گواهی امنیتی یک وب‌سایت چیست و چرا باید به آن توجه کنیم؟

۶۴۶ بازدید
آخرین به‌روزرسانی: ۲۰ شهریور ۱۴۰۲
زمان مطالعه: ۵ دقیقه
گواهی امنیتی یک وب‌سایت چیست و چرا باید به آن توجه کنیم؟

آیا تاکنون با خطایی به صورت «There is a problem with this website’s security certificate» مواجه شده‌اید؟ این خطا می‌گوید که مشکلی در گواهی امنیتی وب‌سایت پیش آمده است. در این نوشته تلاش خواهیم کرد تا مفهوم گواهی امنیتی وب‌سایت را معرفی کرده و شیوه کار آن را توضیح دهیم. بنابراین از این پس می‌توانید با خیال راحت به وبگردی بپردازید و هر بار که با این خطا مواجه شدید، بدانید که دقیقاً چه کار باید بکنید. جهت آشنایی با مفاهیم امنیت شبکه می‌توان مقاله آموزش CCNA Security را مطالعه کرد.

چرا گواهی امنیتی مهم است

وقتی به وب‌سایتی دسترسی دارید که باید وارد آن شوید و حساب خود را مدیریت کنید، بسیار حائز اهمیت است که اطلاعات حسابتان بین شما و ارائه‌دهنده سرویس محفوظ بماند. بدین ترتیب پول، هویت و اطلاعات شخصی‌تان ایمن باقی می‌ماند. این ارائه‌دهنده خدمات آنلاین، ممکن است بانک، فروشگاه آنلاین و یا وب‌سایت تجارت الکترونیک، پی‌پال، ایمیل و یا وبلاگ شخصی شما باشد.

وقتی به چنین وب‌سایت‌هایی دسترسی دارید باید توجه داشته باشید که آیکون قفل در کنار آدرس وب‌سایت باشد و آدرس آن به جای «http» با «https» آغاز شده باشد.

Https یا «پروتکل انتقال فرامتن امن» نشان می‌دهد که یک وب‌سایت به وسیله لایه امنیتی لایه/انتقال سوکت امن حفاظت شده است. در این حالت داده‌هایی که بین شما و وب‌سایت مبادله می‌شوند، همگی رمزنگاری می‌شوند و بنابراین اطلاعات، خصوصی می‌مانند. همچنین این حالت می‌توان مطمئن بود که وب‌سایت مربوطه همان است که ادعا می‌کند. دقیقاً همان طور که شما هویت خود را از طریق نام کاربری و رمز عبور و دیگر اطلاعات مانند اعتبار‌سنجی دومرحله‌ای که ممکن است از شما پرسیده شود، تأیید می‌کنید، وب‌سایت نیز باید هویت خود را اثبات کند. وب‌سایت این کار را از طریق نشان دادن گواهی امنیتی به مرورگر وب شما انجام می‌دهد و سپس شما می‌توانید بدانید که این وب‌سایت که دارای آیکون قفل است امن محسوب می‌شود.

خطر جعل

اگر زمانی که در یک وب‌سایت امن هستید، این نکات را نبینید یا با یک هشدار مواجه شوید، این بدان معنی است که وب‌سایت ممکن است جعلی باشد. در چنین وب‌سایتی ممکن است شما اطلاعاتتان را به افراد نادرستی بفرستید. در نتیجه ممکن است قربانی حمله‌ای شده باشید که به نام man-in-the-middle نامیده می‌شود. ممکن است نماد قفل مرورگر به رنگ سبز نباشد یا هشداری زردرنگ بر روی خود داشته باشد. در چنین مواردی شما می‌توانید بر روی آیکون قفل کلیک کنید تا جزییات بیشتری در مورد گواهی امنیتی وب‌سایت مشاهده کنید.

نمادهای امنیتی متفاوت هستند و بسته به این که از چه نوع مرورگری استفاده می‌کنید باید به مستندات آن مراجعه کنید تا معنی نمادهای مختلف را بدانید.

مالکان وب‌سایت، مرورگرها و مراجع امنیتی

مالکان وب‌سایت‌های تجارت الکترونیک به یک شخص ثالث به نام مرجع امنیتی (CA) هزینه‌ای می‌دهند تا هویت شرکتشان را تأیید کند و تضمین دهد که تراکنش‌ها معتبر هستند.

مرورگرهای وب مانند گوگل کروم، فایرفاکس و اینترنت اکسپلورر فهرستی از مراجع گواهی در اختیار دارند که آن‌ها را مورد اعتماد می‌دانند. زمانی که شما به یک وب‌سایت امن مراجعه می‌کنید، این وب‌سایت گواهی امنیتی خود را به مرورگر شما می‌فرستد. اگر این گواهی بروز بوده و از سوی مرجع امنیتی مورد اعتمادی صادر شده باشد، شما مجاز هستید که وارد وب‌سایت شوید و تراکنش‌های خود را بدون نگرانی انجام دهید.

اگر می‌خواهید یک وب‌سایت امن را راه‌اندازی کنید، CA های مختلفی وجود دارند که می‌توانید از بین آن‌ها انتخاب کنید. این مراجع شامل Norton، GoDaddy، Microsoft و بسیاری موارد دیگر هستند. کار آن‌ها این است که تأیید ‌کنند شما مالک وب‌سایت هستید و یک گواهی برای شما صادر می‌کنند که به نام گوهی تأیید اعتبار دامنه نامیده می‌شود. این کار می‌تواند از طریق ایمیل با دستورالعمل‌هایی برای به‌روزرسانی تنظیمات سرور نام دامنه (DNS) یا از طریق فایل‌هایی که شما روی وب‌سرور خود قرار می‌دهید، صورت بگیرد. ایده کار این است که تنها کسی که ایمیل را دریافت می‌کند، دستورالعمل‌های دقیق برای به‌روزرسانی وب‌سایت را دارد و می‌تواند این کار را انجام دهد.

امنیت بیشتر

انواع دیگری از گواهی‌های امنیتی هستند که مراجع امنیتی پیشنهاد می‌دهند و هویت شما و کسب‌وکارتان را تأیید می‌کنند. این گواهی‌ها شامل تأیید اعتبار گسترده (Extended Validation) هستند که ممکن است هزاران دلار هزینه داشته باشد. این تأیید اعتبار شامل تأیید اطلاعاتی مانند هویت حقوقی مالک وب‌سایت، نام شرکت، نشانی فیزیکی، اطلاعات ثبتی و حقوقی شرکت مربوطه است. در صورتی که در حال انجام یک کسب‌وکار عمده هستید، این‌ها معیارهای مهمی برای ایجاد اعتماد محسوب می‌شوند.

زمانی که به سایتی مراجعه می‌کنید که دارای تأیید اعتبار گسترده است، مرورگرهای مدرن نام شرکت را در نوار URL به رنگ سبز نشان می‌دهند و شما می‌دانید که با شرکت صحیحی سروکار دارید.

مراجع گواهی امنیتی رایگان

مراجعی وجود دارند که گواهی‌های امنیتی رایگان نیز ارائه می‌کنند، اما از آنجا که این خدمات رایگان هستند، شامل همه لایه‌های گواهی امنیتی نمی‌شوند. همچنین در مواردی ممکن است از سوی برخی مرورگرها یا سیستم‌های عامل مانند اندروید به رسمت شناخته نشوند. Let’s Encrypt  یکی از پیشروترین ارائه‌دهنده‌های گواهی‌های امنیتی رایگان است که گواهی‌های آن برای تأیید اعتبار دامنه تقریباً هیچ تفاوتی با نمونه‌های پولی ندارد. CACert نیز یک مرجع صدور گواهی امنیتی است که به همت جامعه‌ای که آن را بنا کرده است کار می‌کند. این جامعه داوطلبان با مالکان وب‌سایت‌ها جلساتی برگزار می‌کند تا اسناد هویتی آن‌ها را بررسی کند. متأسفانه گواهی‌های امنیتی این جامعه در اغلب مرورگرهای عمده مورد تأیید قرار نمی‌گیرند و تنها در چند سیستم‌عامل متن-باز به رسمیت شناخته شده‌اند.

با این حال اگر از خدمات Let’s Encrypt استفاده کنید، وب‌سایت شما کاملاً امن شناخته می‌شود و اگر در وب‌سایت خود تعامل‌های محدودی با کاربر دارید (مثلاً یک سایت آموزشی یا انجمن است) این خدمات رایگان دقیقاً همان چیزی است که نیاز دارید.

در صورتی که یک هشدار گواهی امنیتی دیدیم، چه باید بکنیم؟

زمانی که در مرورگر خود با یک هشدار گواهینامه امنیتی مواجه می‌شوید، نکته مهمی که باید بدانید این است که باید جزییات آن را بررسی کنید. باید بدانید که چرا گواهی امنیتی رد شده است و با مسئولیت خود تصمیم بگیرید که می‌خواهید به مسیر خود ادامه بدهید یا تشخیص می‌دهید که بهتر است وب‌سایت را ترک کنید. اگر گواهی امنیتی منقضی شده باشد، ممکن است مالک وب‌سایت فراموش کرده باشد که آن را سر موعد تمدید کند. اگر این خطا را به طور مکرر می‌بینید، باید بررسی کنید که آیا تاریخ رایانه شما دقیق است یا نه.

با این حال اگر گواهی امنیتی پس گرفته شده باشد، بدین معنی است که این سایت از گواهی جعلی استفاده می‌کرده است و نباید به آن اعتماد کنید. همچنین ممکن است با این خطا مواجه شوید که مرجع صدور گواهی مورد اعتماد نیست. اگر این‌قدر اطلاعات دارید که شخصاً می‌توانید مدل تأیید اعتبار گواهی اعتبار دامنه را تشخیص دهید می‌توانید به مرورگر بگویید که می‌تواند به این مرجع امنیتی اعتماد کند. انواع دیگری از هشدارها و خطاها نیز وجود دارند که باید در مورد آن‌ها کاملاً هوشیار باشید و جزییاتشان را به دقت مطالعه کنید.

شبکه‌های اجتماعی

زمانی که یک هشدار گواهی را مشاهده می‌کنید می‌توانید به شبکه‌های اجتماعی این وب‌سایت مراجعه کنید تا ببینید که آیا شرکت به اطلاعاتی در مورد مشکلات به‌روزرسانی، عدم دسترسی، امنیتی و مسائل دیگر اشاره کرده است یا نه.

اگر شرکت مربوطه اطلاعاتی در مورد مشکلات وب‌سایت را ذکر نکرده بود، در این صورت می‌توانید شخصاً با آن‌ها تماس داشته باشید و در مورد مشکل خود توضیح بخواهید. ممکن است مالک وب‌سایت هنوز از این مشکل آگاه نباشد و بدین ترتیب می‌توانید به وی و دیگر مراجعان وب‌سایت کمک بزرگی بکنید.

به طور خلاصه، باید بسیار مراقب باشید چون سایت‌های فیشینگ همیشه آماده سوءاستفاده از غفلت شما هستند. شما باید کنجکاوی به خرج بدهید و دریابید که چرا این هشدارهای امنیتی در مرورگر ظاهر شده‌اند.

آیا تاکنون با هر نوع هشدار گواهی امنیتی مواجه شده‌اید؟ آیا برای این که بفهمید این گواهی‌ها چه هستند وقتی را صرف نموده‌اید؟ کدام هشدارها بیشتر شما را نگران کرده‌اند و آیا علاوه بر مطالبی که در این نوشته مطرح کردیم، نکته‌ای به نظرتان می‌رسد که به این راهنما بیفزایید؟ در هر صورت می‌توانید دیدگاه‌ها و پیشنهادهای خود را در بخش نظرات با ما و دیگران خوانندگان فرادرس در میان بگذارید.

اگر این نوشته مورد توجه شما واقع شده است، احتمالاً آموزش‌های زیر نیز برای شما مفید خواهند بود:

==

بر اساس رای ۱۳ نفر
آیا این مطلب برای شما مفید بود؟
اگر بازخوردی درباره این مطلب دارید یا پرسشی دارید که بدون پاسخ مانده است، آن را از طریق بخش نظرات مطرح کنید.
منابع:
makeuseof
نظر شما چیست؟

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *