پروتکل SSL  که به  Secure Sockets Layer معروف است گسترده ترین پروتکل رمزنگاری شده برای تأمین امنیت ارتباطات اینترنتی است، این پروتکل قبل از Transport Layer Security معرفی شده است.

پروتکل ssl به منظور برقراری ارتباط بین کلاینت های وب و سرورهای وب بر روی شبکه ای ناامن ، مانند اینترنت طراحی شده است. SSL پس از معرفی رسمی در 1995 ، این امکان را برای سرور وب فراهم کرد تا بتواند معاملات آنلاین بین مصرف کنندگان و مشاغل را به طور ایمن انجام دهد. با توجه به نقص ها و آسیب پذیری های پروتکل و اجرای بیشمار ، SSL برای کار در اینترنت توسط Task Force مهندسی اینترنت (IETF) در سال 2015 مطرح شد.

تعریف بیشتر

پروتکل SSL یک کانال امن بین دو دستگاه یا دستگاهی که از طریق اینترنت یا یک شبکه داخلی کار می کنند فراهم می کند. یک مثال رایج در هنگام استفاده از SSL برای برقراری ارتباط بین یک مرورگر وب و یک سرور وب است. از این طریق آدرس وب سایت را از HTTP به HTTPS تبدیل می کند ، "S" به secure که بیانگر  امنیت است اشاره دارد.

SSL با استفاده  ترکیبی از رمزگذاری کلید عمومی و رمزگذاری کلید خصوصی و سایر کارکردهای رمزنگاری، برای برقراری ارتباط بین دو دستگاه، به طور معمول یک سرور وب یا سرور ایمیل و سیستم مشتری ، از طریق اینترنت یا شبکه TCP / IP دیگر ارتباط برقرار می کند. SSL مکانیزمی برای رمزگذاری و تأیید صحت داده های ارسال شده بین فرآیندهای در حال کار بر روی مشتری و سرور و همچنین واسطه مبادله ایمن کلیدهای خصوصی برای رمزگذاری جلسه از طریق استفاده از گواهی SSL صادر شده توسط یک مجوز معتبر قابل اعتماد فراهم می کند.

SSL بالاتر از لایه حمل و نقل و لایه شبکه است که وظیفه حمل و نقل داده ها بین پردازش ها و مسیریابی ترافیک شبکه از طریق شبکه بین مشتری و سرور را به ترتیب انجام می دهد و در زیر پروتکل های لایه برنامه مانند HTTP و Simple Mail قرار دارد.

SSL / TLS گسترده ترین پروتکل امنیتی است که امروزه مورد استفاده قرار می گیرد و طبق گفته گوگل از آن برای تأمین امنیت بیش از 50٪ صفحات بارگذاری شده توسط مرورگر Chrome استفاده می شود. علاوه بر پشتیبانی از انتقال صفحات وب ، SSL برای برنامه هایی از جمله ایمیل ، انتقال پرونده ، پیام رسانی فوری (IM) و صدا از طریق IP (VoIP) پیاده سازی شده است.

چگونه می توانیم متوجه شویم یک وبسایت از طریق ssl امن شده است؟

از نظر فنی ، SSL یک پروتکل شفاف است که هنگام ایجاد یک جلسه مطمئن نیاز به تعامل کمی از کاربر نهایی دارد. در مورد مرورگر، می توان گفت که سایت در هنگام نمایش یک قفل قفل از SSL استفاده می کند یا نوار آدرس URL را به عنوان HTTPS به جای HTTP نشان می دهد یا خیر.

اهمیت ssl

• SSL از نظر تاریخی دارای اهمیت است زیرا اولین پروتکل شبکه ای بود که بطور گسترده مورد استفاده و بطور گسترده اجرا می شد تا بتواند ارتباطات رمزنگاری شده بین سیستم های سرور و مشتریانی که قبلاً به هم وصل نشده بودند ایمن شود.
• SSL هنوز هم بیشتر اجرا می شود ، بیشتر در سیستم های میراث ، اما در بیشتر موارد ، برای بهبود امنیت و جلوگیری از آسیب پذیری ها و سوء استفاده از پروتکل قدیمی باید با TLS جایگزین شود.
• در حالی که خود پروتکل منسوخ است ، SSL در بسیاری از مکانها همچنان به عنوان روشی برای توصیف TLS یا SSL که برای تأمین ارتباطات لایه حمل و نقل استفاده می شود ، ادامه دارد. به عنوان مثال ، مقامات گواهینامه یک وبسایت غالباً گواهینامه های وب سایت خود را به عنوان گواهینامه SSL به بازار عرضه می کنند زیرا این اصطلاح برای مشتریانشان بیشتر آشناست.

چرا به ssl نیاز است؟ 

• رمزگذاری: از انتقال داده ها محافظت میکند.
• اعتبار سنجی: اطمینان حاصل کنید که سروری که به آن وصل شده اید ، در واقع سرور صحیح است.
• یکپارچگی داده ها: اطمینان حاصل کنید که داده های درخواست شده یا ارسال شده همان چیزی است که در واقع تحویل داده می شود.

از SSL برای امنیت استفاده می شود:

• معاملات کارت اعتباری آنلاین یا سایر پرداختهای آنلاین.
• ترافیک مبتنی بر اینترانت ، مانند شبکه های داخلی ، اشتراک گذاری فایل ها ، اکسترانت ها و اتصالات پایگاه داده.
• سرورهای Webmail مانند سرور ارتباط با Outlook Web ، Exchange و Office.
• ارتباط بین یک سرویس گیرنده ایمیل مانند Microsoft Outlook و یک سرور ایمیل مانند Microsoft Exchange.
• انتقال پرونده ها از طریق سرویس های HTTPS و FTP (مانند) دارندگان وب سایت ها که صفحات جدید را به وب سایت های خود بروزرسانی می کنند یا فایل های بزرگی را انتقال می دهند.
• سیستم به برنامه ها و پانل های کنترل مانند Parallels ، cPanel و دیگران وارد می شود.
• گردش کار و برنامه های مجازی سازی مانند سکوی تحویل Citrix یا سیستم عامل محاسبات مبتنی بر ابر.

نحوه عملکردپروتکل SSL

پروتکل SSL شامل دو زیر پروتکل: پروتکل ضبط و پروتکل Handshake است.

پروتکل Handshake تعریف می کند که چگونه یک سرویس دهنده وب و سرویس گیرنده وب اتصال SSL برقرار می کنند ، از جمله مذاکره برای سیستم های رمزنگاری شده که هر میزبان مایل به آن است یا نمی خواهد از آن برای ارتباط استفاده کند. SSL همچنین فرآیندهای تبادل مواد رمزنگاری را مانند گواهی SSL برای تأیید اعتبار سرورهای وب ، کلیدهای عمومی برای تأیید اعتبار داده های منتقل شده و کلیدهای خصوصی برای رمزگذاری جلسه را مشخص می کند.

پروتکل ضبط چگونگی برقراری تبادل اطلاعات میزبان با استفاده از SSL را تعریف می کند ، از جمله مشخصات نحوه تهیه داده ها برای انتقال و نحوه تأیید یا رمزگشایی در هنگام دریافت.

تفاوت میان ssl و tsl 

پس از آنكه IETF رسما پروتكل SSL را به تصرف خود درآورد تا از طريق يك فرآيند باز آن را استاندارد سازي كند، نسخه 3.1 SSL با نام TLS 1.0 منتشر شد - اين نام براي جلوگيري از مشكلات حقوقي بالقوه با Netscape تغيير يافت. بسیاری از حملات علیه SSL به مسائل مربوط به پیاده سازی SSL متمرکز شده اند، اما آسیب پذیری Padding Oracle On Downgraded Legacy Encryption یا همان POODLE یک نقص شناخته شده در پروتکل SSL 3.0 است. این نقص به مهاجمان امکان رمزگشایی اطلاعات حساس مانند کوکی های تأیید اعتبار را می دهد. TLS 1.0 در برابر این حمله آسیب پذیر نیست زیرا مشخص می کند که کلیه بایت های padding باید دارای یک مقدار باشند و باید تأیید شوند.

سایر تفاوت های کلیدی بین SSL و TLS که TLS را به یک پروتکل امن تر و کارآمد تر تبدیل می کند، تأیید صحت پیام، تولید مواد اصلی و مجموعه های رمزگذاری شده پشتیبانی شده با TLS است که از الگوریتم های جدیدتر و مطمئن تر پشتیبانی می کنند. TLS 1.3 جدیدترین نسخه است که در سال 2018 منتشر شده است.