***3
مقدمه
بسیار واضح است که امروزه امنیت اطلاعات یکی از ضروریترین مسائل در زمینه تبادل اطلاعات است. چرا که با وجود نفوذگران و دشمنانی که چه عمداً و چه غیر عمد به دنبال دستیابی به اطلاعات و خراب کردن و عوض نمودن آنها هستند، دیگر نمیتوان تصور نمود که تمام کانالها امن بوده و تبادل اطلاعات از خطر مصون میباشد. لذا استفاده از نرمافزارها و پروتکلهای رمزنگاری در لایههای مختلف شبکه باعث ایجاد امنیت و صحت در تبادل اطلاعات میباشد. در این زمینه ابزارها و پروتکلهای مختلفی وجود دارد که مرورگرهای اینترنت از آنها استفاده میکنند. ولیکن در اینجا نحوه عملکرد ابزار SSL بیان میگردد که اکثر مرورگرهای اینترنت آن را بکار میبرند.
***4
ssl چیست؟
SSL که ازلحاظ لغوی مخفف secure Socket Layer می باشد، یک تکنولوژی استاندارد و به ثبت رسیده برای تامین ارتباطی امن ، مابین یک وب سرور و یک مرورگر اینترنت است . این ارتباط امن از تمامی اطلاعاتی که ما بین وب سرور و مرورگر اینترنت )کاربر) انتقال می یابد , محافظت می کند تا این انتقال به صورت محرمانه و دست نخورده باقی بماند. SSL یک استاندارد صنعتی است که توسط ملیونها وب سایت در سراسر جهان برای برقراری امنیت انتقال اطلاعات استفاده می شود.
این پروتکل امنیتی در دهه 1990 توسط کمپانی Netscape برای اولین بار به منظور انتقال اطلاعات بصورت امن بین دونقطه در اینترنت تهیه شد و پس از مدتی علاوه بر مرورگر Netscape Navigator و خانواده آن، مرورگر Internet Explorer نیز از آن استفاده کرد.
***5
در واقع SSL پروتکلی است که پایینتر از لایه کاربردی (لایه 4 ازمدل (TCP/IP و بالاتر از لایه انتقال (لایه سوم از مدل( TCP/IP قرار میگیرد.
مزیت استفاده از این پروتکل بهره گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیرامن لایه کاربردی نظیرHTTP ،LDAP ،IMAP و... میباشد که براساس آن الگوریتمهای رمزنگاری بر روی دادههای خام (plain text) که قراراست
از یک کانال ارتباطی غیرامن مثل اینترنت عبور کنند، اعمال میشود و محرمانه ماندن دادهها را در طول کانال انتقال تضمین میکند.
***6
ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL
برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSL یکی برای سرویس دهنده و دیگری برای سرویس گیرنده و یک مرکز صدور و اعطای گواهینامه دیجیتال یا(Certificate Authority) CA نیاز میباشد. وظیفه CA این است که هویت طرفین ارتباط، نشانیها، حسابهای بانکی و تاریخ انقضای گواهینامه را بداند و براساس آنها هویتها را تعیین نماید.
به بیان دیگر شرکتی که صلاحیت صدور و اعطاء گواهیهای دیجیتال ssl را دارد ، برای هر کدام از دوطرفی که قرار است ارتباطات میان شبکهای امن داشته باشند، گواهی های مخصوص سرویسدهنده و سرویسگیرنده را صادر میکند و با مکانیزمهای احراز هویت خاص خود، هویت هر کدام از طرفین را برای طرف مقابل تأیید میکند، البته غیر از اینکار میبایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل درک و استفاده نباشد که اینکار را با کمک الگوریتمهای رمزنگاری انجام میدهد.