انواع گواهینامه SSL؛ کدامیک مناسب شماست؟!

در مقالات پیشین لیموهاست با گواهینامه SSL و ضرورت استفاده از آن آشنا شدیم. اما نکته‌ای که به آن اشاره نشد، انواع گواهینامه SSL است. گواهینامه‌های SSL انواع مختلفی دارند که براساس نوع وب‌سایت و کسب‌‌وکار، کاربردهای مختلفی ارائه می‌دهند.

این‌طور بگوییم که درست همانطور که برای ساخت انواع ملک (تجاری، اداری، مسکونی و…) مجوزهای مختلفی نیاز داریم، برای انواع وب‌سایت‌ هم باید گواهی مناسب و مخصوص را دریافت کنیم. در این مطلب همراه ما باشید تا گواهی مورد نیاز خودتان را بشناسید. 

مروری بر تعریف SSL

گواهی SSL یا (SSL Certificates) یک پروتکل امنیتی حاوی اطلاعات مهم است که ارتباط بین سایت و مرورگرهای وب را رمزگذاری می‌کند. اطلاعاتی مثل کلید عمومی وب‌سایت، نام دامنه، امضای دیجیتال مرجع صدور گواهی و… که برای احراز هویت سرور اصلی استفاده می‌شود (در ادامه برخی از این مفاهیم را توضیح خواهیم داد).

این اطلاعات باعث می‌شوند هویت سایت مشخص باشد و سایت دور از دسترس هکرها بماند. علاوه‌بر این  گواهی SSL از جعل هویت سایت در مسیر انتقال داده و فریب کاربران توسط هکرها جلوگیری می‌کند. اگر می‌خواهید بیشتر دربارهٔ این گواهی بدانید، مقالهٔ SSL چیست را مطالعه کنید. 

قبل از اینکه به بررسی انواع گواهی SSL بپردازیم بهتر است با اطلاعاتی که این گواهی رمزگذاری‌شان می‌کند بیشتر آشنا شویم تا فهم سایر مطالب مقاله نیز برایتان راحت‌تر شود. 

منظور از کلیدهای رمزنگاری شده عمومی و خصوصی چیست؟

بیایید به مفهوم کلید‌های رمزنگاری شده بازگردیم و مروری سریع بر این مفهوم داشته باشیم. کلیدهای رمزنگاری شده، عبارت‌هایی متشکل از کاراکتر هستند که برای هیچکس جز صادرکننده و دریافت‌کننده معتبر، قابل‌فهم نیستند. درست مثل این که شما و دوستتان توافق کنید که هرگاه عبارت بی‌معنای «ممطغ» را برای یکدیگر در پیامک درج کنید، منظورتان سلام است و وقتی کس دیگری این پیام را بخواند متوجه منظورتان نشود. کلیدها هم می‌توانند به صورت‌هایی مثل «۲jd8932kd8» رمزگذاری شوند. این کلید رمزگذاری شده حالا می‌تواند در شبکه با سایر دستگاه‌ها به اشتراک گذاشته شود، چون کاراکترهای آن نامفهوم هستند. 

این متن رمزگذاری شده کلید عمومی شماست. 

اما در کنار کلید عمومی، یک نوع کلید دیگر و بسیار امنیتی‌تر به نام کلید خصوصی هم وجود دارد. کلید خصوصی داده‌ها را رمزگشایی می‌کند. برای همین حفاظت از آن بسیار مهم است. به اشتراک گذاشتن کلید خصوصی، مثل این است که دوستتان جلوی دیگران معنی کلمه «ممطغ» را بگوید و اطلاعات سری شما لو برود. 

امضای دیجیتال مرجع صدور گواهی چیست؟

امضای دیجیتال یا CSR در واقع فایلی رمزگذاری شده و حاوی اطلاعات مهم سایت شما، مثل کلید عمومی و خصوصی است. مرجع صدور دامنه یا CA این فایل را با درج وب‌سایت، خدمات، سازمان، موقعیت مکانی و نام دامنه شما صادر می‌کند و با آن هویت و امنیت ارتباطات سایت شما را تایید می‌کند. 

پیشنهاد خواندنی: آموزش نصب ssl در سی پنل و دایرکت ادمین

آشنایی با ۴ نوع گواهینامه SSL

وظیفهٔ تمام گواهینامه‌های SSL، رمزگذاری داده‌ها است و تمام انواع این گواهینامه که در ادامه معرفی می‌کنیم سطح امنیت یکسانی را ارائه می‌کنند. تنها چیزی که این گواهی‌ها را از یکدیگر تمایز می‌دهد، تعداد دامنه‌های تحت حفاظت آن‌ها است.

انواع SSL براساس تعداد دامنه‌های تحت پوشش عبارتند از: 

۱. گواهینامه‌های SSL تک‌دامنه یا Single-Domain 

منظور از گواهی SSL تک‌دامنه، پروتکلی است که در آن حفاظت از یک دامنه خاص درج و امضای CSR برای آن درج شده‌ است. وقتی می‌گوییم تک‌دامنه، منظورمان تمام صفحات این دامنه است، اما ساب‌دامنه‌ها هرچند هم به دامنهٔ‌ اصلی نزدیک باشند شامل خدمات این گواهی نمی‌شوند. 

مثلاً گواهی تک دامنه از example.com و همه اددان‌های آن مانند blog.example.com محافظت می‌کند؛ اما ساب‌دامین‌هایی مثل troubleshooting.support.example.com تحت پوشش این گواهی نیستند. 

این نوع گواهی SSL ارزان‌قیمت‌تر است؛ اما اگر در نظر دارید برای بیش از یک دامنه گواهی بگیرید، مقرون‌به‌صرفه نخواهد بود. علاوه‌براین برای نصب هر یک از این گواهی‌ها باید مراحل نصب را چندبار طی کنید. 

۲. گواهینامه‌های SSL Wildcard

گواهینامه‌های Wildcard SSL می‌توانند یک دامنه و تمام ساب‌دامنه‌های سطح اول آن را پوشش بدهند. یعنی از دامنهٔ فرضی example.com و وب‌سایت‌هایی مثل support.example.com یا store.example.com محافظت می‌کنند. 

یادتان باشد که همانطور که گفتیم، ساب‌دامنهٔ نامحدود در این گواهی شامل ساب‌دامنه‌های سطح اول است. یعنی ساب‌دامینی مثل login.store.example.com در این گواهی پوشش داده نمی‌شود.
برای اینکه ببینید آیا یک وب‌سایت از این نوع گواهینامه استفاده می‌کند یا نه، روی نماد قفل در نوار آدرس کلیک کنید و Certificate را باز کنید. اگر مثل تصویر زیر در فیلد «Issued to» قبل از نام دامنه یک ستاره وجود داشته باشد، به این معنی است که پروتکل، زیر دامنه‌های سایت را نیز پوشش می‌دهد.

یکی از نکات دیگری که باید دربارهٔ این نوع گواهی بدانید، خطر کلید خصوصی است. کلید خصوصی این گواهی در بین تمام سرورهایی که میزبان ساب‌دامین‌ها هستند، مشترک است. بنابراین اگر فرد دیگری دسترسی کلید خصوصی را داشته باشد، می‌تواند هر دامنه‌ای که از آن استفاده می‌کند را جعل کند. 

۳. گواهینامه Multi-Domain SSL

گواهینامه مولتی‌دامین یا چنددامنه‌ای، می‌تواند از دامنه‌هایی که ارتباطی به یکدیگر ندارد، محافظت کند. یعنی دامنه‌هایی که نه Addon و نه سابدامین یکدیگر نباشند، می‌توانند به‌صورت مشترک از این گواهینامه استفاده کنند. مثلاً ممکن است example.com ،example-one.com و همچنین example-two.com همگی در این گواهی مشترک باشند. 

به‌ همین ترتیب می‌توانید به تعداد نامحدود ساب‌دامین هم در این گواهی استفاده کنید. سقف سایت‌هایی که می‌توانید در این گواهینامه تعریف کنید، به ارائه‌دهنده بستگی دارد؛ اما معمولاً امکان تعریف بین ۱۰۰-۲۵۰ دامنه وجود دارد.
اگر از این نوع گواهی استفاده کنید، با کلیک روی آیکون قفل در کنار نام دامنه در مرورگر طی مسیر «this connection is secure» و تب Valid certificate > Details >Subject Alternative Name نام‌ چندین وب‌سایت دیگر را نیز خواهید دید. 

در نهایت اگر کسب‌وکاری هستید که وب‌سایت‌های متعددی برای خودتان یا مشتریان‌هایتان دارید، خرید این گواهی مقرون‌‌به‌‌صرفه‌تر خواهد بود. 

۴. گواهینامه‌های Unified Communications

گواهی ارتباطات یکپارچه (UCC) نسخهٔ پیشین گواهی SSL چنددامنه‌ای است. این گواهی برای وب‌سایت‌ها و اپلیکیشن‌هایی در نظر گرفته می‌شود که روی سرورهای Microsoft Exchange (کلاینت تحت وب مایکروسافت برای تنظیم تقویم، تماس و مدیریت ایمیل و…) و Live Communications (سرورهای برای نمایشگاه‌ها، رویدادها و تبلیغات آنلاین و…) میزبانی می‌شوند. گرچه استفاده از این گواهی برای پلتفرم‌هایی غیر از مایکروسافت هم امکان‌پذیر است، اما باید تنظیمات خاصی برای امنیت محیط سرور روی آن‌ها انجام شود. 

۳ سطح اعتبارسنجی گواهینامه SSL

در بخش قبل انواع گواهی SSL را براساس تعداد دامنه‌های تحت پوشش بررسی کردیم. اما دسته‌بندی دیگری نیز برای این گواهی وجود دارد. سطح اعتبارسنجی این گواهی، برای انواع کسب‌وکارها متفاوت است. منظور از اعتبارسنجی این است که مرجع صدور گواهی دربارهٔ شخص یا شرکت با چه دقتی تحقیق می‌کند تا مشروعیت آن‌ها را اعلام کند. این مرجع صدور گواهی که با نام CA یا certificate authority  شناخته می‌شود، مشروعیت سایت را در سه سطح زیر می‌سنجد:

۱. Domain-Validated SSL یا گواهی سنجش اعتبار دامنه 

این نوعی گواهی برای وبلاگ‌نویسان شخصی و مترجمان آزاد از همه مناسب‌تر است. گواهینامه اعتبار دامنه که به اختصار (DV) هم خوانده می‌شود، ساده‌ترین و به‌صرفه‌ترین گواهینامه SSL است. در فرآیند اعتبارسنجی برای این گواهی، مالک وب‌سایت فقط باید مالکیت دامنهٔ خود را از طریق ایمیل، تماس تلفنی یا تغییر رکورد DNS به CA ثابت کند. پس از طی این مراحل، نیازی به ارائهٔ هیچ مدرک دیگری برای نصب SSL وجود نخواهد داشت. 

۲. گواهینامه اعتبار سازمانی یا Organization-Validated

این نوع گواهی برای شرکت‌های کوچک و متوسط (SMEs) که با اطلاعات شخصی مشتریان سروکار دارند، بهترین گزینه‌ است. فرآیند اعتبارسنجی در گواهی OV بررسی دقیق‌تری نسبت به DV را انجام می‌دهد. یعنی علاوه‌بر اعتبار سنجی دامنه، اطلاعات نهاد درخواست‌کننده هم بررسی می‌شود. به این ترتیب می‌توانند تشخیص بدهند که آیا شرکت، فعالیت قانونی دارد یا خیر. برای دریافت گواهی OV، ثبت‌کننده باید اسنادی را به CA ارائه دهد که نام کسب‌وکار، آدرس فیزیکی، شماره تلفن و وضعیت قانونی او را تأیید می‌کند. روند بررسی این مدارک می‌تواند تا سه روز طول بکشد.

وب‌سایت‌هایی که گواهی‌ OV را پیاده‌سازی می‌کنند، اطلاعات مکان کسب‌وکار در گواهینامه‌شان نمایش داده می‌شود. برای دسترسی به این اطلاعات در نوار مرورگر روی آیکون قفل کلیک کنید. سپس عبارت «this connection is secure» و تب Valid certificate را انتخاب کنید. در بخش Details روی خط Subject این اطلاعات را خواهید دید. به همین دلیل، این نوع گواهینامه SSL می‌تواند ماهیت کسب‌وکار را برای بازدیدکنندگان سایت بسیار قانونی‌تر و قابل‌ اعتمادتر نمایش دهد. 

۳. گواهینامه اعتبارسنجی قابل تعمیم یا Extended Validation

این نوع گواهی SSL برای سازمان‌های بزرگ مناسب است؛ چرا که معتبرترین نوع اعتبارسنجی در آن‌ها صورت می‌گیرد. فرآیند اعتبارسنجی برای صدور این گواهی، علاوه‌بر تایید سوابق رسمی از طریق بررسی پیشینه، با تماس مستقیم CA هم تکمیل می‌شود. یعنی CA از طریق تلفن دربارهٔ تمام اطلاعات سازمان از موقعیت فیزیکی گرفته تا وضعیت حقوقی پرس‌وجو می‌کند.

بنابراین طبیعی است که روند اعتبارسنجی در این نوع گواهی تا چند هفته هم طول بکشد. 

اگر می‌خواهید در وب‌سایت یک سازمان بررسی کنید و ببینید گواهی معتبر EV را دریافت کرده یا خیر، در نوار آدرس مرورگر روی آیکون قفل کلیک کنید. سپس به مسیر Certificate > Subject < Details بروید. 

اگر این سایت دارای EV باشد، نمونه‌ای شبیه به تصویر زیر را خواهید دید:

در گواهینامه EV معمولاً شماره شرکت و شناسه‌های کشور و منطقه درج می‌شود. 

کدامیک از انواع SSL مناسب سایت شماست؟

در این مقاله با انواع گواهینامه SSL براساس دامنه‌های تحت پوشش و البته سطح اعتبارسنجی آشنا شدیم. اما اجازه بدهید در نهایت براساس کاربردهای رایج، نتیجه بگیریم که از چه نوع و چه سطح اعتباری از گواهی SSL استفاده کنیم.

به‌طور معمول سایت‌های کوچک تا متوسط با یک دامنه و زیردامنه‌های آن می‌توانند از سطح اعتبار سنجی OV و نوع Wildcard SSL استفاده کنند. سایت‌های کوچکی که تنها با یک دامنه و به‌صورت غیرشرکتی کار می‌کنند با DV و Single-Domain هم کاربرد مورد نظرشان را دریافت خواهند کرد.

اما اگر کسب‌‌وکاری هستید که با دامنه‌های غیرمرتبط زیادی کار می‌کنید، می‌توانید نوع Multi-Domain SSL را جایگزین کنید. سطح اعتبارسنجی EV تنها برای سازمان‌های بزرگ کاربرد دارد. با تمام آنچه که در این صفحه خواندید، اگر هنوز سوالی در ذهن دارید می‌توانید از بخش نظرات زیر همین پست از ما بپرسید و پاسخ بگیرید.

سوالات پرتکرار

۱. انواع گواهینامه SSL چیست؟

گواهینامه‌های OV, EV و DV در نوع اعتبارسنجی متفاوت هستند. DV برای وبلاگ‌های شخصی، OV برای کسب‌وکارهای کوچک و متوسط و EV برای سازمان‌های بزرگ اعتبار موردنیاز را ارائه می‌کند. از سوی دیگر، برای یک دامنه خاص گواهی Single-Domain، برای دامنه و ساب‌دامین‌های درجه اول آن گواهینامه Wildcard SSL برای چندین دامنه غیرمرتبط و Multi-Domain برای دامنه‌های مایکروسافت گواهی UCC بهترین گزینه است. 

۲. گواهی ssl wildcard و Multi-Domain چه تفاوتی با یکدیگر دارند؟

دامنه SSL Wildcard برای یک دامنه و زیردامنه‌های درجه اول آن کاربرد دارد. درحالی‌که با گواهینامه Multi-Domain SSL می‌توان چندین دامنه بدون ارتباط با یکدیگر را تحت پوشش قرار دارد. این گواهی برای کسب‌وکارهایی با چندین وب‌سایت داخلی یا وب‌سایت‌های مشتریان مناسب است. 

۳. تفاوت انواع گواهینامه‌های ssl با یکدیگر چیست؟

گواهینامه‌های SSL براساس تعداد دامنه‌هایی که تحت پوشش قرار می‌دهند (از یک دامنه، یک دامنه و زیر دامنه‌های آن و چندین دامنه) به ۴ دسته تقسیم می‌شوند. از طرفی سه سطح اعتبار سنجی و مشروعیت سازمان نیز در SSL بسته به میزان اهمیت آن تعریف شده است. 

۴. برای دریافت گواهی ssl چه اطلاعات و مدارکی باید ارائه شود؟

اطلاعات و مدارک موردنیاز، بسته به سطح اعتبار سنجی گواهینامه‌ای که برای سایت خود نیاز دارید متفاوت است. برای یک سایت ساده‌ٔ وبلاگ شخصی اثبات مالکیت دامنه کافی است. برای یک کسب و کار کوچک و اعتبارنامه سطح OV بایستی موقعیت مکانی و اطلاعات شرکت را نیز اضافه کنید. برای سازمان‌های بزرگ با اعتبارنامه EV تحقیقات و مدارک زیادی مورد نیاز است. 

منابع: Cloudflare | Hostinger