iranserver.com
July 4th, 2017, 16:38
HTTPS یک استاندارد امن برای تبادل امن اطلاعات در اینترنت است. این استاندرد با قرار گرفتن HTTP بروی پروتکل TLS ایجاد میشود. پروتکل TLS بر پایه رمزنگاری کلید متقارن است اما برای تبادل کلید متفارن از رمزنگاری نامتقارن استفاده میکند.
https://blog.iranserver.com/wp-content/uploads/2017/02/http-over-tls-300x206.jpg
از طرفی دو سمت ارتباط در HTTPS باید راهی برای شناسایی همدیگر داشته باشند در نتیجه از گواهی X.509 برای اطمینان از هویت طرف مقابل استفاده میکنیم. گواهی X.509 با استفاده از موجودیتی به نام CA تضمین میکند موضوع گواهی به اسم همان شخصی است که ادعا میکند.
به صورت خلاصه میتوانیم بگوییم CA با استفاده از گواهی دیجیتال و یا certificate جمله زیر را بیان میکند و مسئول اعلام و صدور این این جمله است:
این همان شخص و یا سازمان و یا دامنهای است که ادعا میکند و ما صحت این گواهی (کلید عمومی + مشخصات صاحب دامنه) را تایید میکنیم.
و از آنجا که کاربر و یا مرورگر به این CA اعتماد دارد در نتیجه میتوانند مطمئن باشند کلید عمومی که سایت ارایه کرده درست بوده ومربوط به سایت بازدید شده است.
CA ها گواهیهای متفاوتی صادر میکنند. در زیر چند گواهینامه را بررسی میکنیم:
گواهینامه DV:
گواهینامه Domain-validated certificate فقط دامنه درخواست کننده گواهی را تایید میکند و هویت سازمان یا شخص درخواست کننده گواهی رو تایید نمیکند. CA به یکی از روشهای زیر مالکیت بر دامنه را تایید میکند.
۱- به آدرس ایمیلی که در WHOIS دامنه مشخص شده یک ایمیل ارسال میکند و از مالک دامنه درخواست میکند با جواب به این ایمیل مالکیت بر دامنه را تایید میکند.
۲- به آدرس ایمیلی ماننده admin@domain.com و یا … ایمیلی ارسال میکند و از مالک این ایمیل درخواست میکند با جواب به این ایمیل مالکیت بر دامنه را تایید کند.
۳- از مالک دامنه درخواست میکند با ایجاد یک رکورد TXT مشخص در DNS دامنه مالیکت بر دامنه را تایید کند.
۴- بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.
از آنجاکه برای تایید و صدور گواهی DV نیازی به بررسی بیشتر نیست عموما این گواهیها در زمان کوتاهی صادر میشوند.
از مزایای این گواهینامه میتوان به آسانی دریافت و دریافت سریع اشاره کرد.
از آنجا که گواهینامه DV تنها مالکیت بر دامنه را تایید میکند نمیتواند ار کابر در برابر حمایت فیشینگ حمایت کند. برای کسب اطلاعات بیشتر این مطلب (https://blog.iranserver.com/lets-encrypt-%D9%88-%D9%85%D9%82%D8%A7%D8%A8%D9%84%D9%87-%D8%A8%D8%A7-%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF/) را مشاهد کنید.
https://blog.iranserver.com/wp-content/uploads/2017/03/dv-certificate-firefox4-300x234.png
جزئیات گواهینامه DV در مرورگر فایرفاکس
گواهیهای OV:
گواهینامههای organization validation علاوه بر تایید دامنه هویت سازمان درخواست کننده certificate را نیز تایید میکند. تایید هویت سازمان و دریافت این گواهینامه به صورتهای زیر انجام میشود.
۱- در صورتی که نام و مشخصات شرکت در منابع دولتی ثبت شده باشد.
۲- در صورتی که نام و مشخصات شرکت در سایر منابع آنلاین معتبر ثبت شده باشد.
۳- و یا شرکت درخواست دهنده گواهینامه به صورت کاغذی مدارک مورد نیاز را ارسال کند.
مروگرها نام شرکتی که گواهینامه OV را دریافت کرده است در جزئیات گواهینامه نمایش میدهد.
https://blog.iranserver.com/wp-content/uploads/2017/02/ov-cert-firefox1-300x113.png https://blog.iranserver.com/wp-content/uploads/2017/02/ov-cert-firefox2-300x67.png
https://blog.iranserver.com/wp-content/uploads/2017/02/ov-cert-firefox3-300x217.png
مشاهده جزئیات یک گواهینامه OV در فایرفاکس
گواهیهای EV:
برای دریافت گواهینامههای Extended Validation باید اسناد بیشتری نسبیت به OV به ارایه دهنده گواهی (CA) ارایه کنید. در نتیجه این گواهینامه از گواهیهای OV معتبرتر است.
مرورگرها نام شرکتی که گواهینامه EV دریافت کرده است را در نوارآدرس به رنگ سبز مینویسند. در شکل زیر یک سایت با گواهینامه EV را در مرورگر فایرفاکس میبینید.
https://blog.iranserver.com/wp-content/uploads/2017/02/EV-cert-firefox-300x212.png
گواهینامه EV سایت twitter
همچنین CA گزینه EV را به عنوان یکی از خصوصیات گواهی ارسال میکند. در صورت مشاهده جزئیات certificate در مرورگر میتوانید گزینه EV و یا Extended Validation را مشاهده کنید.
https://blog.iranserver.com/wp-content/uploads/2017/02/ev-cert-firefox-300x210.png
جزئیات یک گواهینامه ssl در مرورگر فایرفاکس
علاوه بر گواهینامههای بالا گواهینامههای code signing certificates و personal authentication certificates نیز وجود دارد.
منبع : https://goo.gl/W9FGKU/
https://blog.iranserver.com/wp-content/uploads/2017/02/http-over-tls-300x206.jpg
از طرفی دو سمت ارتباط در HTTPS باید راهی برای شناسایی همدیگر داشته باشند در نتیجه از گواهی X.509 برای اطمینان از هویت طرف مقابل استفاده میکنیم. گواهی X.509 با استفاده از موجودیتی به نام CA تضمین میکند موضوع گواهی به اسم همان شخصی است که ادعا میکند.
به صورت خلاصه میتوانیم بگوییم CA با استفاده از گواهی دیجیتال و یا certificate جمله زیر را بیان میکند و مسئول اعلام و صدور این این جمله است:
این همان شخص و یا سازمان و یا دامنهای است که ادعا میکند و ما صحت این گواهی (کلید عمومی + مشخصات صاحب دامنه) را تایید میکنیم.
و از آنجا که کاربر و یا مرورگر به این CA اعتماد دارد در نتیجه میتوانند مطمئن باشند کلید عمومی که سایت ارایه کرده درست بوده ومربوط به سایت بازدید شده است.
CA ها گواهیهای متفاوتی صادر میکنند. در زیر چند گواهینامه را بررسی میکنیم:
گواهینامه DV:
گواهینامه Domain-validated certificate فقط دامنه درخواست کننده گواهی را تایید میکند و هویت سازمان یا شخص درخواست کننده گواهی رو تایید نمیکند. CA به یکی از روشهای زیر مالکیت بر دامنه را تایید میکند.
۱- به آدرس ایمیلی که در WHOIS دامنه مشخص شده یک ایمیل ارسال میکند و از مالک دامنه درخواست میکند با جواب به این ایمیل مالکیت بر دامنه را تایید میکند.
۲- به آدرس ایمیلی ماننده admin@domain.com و یا … ایمیلی ارسال میکند و از مالک این ایمیل درخواست میکند با جواب به این ایمیل مالکیت بر دامنه را تایید کند.
۳- از مالک دامنه درخواست میکند با ایجاد یک رکورد TXT مشخص در DNS دامنه مالیکت بر دامنه را تایید کند.
۴- بنا به درخواست صادرکننده گواهی یک Cryptographic nonce منتشر کند.
از آنجاکه برای تایید و صدور گواهی DV نیازی به بررسی بیشتر نیست عموما این گواهیها در زمان کوتاهی صادر میشوند.
از مزایای این گواهینامه میتوان به آسانی دریافت و دریافت سریع اشاره کرد.
از آنجا که گواهینامه DV تنها مالکیت بر دامنه را تایید میکند نمیتواند ار کابر در برابر حمایت فیشینگ حمایت کند. برای کسب اطلاعات بیشتر این مطلب (https://blog.iranserver.com/lets-encrypt-%D9%88-%D9%85%D9%82%D8%A7%D8%A8%D9%84%D9%87-%D8%A8%D8%A7-%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF/) را مشاهد کنید.
https://blog.iranserver.com/wp-content/uploads/2017/03/dv-certificate-firefox4-300x234.png
جزئیات گواهینامه DV در مرورگر فایرفاکس
گواهیهای OV:
گواهینامههای organization validation علاوه بر تایید دامنه هویت سازمان درخواست کننده certificate را نیز تایید میکند. تایید هویت سازمان و دریافت این گواهینامه به صورتهای زیر انجام میشود.
۱- در صورتی که نام و مشخصات شرکت در منابع دولتی ثبت شده باشد.
۲- در صورتی که نام و مشخصات شرکت در سایر منابع آنلاین معتبر ثبت شده باشد.
۳- و یا شرکت درخواست دهنده گواهینامه به صورت کاغذی مدارک مورد نیاز را ارسال کند.
مروگرها نام شرکتی که گواهینامه OV را دریافت کرده است در جزئیات گواهینامه نمایش میدهد.
https://blog.iranserver.com/wp-content/uploads/2017/02/ov-cert-firefox1-300x113.png https://blog.iranserver.com/wp-content/uploads/2017/02/ov-cert-firefox2-300x67.png
https://blog.iranserver.com/wp-content/uploads/2017/02/ov-cert-firefox3-300x217.png
مشاهده جزئیات یک گواهینامه OV در فایرفاکس
گواهیهای EV:
برای دریافت گواهینامههای Extended Validation باید اسناد بیشتری نسبیت به OV به ارایه دهنده گواهی (CA) ارایه کنید. در نتیجه این گواهینامه از گواهیهای OV معتبرتر است.
مرورگرها نام شرکتی که گواهینامه EV دریافت کرده است را در نوارآدرس به رنگ سبز مینویسند. در شکل زیر یک سایت با گواهینامه EV را در مرورگر فایرفاکس میبینید.
https://blog.iranserver.com/wp-content/uploads/2017/02/EV-cert-firefox-300x212.png
گواهینامه EV سایت twitter
همچنین CA گزینه EV را به عنوان یکی از خصوصیات گواهی ارسال میکند. در صورت مشاهده جزئیات certificate در مرورگر میتوانید گزینه EV و یا Extended Validation را مشاهده کنید.
https://blog.iranserver.com/wp-content/uploads/2017/02/ev-cert-firefox-300x210.png
جزئیات یک گواهینامه ssl در مرورگر فایرفاکس
علاوه بر گواهینامههای بالا گواهینامههای code signing certificates و personal authentication certificates نیز وجود دارد.
منبع : https://goo.gl/W9FGKU/