امروزه افراد بیشتری نسبت به قبل به وب متصل هستند - و از مکان های بیشتری.
ما با لپتاپها، تلفنها و تبلتهای خود و احتمالاً به زودی با دستگاهها و لوازم جانبی شخصی خود در ارتباط هستیم. ما از طریق شبکه های غیرقابل اعتماد و گاهی اوقات حتی متخاصم به اینترنت دسترسی داریم. با توجه به اینکه بخش اعظم زندگی ما به صورت آنلاین در حال انجام است، ضروری است که اقداماتی را برای محافظت از داده های خود و داده های کاربران خود انجام دهیم.
مهمتر از همه، به عنوان توسعه دهندگان باید ضرورت و کاربردی بودن SSL را درک کنیم.
SSL چیست؟ این مخفف عبارت Secure Sockets Layer است و یک پروتکل رمزنگاری است که برای تامین امنیت ارتباط از طریق اینترنت طراحی شده است. حریم خصوصی را از طریق رمزگذاری و یکپارچگی تضمین می کند تا از جاسوسی یا دستکاری در اتصال اینترنت شما جلوگیری کند. SSL دارای اشکالاتی است، اما راه پیشرو – و در واقع تنها راه – برای تضمین هر نوع امنیت ارتباطات داده در اینترنت است.
با توجه به SSL Pulse ، یک سال پیش ما تقریباً کمتر از 15٪ از SSL را پذیرفتیم. ما اکنون بیش از 50 درصد پذیرش داریم.
دو مخفف:
TLS: برای اکثر مقاصد و مقاصد مشابه SSL است. به طور دقیق، SSL 3.1 به TLS تغییر نام داد و TLS نام استاندارد IETF است. اما آنها قابل تعویض هستند!
HTTPS: این HTTP بیش از SSL است، فقط لایه بندی قابلیت های امنیتی SSL و HTTP استاندارد. ابتدا دست دادن مشتری و سرور، با استفاده از رمزنگاری کلید عمومی/خصوصی برای ایجاد یک کلید مشترک - که توسط بخش دوم پروتکل SSL برای رمزگذاری ارتباطات استفاده می شود.
شبکه در اینترنت ممکن است احساس امنیت، فوری و سریع داشته باشد. به نظر می رسد که ما مستقیماً با وب سایت صحبت می کنیم. اما در واقعیت، این یک ارتباط مستقیم نیست. ارتباطات ما از طریق یک روتر وای فای، یک ISP، و احتمالاً سایر پروکسی های واسطه بین دستگاه شما و وب سایت انجام می شود. بدون HTTPS، تمام ارتباطات ما به صورت متن ساده است.
مشکل اینجاست که کاربران به ندرت یک URL کامل را که HTTPS را مشخص می کند تایپ می کنند - یا با استفاده از HTTP روی پیوند کلیک می کنند. بدتر از آن، این امکان وجود دارد که یک حمله (wo)man-in-the-middle را انجام دهید و HTTP را با HTTP جایگزین کنید. ابزاری به نام SSLstrip که در سال 2009 معرفی شد این کار را انجام می دهد. Firesheep، از سال 2010، فقط به شبکههای وایفای باز شده برای ارسال کوکیها به صورت واضح گوش میداد: این بدان معناست که میتوانید در چت به آن گوش دهید یا به حساب فیسبوک شخصی وارد شوید.
اما SSL (نسبتا) ارزان، سریع و آسان برای استقرار است (به ssllabs.com و کتاب ایلیا گریگوریک با کارایی بالا در مرورگر شبکه سازی مراجعه کنید). برای استفاده غیرتجاری، حتی می توانید گواهینامه های رایگان را از startssl.com دریافت کنید! پین کردن کلید عمومی به این منظور طراحی شده است که به اپراتورهای وبسایت وسیلهای برای محدود کردن این که مقامات گواهی میتوانند واقعاً برای سایتهای خود گواهی صادر کنند، طراحی شده است.
"در ژانویه امسال (2010)، Gmail به طور پیشفرض به استفاده از HTTPS برای همه چیز تغییر داد. برای انجام این کار، ما مجبور شدیم هیچ ماشین اضافی و سختافزار خاصی را مستقر نکنیم. در ماشینهای فرانتاند تولیدی ما، SSL کمتر از 1% را تشکیل میدهد. از بار CPU، کمتر از 10 کیلوبایت حافظه در هر اتصال، و کمتر از 2٪ از سربار شبکه…
اگر اکنون خواندن را متوقف کنید، فقط باید یک چیز را به خاطر بسپارید: SSL دیگر از نظر محاسباتی گران نیست.
– اورکلاک SSL ، آدام لنگلی (گوگل)
در نهایت، چند باگ که بیشتر می بینیم:
- محتوای ترکیبی: سایت هایی که از HTTP و همچنین HTTPS استفاده می کنند. کاربر شما عصبانی می شود زیرا باید روی دکمه مجوز برای بارگذاری محتوا کلیک کند. (Chrome و Firefox در واقع محتوای ترکیبی را از iframes میبندند.) با استفاده از URLهای نسبی یا مرتبط با طرح، به عنوان مثال
<style src="//foo.com/style.css">مطمئن شوید که تمام منابع شما در یک صفحه HTTPS توسط HTTPS بارگیری میشوند.<style src="//foo.com/style.css"> - کوکی های ناامن: از طریق یک اتصال HTTP به صورت پاک ارسال می شود. با تنظیم ویژگی امن در هدرهای کوکی از این امر جلوگیری کنید. همچنین می توانید از یک سربرگ جدید "Strict Transport Security" برای نیاز به امنیت حمل و نقل SSL (HSTS) استفاده کنید.
غذای آماده
- اگر به حفظ حریم خصوصی و یکپارچگی داده های کاربران خود اهمیت می دهید، باید از SSL استفاده کنید. این سریع تر، آسان تر و ارزان تر از همیشه است.
- از پیچیدگیهای رایج پیادهسازی، مانند اشکالات محتوای مختلط یا تنظیم نکردن بیتهای هدر HTTP مناسب اجتناب کنید.
- از URL های نسبی یا طرحی استفاده کنید.
- برخی از موارد جالب جدید مانند HSTS و پین کردن گواهی را بررسی کنید
اسلایدها: SSL دارید؟