مدیر عامل تنها شرکت ارائه دهنده سرویسهای SSL با تاکید بر اینکه تحریمهای سالهای اخیر موجب ابطال برخی گواهینامه های صادر شده از سوی CA شده است، گفت: گواهینامه SSL برای دوره های یک و چند ساله صادر می شود که با به پایان رسیدن این تاریخ باطل می شود.

SSL و اهمیت آن
به گزارش خبرنگار مهر، SSL مخفف عبارت Secure Socket Layer راه حلى برای برقرارى ارتباطات امن میان یک سرویس دهنده و یک سرویس گیرنده است که توسط شرکت Netscape ارائه می شود. مزیت استفاده از این پروتکل بهره گیرى از موارد امنیتى تعبیه شده آن براى امن کردن پروتکلهاى غیرامن نظیر HTTP، LDAP، IMAP و ... است به طوری که براساس آن الگوریتمهاى رمزنگارى بر روى داده هاى خام (plain text) که قرار است از یک کانال ارتباطى غیرامن مثل اینترنت عبور کنند، اعمال مى شود و محرمانه ماندن داده ها را در طول کانال انتقال تضمین مى کند.
به بیان دیگر شرکتى که صلاحیت صدور و اعطاى گواهى هاى دیجیتال SSL را دارد براى هر کدام از دو طرفى که قرار است ارتباطات میان شبکه اى امن داشته باشند، گواهى مخصوص سرویس دهنده و سرویس گیرنده را صادر مى کند و با مکانیزمهایی هویت هر کدام از طرفین را براى طرف مقابل تایید مى کند. این شرکتها علاوه بر این باید تضمین کنند که اگر اطلاعات در حین انتقال مورد سرقت قرار گرفت، براى رباینده قابل درک و استفاده نباشد که این کار را با کمک الگوریتمهاى رمزنگارى انجام مى دهد.
ابوذر آذرنوش مدیر عامل شرکت ستاره طلایی شرق به عنوان تنها شرکت ارائه دهنده سرویس های SSL در کشور در گفتگو با خبرنگار مهر در این باره گفت: در حالی که روز به روز نیاز همگان به استفاده از اینترنت افزایش می یابد وجود بستری امن برای تبادل اطلاعات در اینترنت اجتناب ناپذیر است. از این رو استفاده از پروتکل SSL می تواند به عنوان مهمترین و اصولی ترین روش امن کردن این بستر مورد استفاده قرار گیرد و این امکان را برای به سرویس دهندگان و کاربران بدهد که در محیط امن و به دور از مداخله دیگران به صورت رمز گذاری شده به تبادل اطلاعات اقدام کنند.
وی با بیان اینکه این سرویس می تواند در وب سایتها و Email امنیت لازم را برقرار کند، افزود: بدون وجود این پروتکل، تمامی اطلاعات به سادگی توسط افراد در نودهای (Node) بین راه قابل رویت و بازبینی و حتی تغییر و سو استفاده است. به عبارت دیگر هنگامی که کاربری اطلاعات شخصی خود را مانند نام کاربری و رمز عبور، شماره حساب بانکی، کارت اعتباری و یا نظایر آن را در سایتهای اینترنتی وارد می کند، باید توجه داشته باشد که این اطلاعات بدون وجود SSL به صورت حروف ساده و واضح (Plain text) ارسال می شود و از اولین نقطه اتصال به اینترنت یعنی شرکت سرویس دهنده اینترنتی (ISP) تا بقیه نقاطی که این اتصال را برقرار می کند مانند شرکتهای مخابراتی همگی به راحتی قادر به دریافت محتوای بسته ارسالی خواهند بود.


نحوه صدور گواهینامه SSL
آذرنوش با بیان اینکه گواهینامه های دیجیتال بر اساس مراحل تعریف شده CA (مرکز صدور و اعطاى گواهینامه دیجیتال) صادر می شود به مهر گفت: سایتهایی که از گواهینامه SSL در صفحات خود استفاده کرده اند اغلب با شکل یک قفل در گوشه پایین یا کنار نوار آدرس در مرورگرهای اینترنتی قابل تشخیص است و با کلیک کردن بر روی آن قفل می توان اصل گواهینامه را مشاهده کرد.
مدیر عامل شرکت ستاره طلایی شرق خاطرنشان کرد: در صورت معتبر بودن، گواهینامه بدون پیغام هشدار از جانب مرورگر نمایش داده می شود و در آن نام صادر کننده، وب سایت دریافت کننده و تاریخ اعتبار گواهینامه اشاره شده است در غیر این صورت مرورگر پیغام اخطار به کاربر می دهد و کاربر را نسبت به معتبر نبودن گواهینامه مطلع می کند.
وی تاکید کرد: شرکتهای صادر کننده گواهینامه (Root CA) با ذخیره کردن نسخه متناظری از گواهینامه معتبر در سرور ریشه خود این امکان را به برنامه های مرورگر اینترنتی می دهد که بدون دخالت و توجه کاربر، اعتبار گواهینامه نصب شده روی وب سایت را مورد تایید قرار دهد و فقط در صورت عدم تایید، پیغام خطا به کاربر نمایش داده خواهد شد.


انقضای گواهینامه های امنیتی وب سایتها
آذر نوش در گفتگو با مهر با تاکید بر اینکه تحریم های سالهای اخیر موجب ابطال برخی از گواهینامه های صادر شده از سوی CA شده است، خاطرنشان کرد: گواهینامه های SSL برای دوره های یکساله و یا بیشتر صادر می شود که با به پایان رسیدن تاریخ انقضا، باطل شده و کارکرد خود را به عنوان تایید کننده هویت وب سایت از دست خواهد داد.
وی ادامه داد: در این گونه مواقع برنامه مرورگر اینترنتی، کاربر را از نامعتبر بودن گواهینامه مورد استفاده آگاه می کند و طبیعتا عواقب احتمالی تبادل اطلاعات آن وب سایت بر عهده کاربر خواهد بود.


استفاده از فناوری های نوین برای ارتقای کیفیت عملکرد بهتر
آذرنوش به کیفیت زیرساختهای مخابراتی کشور اشاره کرد و تاکید کرد: هر چند سرعت اینترنت و زیرساختهای مخابراتی تاثیری بر عملکرد این پروتکل ندارد ولی استفاده از این پروتکل برای رمزگذاری داده به طور نامحسوسی سبب افزایش حجم آنها می شود و در نتیجه سرعت بالاتر و کیفیت بستر مخابراتی به بهتر شدن کیفیت و سرعت ارتباط اینترنتی می انجامد.
وی به ویژگیهای استفاده از تکنولوژی رمزگذاری حبابی با استفاده از استانداردهای PKI برای اعمال این پروتکل پرداخت و گفت: استفاد از این تکنولوژی از چند برابر شدن تناسبی حجم اطلاعات رمزگذاری شده به نسبت اطلاعات اصلی جلوگیری می کند.


شرکتهای تحت پوشش SSL
آذرنوش بانکهای سپه، صادرات، ملی، تجارت و بانک سامان و بانک مسکن سرپرستی اصفهان، سازمان صدا و سیما، ارتش منطقه ای اصفهان، روزنامه جام جم، سازمان انبوه سازان اصفهان، مرکز آمار ایران، مرکز تحقیقات مخابرات، شرکت توانیر، شرکت داده ورزی سداد و دانشگاه فردوسی مشهد را از مراکز تحت پوشش این پروتکل ذکر کرد و افزود: برخی از مراکزی که تحت این پروتکل فعالیت خود را اجرا می کنند مشکلی ندارند ولی برخی از مراکز به دلیل استفاده از پروتکل هایی که خود طراحی کرده اند قادر به ایجاد امنیت لازم برای سرویس دهندگان و کاربران نیستند.
وی با ابراز تاسف از عدم آگاهی کشور از کاربردهای پروتکل امنیتی به مهر گفت: گرچه می توان به دلیل کم آگاهی و یا بی توجهی و همچنین عدم رشد کاربردهای جدی مانند تجارت اینترنتی، بسیاری از مراکزی که باید به صورت بدیهی برای اطمینان از تبادل امنیت اطلاعات بین خود و کاربر و نیز تامین اعتماد کاربر نسبت به هویت سایت در فضای مجازی از SSL استفاده کنند ولی همچنان بستر اینترنت در ایران بسیار ناامن تر از کشورهای مشابه و پیشرفته است.
آذرنوش تاکید کرد: در این فضا تبادل اطلاعات مهم مانند ثبت نام در وب سایتها و ارائه اطلاعات مدیران و کاربران به سادگی در معرض دسترسی دیگران است و این می تواند زنگ خطری برای مدیران شرکتها و سازمانهای دولتی و به ویژه مدیران بخش فناوری اطلاعات در این ارگانها باشد.