از سوی مرجع امنیتی مورد اعتمادی صادر شده باشد، شما مجاز هستید که وارد وبسایت شوید و تراکنشهای خود را بدون نگرانی انجام دهید.
اگر میخواهید یک وبسایت امن را راهاندازی کنید، CA های مختلفی وجود دارند که میتوانید از بین آنها انتخاب کنید. این مراجع شامل Norton، GoDaddy، Microsoft و بسیاری موارد دیگر هستند. کار آنها این است که تأیید کنند شما مالک وبسایت هستید و یک گواهی برای شما صادر میکنند که به نام گوهی تأیید اعتبار دامنه نامیده میشود. این کار میتواند از طریق ایمیل با دستورالعملهایی برای بهروزرسانی تنظیمات سرور نام دامنه (DNS) یا از طریق فایلهایی که شما روی وبسرور خود قرار میدهید، صورت بگیرد. ایده کار این است که تنها کسی که ایمیل را دریافت میکند، دستورالعملهای دقیق برای بهروزرسانی وبسایت را دارد و میتواند این کار را انجام دهد.
امنیت بیشتر
انواع دیگری از گواهیهای امنیتی هستند که مراجع امنیتی پیشنهاد میدهند و هویت شما و کسبوکارتان را تأیید میکنند. این گواهیها شامل تأیید اعتبار گسترده (Extended Validation) هستند که ممکن است هزاران دلار هزینه داشته باشد. این تأیید اعتبار شامل تأیید اطلاعاتی مانند هویت حقوقی مالک وبسایت، نام شرکت، نشانی فیزیکی، اطلاعات ثبتی و حقوقی شرکت مربوطه است. در صورتی که در حال انجام یک کسبوکار عمده هستید، اینها معیارهای مهمی برای ایجاد اعتماد محسوب میشوند.
زمانی که به سایتی مراجعه میکنید که دارای تأیید اعتبار گسترده است، مرورگرهای مدرن نام شرکت را در نوار URL به رنگ سبز نشان میدهند و شما میدانید که با شرکت صحیحی سروکار دارید.
مراجع گواهی امنیتی رایگان
مراجعی وجود دارند که گواهیهای امنیتی رایگان نیز ارائه میکنند، اما از آنجا که این خدمات رایگان هستند، شامل همه لایههای گواهی امنیتی نمیشوند. همچنین در مواردی ممکن است از سوی برخی مرورگرها یا سیستمهای عامل مانند اندروید به رسمت شناخته نشوند. Let’s Encrypt یکی از پیشروترین ارائهدهندههای گواهیهای امنیتی رایگان است که گواهیهای آن برای تأیید اعتبار دامنه تقریباً هیچ تفاوتی با نمونههای پولی ندارد. CACert نیز یک مرجع صدور گواهی امنیتی است که به همت جامعهای که آن را بنا کرده است کار میکند. این جامعه داوطلبان با مالکان وبسایتها جلساتی برگزار میکند تا اسناد هویتی آنها را بررسی کند. متأسفانه گواهیهای امنیتی این جامعه در اغلب مرورگرهای عمده مورد تأیید قرار نمیگیرند و تنها در چند سیستمعامل متن-باز به رسمیت شناخته شدهاند.
با این حال اگر از خدمات Let’s Encrypt استفاده کنید، وبسایت شما کاملاً امن شناخته میشود و اگر در وبسایت خود تعاملهای محدودی با کاربر دارید (مثلاً یک سایت آموزشی یا انجمن است) این خدمات رایگان دقیقاً همان چیزی است که نیاز دارید.
در صورتی که یک هشدار گواهی امنیتی دیدیم، چه باید بکنیم؟
زمانی که در مرورگر خود با یک هشدار گواهینامه امنیتی مواجه میشوید، نکته مهمی که باید بدانید این است که باید جزییات آن را بررسی کنید. باید بدانید که چرا گواهی امنیتی رد شده است و با مسئولیت خود تصمیم بگیرید که میخواهید به مسیر خود ادامه بدهید یا تشخیص میدهید که بهتر است وبسایت را ترک کنید. اگر گواهی امنیتی منقضی شده باشد، ممکن است مالک وبسایت فراموش کرده باشد که آن را سر موعد تمدید کند. اگر این خطا را به طور مکرر میبینید، باید بررسی کنید که آیا تاریخ رایانه شما دقیق است یا نه.
با این حال اگر گواهی امنیتی پس گرفته شده باشد، بدین معنی است که این سایت از گواهی جعلی استفاده میکرده است و نباید به آن اعتماد کنید. همچنین ممکن است با این خطا مواجه شوید که مرجع صدور گواهی مورد اعتماد نیست. اگر اینقدر اطلاعات دارید که شخصاً میتوانید مدل تأیید اعتبار گواهی اعتبار دامنه را تشخیص دهید میتوانید به مرورگر بگویید که میتواند به این مرجع امنیتی اعتماد کند. انواع دیگری از هشدارها و خطاها نیز وجود دارند که باید در مورد آنها کاملاً هوشیار باشید و جزییاتشان را به دقت مطالعه کنید.
شبکههای اجتماعی
زمانی که یک هشدار گواهی را مشاهده میکنید میتوانید به شبکههای اجتماعی این وبسایت مراجعه کنید تا ببینید که آیا شرکت به اطلاعاتی در مورد مشکلات بهروزرسانی، عدم دسترسی، امنیتی و مسائل دیگر اشاره کرده است یا نه.
اگر شرکت مربوطه اطلاعاتی در مورد مشکلات وبسایت را ذکر نکرده بود، در این صورت میتوانید شخصاً با آنها تماس داشته باشید و در مورد مشکل خود توضیح بخواهید. ممکن است مالک وبسایت هنوز از این مشکل آگاه نباشد و بدین ترتیب میتوانید به وی و دیگر مراجعان وبسایت کمک بزرگی بکنید.
به طور خلاصه، باید بسیار مراقب باشید چون سایتهای فیشینگ همیشه آماده سوءاستفاده از غفلت شما هستند. شما باید کنجکاوی به خرج بدهید و دریابید که چرا این هشدارهای امنیتی در مرورگر ظاهر شدهاند.
آیا تاکنون با هر نوع هشدار گواهی امنیتی مواجه شدهاید؟ آیا برای این که بفهمید این گواهیها چه هستند وقتی را صرف نمودهاید؟ کدام هشدارها بیشتر شما را نگران کردهاند و آیا علاوه بر مطالبی که در این نوشته مطرح کردیم، نکتهای به نظرتان میرسد که به این راهنما بیفزایید؟ در هر صورت میتوانید دیدگاهها و پیشنهادهای خود را در بخش نظرات با ما و دیگران خوانندگان فرادرس در میان بگذارید.
اگر این نوشته مورد توجه شما واقع شده است، احتمالاً آموزشهای زیر نیز برای شما مفید خواهند بود:
- آموزش امنیت شبکه های کامپیوتری
- آموزش پروتکل های امن (ب) در امنیت شبکه های کامپیوتری
- آموزش آشنایی با پروتکل های مسیریابی در سیسکو CCNA
- ۵ راه ساده برای مقابله با سرقت اطلاعات
- خطای ۴۰۴ چیست؟ — توضیح کامل خطاهای http و معنی آن در وبسایتها
- آموزش امنیت شبکه — راهنمای شروع و یادگیری
- آموزش CCNA Security — رایگان، به زبان ساده و خلاصه
==
