در مقالات پیشین لیموهاست با گواهینامه SSL و ضرورت استفاده از آن آشنا شدیم. اما نکتهای که به آن اشاره نشد، انواع گواهینامه SSL است. گواهینامههای SSL انواع مختلفی دارند که براساس نوع وبسایت و کسبوکار، کاربردهای مختلفی ارائه میدهند.
اینطور بگوییم که درست همانطور که برای ساخت انواع ملک (تجاری، اداری، مسکونی و…) مجوزهای مختلفی نیاز داریم، برای انواع وبسایت هم باید گواهی مناسب و مخصوص را دریافت کنیم. در این مطلب همراه ما باشید تا گواهی مورد نیاز خودتان را بشناسید.
مروری بر تعریف SSL
گواهی SSL یا (SSL Certificates) یک پروتکل امنیتی حاوی اطلاعات مهم است که ارتباط بین سایت و مرورگرهای وب را رمزگذاری میکند. اطلاعاتی مثل کلید عمومی وبسایت، نام دامنه، امضای دیجیتال مرجع صدور گواهی و… که برای احراز هویت سرور اصلی استفاده میشود (در ادامه برخی از این مفاهیم را توضیح خواهیم داد).
این اطلاعات باعث میشوند هویت سایت مشخص باشد و سایت دور از دسترس هکرها بماند. علاوهبر این گواهی SSL از جعل هویت سایت در مسیر انتقال داده و فریب کاربران توسط هکرها جلوگیری میکند. اگر میخواهید بیشتر دربارهٔ این گواهی بدانید، مقالهٔ SSL چیست را مطالعه کنید.
قبل از اینکه به بررسی انواع گواهی SSL بپردازیم بهتر است با اطلاعاتی که این گواهی رمزگذاریشان میکند بیشتر آشنا شویم تا فهم سایر مطالب مقاله نیز برایتان راحتتر شود.
منظور از کلیدهای رمزنگاری شده عمومی و خصوصی چیست؟
بیایید به مفهوم کلیدهای رمزنگاری شده بازگردیم و مروری سریع بر این مفهوم داشته باشیم. کلیدهای رمزنگاری شده، عبارتهایی متشکل از کاراکتر هستند که برای هیچکس جز صادرکننده و دریافتکننده معتبر، قابلفهم نیستند. درست مثل این که شما و دوستتان توافق کنید که هرگاه عبارت بیمعنای «ممطغ» را برای یکدیگر در پیامک درج کنید، منظورتان سلام است و وقتی کس دیگری این پیام را بخواند متوجه منظورتان نشود. کلیدها هم میتوانند به صورتهایی مثل «۲jd8932kd8» رمزگذاری شوند. این کلید رمزگذاری شده حالا میتواند در شبکه با سایر دستگاهها به اشتراک گذاشته شود، چون کاراکترهای آن نامفهوم هستند.
این متن رمزگذاری شده کلید عمومی شماست.
اما در کنار کلید عمومی، یک نوع کلید دیگر و بسیار امنیتیتر به نام کلید خصوصی هم وجود دارد. کلید خصوصی دادهها را رمزگشایی میکند. برای همین حفاظت از آن بسیار مهم است. به اشتراک گذاشتن کلید خصوصی، مثل این است که دوستتان جلوی دیگران معنی کلمه «ممطغ» را بگوید و اطلاعات سری شما لو برود.
امضای دیجیتال مرجع صدور گواهی چیست؟
امضای دیجیتال یا CSR در واقع فایلی رمزگذاری شده و حاوی اطلاعات مهم سایت شما، مثل کلید عمومی و خصوصی است. مرجع صدور دامنه یا CA این فایل را با درج وبسایت، خدمات، سازمان، موقعیت مکانی و نام دامنه شما صادر میکند و با آن هویت و امنیت ارتباطات سایت شما را تایید میکند.
پیشنهاد خواندنی: آموزش نصب ssl در سی پنل و دایرکت ادمین
آشنایی با ۴ نوع گواهینامه SSL
وظیفهٔ تمام گواهینامههای SSL، رمزگذاری دادهها است و تمام انواع این گواهینامه که در ادامه معرفی میکنیم سطح امنیت یکسانی را ارائه میکنند. تنها چیزی که این گواهیها را از یکدیگر تمایز میدهد، تعداد دامنههای تحت حفاظت آنها است.
انواع SSL براساس تعداد دامنههای تحت پوشش عبارتند از:
۱. گواهینامههای SSL تکدامنه یا Single-Domain
منظور از گواهی SSL تکدامنه، پروتکلی است که در آن حفاظت از یک دامنه خاص درج و امضای CSR برای آن درج شده است. وقتی میگوییم تکدامنه، منظورمان تمام صفحات این دامنه است، اما سابدامنهها هرچند هم به دامنهٔ اصلی نزدیک باشند شامل خدمات این گواهی نمیشوند.
مثلاً گواهی تک دامنه از example.com و همه اددانهای آن مانند blog.example.com محافظت میکند؛ اما سابدامینهایی مثل troubleshooting.support.example.com تحت پوشش این گواهی نیستند.
این نوع گواهی SSL ارزانقیمتتر است؛ اما اگر در نظر دارید برای بیش از یک دامنه گواهی بگیرید، مقرونبهصرفه نخواهد بود. علاوهبراین برای نصب هر یک از این گواهیها باید مراحل نصب را چندبار طی کنید.
۲. گواهینامههای SSL Wildcard
گواهینامههای Wildcard SSL میتوانند یک دامنه و تمام سابدامنههای سطح اول آن را پوشش بدهند. یعنی از دامنهٔ فرضی example.com و وبسایتهایی مثل support.example.com یا store.example.com محافظت میکنند.
یادتان باشد که همانطور که گفتیم، سابدامنهٔ نامحدود در این گواهی شامل سابدامنههای سطح اول است. یعنی سابدامینی مثل login.store.example.com در این گواهی پوشش داده نمیشود.
برای اینکه ببینید آیا یک وبسایت از این نوع گواهینامه استفاده میکند یا نه، روی نماد قفل در نوار آدرس کلیک کنید و Certificate را باز کنید. اگر مثل تصویر زیر در فیلد «Issued to» قبل از نام دامنه یک ستاره وجود داشته باشد، به این معنی است که پروتکل، زیر دامنههای سایت را نیز پوشش میدهد.
یکی از نکات دیگری که باید دربارهٔ این نوع گواهی بدانید، خطر کلید خصوصی است. کلید خصوصی این گواهی در بین تمام سرورهایی که میزبان سابدامینها هستند، مشترک است. بنابراین اگر فرد دیگری دسترسی کلید خصوصی را داشته باشد، میتواند هر دامنهای که از آن استفاده میکند را جعل کند.
۳. گواهینامه Multi-Domain SSL
گواهینامه مولتیدامین یا چنددامنهای، میتواند از دامنههایی که ارتباطی به یکدیگر ندارد، محافظت کند. یعنی دامنههایی که نه Addon و نه سابدامین یکدیگر نباشند، میتوانند بهصورت مشترک از این گواهینامه استفاده کنند. مثلاً ممکن است example.com ،example-one.com و همچنین example-two.com همگی در این گواهی مشترک باشند.
به همین ترتیب میتوانید به تعداد نامحدود سابدامین هم در این گواهی استفاده کنید. سقف سایتهایی که میتوانید در این گواهینامه تعریف کنید، به ارائهدهنده بستگی دارد؛ اما معمولاً امکان تعریف بین ۱۰۰-۲۵۰ دامنه وجود دارد.
اگر از این نوع گواهی استفاده کنید، با کلیک روی آیکون قفل در کنار نام دامنه در مرورگر طی مسیر «this connection is secure» و تب Valid certificate > Details >Subject Alternative Name نام چندین وبسایت دیگر را نیز خواهید دید.
در نهایت اگر کسبوکاری هستید که وبسایتهای متعددی برای خودتان یا مشتریانهایتان دارید، خرید این گواهی مقرونبهصرفهتر خواهد بود.
۴. گواهینامههای Unified Communications
گواهی ارتباطات یکپارچه (UCC) نسخهٔ پیشین گواهی SSL چنددامنهای است. این گواهی برای وبسایتها و اپلیکیشنهایی در نظر گرفته میشود که روی سرورهای Microsoft Exchange (کلاینت تحت وب مایکروسافت برای تنظیم تقویم، تماس و مدیریت ایمیل و…) و Live Communications (سرورهای برای نمایشگاهها، رویدادها و تبلیغات آنلاین و…) میزبانی میشوند. گرچه استفاده از این گواهی برای پلتفرمهایی غیر از مایکروسافت هم امکانپذیر است، اما باید تنظیمات خاصی برای امنیت محیط سرور روی آنها انجام شود.
۳ سطح اعتبارسنجی گواهینامه SSL
در بخش قبل انواع گواهی SSL را براساس تعداد دامنههای تحت پوشش بررسی کردیم. اما دستهبندی دیگری نیز برای این گواهی وجود دارد. سطح اعتبارسنجی این گواهی، برای انواع کسبوکارها متفاوت است. منظور از اعتبارسنجی این است که مرجع صدور گواهی دربارهٔ شخص یا شرکت با چه دقتی تحقیق میکند تا مشروعیت آنها را اعلام کند. این مرجع صدور گواهی که با نام CA یا certificate authority شناخته میشود، مشروعیت سایت را در سه سطح زیر میسنجد:
۱. Domain-Validated SSL یا گواهی سنجش اعتبار دامنه
این نوعی گواهی برای وبلاگنویسان شخصی و مترجمان آزاد از همه مناسبتر است. گواهینامه اعتبار دامنه که به اختصار (DV) هم خوانده میشود، سادهترین و بهصرفهترین گواهینامه SSL است. در فرآیند اعتبارسنجی برای این گواهی، مالک وبسایت فقط باید مالکیت دامنهٔ خود را از طریق ایمیل، تماس تلفنی یا تغییر رکورد DNS به CA ثابت کند. پس از طی این مراحل، نیازی به ارائهٔ هیچ مدرک دیگری برای نصب SSL وجود نخواهد داشت.
۲. گواهینامه اعتبار سازمانی یا Organization-Validated
این نوع گواهی برای شرکتهای کوچک و متوسط (SMEs) که با اطلاعات شخصی مشتریان سروکار دارند، بهترین گزینه است. فرآیند اعتبارسنجی در گواهی OV بررسی دقیقتری نسبت به DV را انجام میدهد. یعنی علاوهبر اعتبار سنجی دامنه، اطلاعات نهاد درخواستکننده هم بررسی میشود. به این ترتیب میتوانند تشخیص بدهند که آیا شرکت، فعالیت قانونی دارد یا خیر. برای دریافت گواهی OV، ثبتکننده باید اسنادی را به CA ارائه دهد که نام کسبوکار، آدرس فیزیکی، شماره تلفن و وضعیت قانونی او را تأیید میکند. روند بررسی این مدارک میتواند تا سه روز طول بکشد.
وبسایتهایی که گواهی OV را پیادهسازی میکنند، اطلاعات مکان کسبوکار در گواهینامهشان نمایش داده میشود. برای دسترسی به این اطلاعات در نوار مرورگر روی آیکون قفل کلیک کنید. سپس عبارت «this connection is secure» و تب Valid certificate را انتخاب کنید. در بخش Details روی خط Subject این اطلاعات را خواهید دید. به همین دلیل، این نوع گواهینامه SSL میتواند ماهیت کسبوکار را برای بازدیدکنندگان سایت بسیار قانونیتر و قابل اعتمادتر نمایش دهد.
۳. گواهینامه اعتبارسنجی قابل تعمیم یا Extended Validation
این نوع گواهی SSL برای سازمانهای بزرگ مناسب است؛ چرا که معتبرترین نوع اعتبارسنجی در آنها صورت میگیرد. فرآیند اعتبارسنجی برای صدور این گواهی، علاوهبر تایید سوابق رسمی از طریق بررسی پیشینه، با تماس مستقیم CA هم تکمیل میشود. یعنی CA از طریق تلفن دربارهٔ تمام اطلاعات سازمان از موقعیت فیزیکی گرفته تا وضعیت حقوقی پرسوجو میکند.
بنابراین طبیعی است که روند اعتبارسنجی در این نوع گواهی تا چند هفته هم طول بکشد.
اگر میخواهید در وبسایت یک سازمان بررسی کنید و ببینید گواهی معتبر EV را دریافت کرده یا خیر، در نوار آدرس مرورگر روی آیکون قفل کلیک کنید. سپس به مسیر Certificate > Subject < Details بروید.
اگر این سایت دارای EV باشد، نمونهای شبیه به تصویر زیر را خواهید دید:
در گواهینامه EV معمولاً شماره شرکت و شناسههای کشور و منطقه درج میشود.
کدامیک از انواع SSL مناسب سایت شماست؟
در این مقاله با انواع گواهینامه SSL براساس دامنههای تحت پوشش و البته سطح اعتبارسنجی آشنا شدیم. اما اجازه بدهید در نهایت براساس کاربردهای رایج، نتیجه بگیریم که از چه نوع و چه سطح اعتباری از گواهی SSL استفاده کنیم.
بهطور معمول سایتهای کوچک تا متوسط با یک دامنه و زیردامنههای آن میتوانند از سطح اعتبار سنجی OV و نوع Wildcard SSL استفاده کنند. سایتهای کوچکی که تنها با یک دامنه و بهصورت غیرشرکتی کار میکنند با DV و Single-Domain هم کاربرد مورد نظرشان را دریافت خواهند کرد.
اما اگر کسبوکاری هستید که با دامنههای غیرمرتبط زیادی کار میکنید، میتوانید نوع Multi-Domain SSL را جایگزین کنید. سطح اعتبارسنجی EV تنها برای سازمانهای بزرگ کاربرد دارد. با تمام آنچه که در این صفحه خواندید، اگر هنوز سوالی در ذهن دارید میتوانید از بخش نظرات زیر همین پست از ما بپرسید و پاسخ بگیرید.
سوالات پرتکرار
۱. انواع گواهینامه SSL چیست؟
گواهینامههای OV, EV و DV در نوع اعتبارسنجی متفاوت هستند. DV برای وبلاگهای شخصی، OV برای کسبوکارهای کوچک و متوسط و EV برای سازمانهای بزرگ اعتبار موردنیاز را ارائه میکند. از سوی دیگر، برای یک دامنه خاص گواهی Single-Domain، برای دامنه و سابدامینهای درجه اول آن گواهینامه Wildcard SSL برای چندین دامنه غیرمرتبط و Multi-Domain برای دامنههای مایکروسافت گواهی UCC بهترین گزینه است.
۲. گواهی ssl wildcard و Multi-Domain چه تفاوتی با یکدیگر دارند؟
دامنه SSL Wildcard برای یک دامنه و زیردامنههای درجه اول آن کاربرد دارد. درحالیکه با گواهینامه Multi-Domain SSL میتوان چندین دامنه بدون ارتباط با یکدیگر را تحت پوشش قرار دارد. این گواهی برای کسبوکارهایی با چندین وبسایت داخلی یا وبسایتهای مشتریان مناسب است.
۳. تفاوت انواع گواهینامههای ssl با یکدیگر چیست؟
گواهینامههای SSL براساس تعداد دامنههایی که تحت پوشش قرار میدهند (از یک دامنه، یک دامنه و زیر دامنههای آن و چندین دامنه) به ۴ دسته تقسیم میشوند. از طرفی سه سطح اعتبار سنجی و مشروعیت سازمان نیز در SSL بسته به میزان اهمیت آن تعریف شده است.
۴. برای دریافت گواهی ssl چه اطلاعات و مدارکی باید ارائه شود؟
اطلاعات و مدارک موردنیاز، بسته به سطح اعتبار سنجی گواهینامهای که برای سایت خود نیاز دارید متفاوت است. برای یک سایت سادهٔ وبلاگ شخصی اثبات مالکیت دامنه کافی است. برای یک کسب و کار کوچک و اعتبارنامه سطح OV بایستی موقعیت مکانی و اطلاعات شرکت را نیز اضافه کنید. برای سازمانهای بزرگ با اعتبارنامه EV تحقیقات و مدارک زیادی مورد نیاز است.
منابع: Cloudflare | Hostinger
من یک سایت فروشگاهی ساده و کوچک دارم. گواهینامه رایگان let’s encrypt روش دارم. این مدل مناسبه؟ از نظر امنیت. چون ساب دامنه ندارم.
فاطمه عزیز سلام
به دلیل متنباز بودن این گواهینامه و برخی محدودیتها (مثل نداشتن پشتیبانی)، پیشنهاد ما اینه که از گواهینامههای معتبر و امنتری مثل SSL استاندارد استفاده کنید؛ ما در لیموهاست بهطور رایگان این گواهینامه رو روی پلنهای میزبانیمون ارائه میدیم. 🍋
سلام برای یک سایت طلافروشی چه گواهینامه ای پیشنهاد میدین؟ DV یا OV
و اینکه گواهینامه های SSL قابل ارتقا هستند؟
ممنون
نسیم عزیز سلام
با توجه به اینکه سایتهای طلافروشی با اطلاعات حساس مالی و شخصی مشتریها سروکار دارن، گواهینامه OV گزینه مناسبتری هست.
و بله، اکثر ارائهدهندگان گواهینامه SSL، امکان ارتقای این گواهینامه رو دارن.