پرداخت امن با چلسمه

ایمن شو؛ ببر!

چاره ای جز خرید از وبسایت های دارای SSL نیست.SSL همه چیز نیست اما بدون آن حریم شخصی شمامی لنگد. تصمیم هوشمندانه آن است که از وب سایت هائی که در مرورگر خود دارای قفل سبز رنگ هستندخرید کنید و از خدمات آن ها بهره مند شوید تا آسوده تر و در کلاسی بالاتر خرید های اینترنتی خود را انجام دهید.

چاره کار!

حفاظت از حریم خصوصی و اطلاعات مربوط به کارت های خریداینترنتی و هماهنگی با آخرین تحولات امنیت در موتورهای جستجو و افزایش ضریب امنیت اطلاعات شخصی هدفی است که باید به آن دست یابید. افزایش امنیت اطلاعات و حفظ حریم خصوصی را از چلسمه بخواهید.

پرداخت امن با چلسمه

آشنایی با پروتکل امن Https

حتما دیده اید که وقتی آدرس سایتی را وارد می کنید، معمولا یک Http به صورت خودکار به ابتدای آن آدرس اضافه می شود. اما بعضی وقتها هم ممکن است متوجه شوید که به جای Http، عبارت Https برای شما نشان داده می شود. همین S ناقابلی که به انتهای Http اضافه می شود، امنیت اطلاعات تبادل شده شما را تا حد زیادی بالا می برد. اما این S چیست و چطور به ما کمک می کند؟ با ما همراه باشید تا به سادگی جواب این سوالات را دریابید. در ادامه مطلب  همه چیز درباره پروتکل امن https ، با چلسمه همراه باشید.

Http چیست؟

اطلاعاتی که در اینترنت رد وبدل می شوند از یک پروتکل استاندارد به نام HTTP یا Hyper Text Transfer Protocol استفاده می کنند. این پروتکل یک استاندارد مورد توافق در وب جهانی است که برای دریافت و انتقال اطلاعات مورد استفاده قرار می گیرد. مثلا وقتی شما با مرورگر خود (مثل اینترنت اکسپلورر، فایرفاکس یا کروم) آدرس سایتی را وارد می کنید، مرورگر شما درخواستی را به سایت مورد نظر می فرستد. سایت مقصد جوابی را با HTTP به کامپیوتر شما بر می گرداند که شامل متن‌ها (و کدهای متنی) است. مرورگر این متنها و کدها را با استفاده از همان HTTP تفسیر می کند و می تواند مطالب آن صفحه اینترنتی را دریافت و به صورت صحیح به شما نشان بدهد.

آشنایی با پروتکل HTTP

پروتکل انتقال فرامتن یا HTTP پروتکلی برای تبادل داده در شبکه تارگستر جهانی است. به بیان دیگر، HTTP : Hypertext Transfer Protocol پروتکلی برای تبدیل و انتقال فرامتن است. فرامتن، متنی است که بین مبدأ و مقصد از طریق ابرلینک‌ها جابه‌جا می‌شود. پروتکل انتقال فرامتن، یک پروتکل کاربردی برای سیستم‌های اطلاعاتی ابررسانه‌ای، اشتراکی و توزیعی است. HTTP پایه تبادل داده در شبکه تارگستر جهانی است.

آشنایی با شبکه وب جهانی (www)

استاندارد HTTP حاصل همکاری بین کنسرسیوم شبکه تارگستر جهانی (W3C) و کارگروه مهندسی اینترنت (IETF) بوده است و اولین نسخه، HTTP 0.9 در سال ۱۹۹۲ تولید شد. در ژوئن ۱۹۹۹ نسخه‌ای از HTTP ارائه شد که امروزه از آن استفاده می‌شود. این پروتکل به صورت آسنکرون بین سرور و کاربر کار می‌کند. به این معنی که زمان دریافت درخواست و پاسخ به آن الزاماً یکسان نیستند. در این پروتکل، کامپیوتر کاربر فقط از سرور درخواست و داده مورد نظر را دریافت می‌کند اما هیچ داده‌ای به سوی سرور نمی‌فرستد. در حالی‌ که هر درخواست ارسالی به سرور از پاسخ درخواست‌های قبلی بی‌‌خبر است. سیستم‌ها با استفاده از پروتکل انتقال فرامتن قادرند که بدون درنظر گرفتن نوع دیتا آن را انتقال دهند.

HTTP

HTTP علاوه‌بر انتقال فرامتن کاربردهای دیگری نیز دارد؛ برای مثال در سرورهای نام دامنه و سیستم‌های مدیریت اشیاء توزیع‌شده (DOMS) به‌ واسطه گسترش متدهای درخواست، کدهای خطا و هدرها به‌کار می‌رود. هرگاه در نوشتن URL یک سایت از HTTP استفاده می‌شود، مرورگر وب، URL را به صورت درخواست درآورده و به سرور HTTP می‌فرستد. سرور، درخواست را بررسی کرده و سپس جواب مربوطه را بازمی‌گرداند که این جواب می‌تواند مرجع مورد نظر و یا کد خطا باشد. سپس مرورگر‌ اینترنت پاسخ را بررسی کرده و محتویات آن‌را با توجه به نوع هدر نشان می‌دهد. هدرها مشخص‌کننده محتویات دیتا هستند و انواع مختلفی دارند: متن، آوا، تصویر، اپلیکیشن و غیره.

استاندارد HTTP برای حفظ امنیت جابه‌جایی اطلاعات از هر پروتکلی که انتقال مطمئنی ارائه دهد، استفاده می‌کند. به‌طور معمول از پروتکلTCP/IP استفاده می‌شود. در پروتکل لایه‌ای TCP/IP که برای ارتباط دستگاه‌ها در شبکه و مسیریابی به ‌وجود آمده‌است؛ بایستی آدرسIP یا نام‌ میزبان و شماره درگاه را داشته باشیم.

آشنایی با پروتکل HTTPS

اچ تی تی پی اس (HTTPS) پروتکل انتقال امن فرامتن برای نسخه امن پروتکل HTTP است که در تبادل امن اطلاعات در شبکه‌های کامپیوتر کاربرد زیادی دارد.
زمانی که یک کاربر با پروتکل HTTPS: Hyper Text Transfer Protocol Secure به یک وب سایت متصل می‌شود، وب‌سایت مورد نظر درخواست را با یک کد دیجیتال رمزگذاری کرده و URL سایت در نوار آدرس با HTTPS شروع می‌شود و آیکون قفل در بالای هدایتگر مرورگر وب نمایان می‌شود و این یعنی که عملیات انتقال داده بین کاربر و وب‌سایت به صورت ایمن انجام می‌شود.

با استفاده‌ از این پروتکل، کامپیوترهای فرستنده و گیرنده بر سر استفاده از یک کد به توافق می‌رسند و سپس پیغام‌ها رابا این کد تلفیق کرده تا قابل خواندن برای هکرها نباشد. حتی اگر در سر راه کاربر و وب‌سایت شنود صورت بگیرد، نمی‌توان به محتوای اطلاعات دست پیدا کرد. در پروتکل HTTPS ارسال و دریافت اطلاعات روی پروتکل SSL انجام می‌شود و آن‌ را گاهی (TLS(Transport Layer Security یا لایه‌ی انتقال امنیتی می‌نامند.

از این پروتکل برای بردن امنیت تبادل داده‌ها در وب‌سایت‌های تجارت الکترونیک استفاده زیادی می‌شود. پروتکل‌های HTTP و HTTPS برخلاف ساکس قابلیت تفسیر درخواست‌های ورودی از کاربر را دارا هستند و اگر درخواست‌ها با قوانین شبکه مطابقت داشته‌ باشند، اجازه دسترسی را صادر می‌کنند.

تفاوت  Https و Http

خلاصه ماجرا این است که HTTP زبان مشترکی بین کاربر (مرورگر شما) و سرور (سرور سایت مورد نظر) ایجاد می کند تا انتقال اطلاعات بصورت درست و استاندارد انجام پذیرد.
اما مشکل پروتکل HTTP این است که رمزگذاری نشده است. بنابراین کسی که در میانه راه تبادل اطلاعات است (مثلا سرویس دهنده اینترنت شما) می تواند با استفاده از ابزارهایی به نام sniffer اطلاعات رد و بدل شده اینترنتی شما را رصد کند و پی ببرد که شما در حال ارسال و دریافت چه اطلاعاتی هستید.
در این صورت اگر شما در حال انتقال و دریافت اطلاعاتی محرمانه مثل امور بانکداری اینترنتی، خواندن ایمیل، یا خرید آنلاین هستید ممکن است این اطلاعات مورد سو استفاده قرار بگیرد.
اما در پروتکل Https اطلاعات بصورت رمزنگاری شده بین وبسایت و کاربر منتقل می شوند. در این حالت از کلیدهایی برای کد کردن استفاده میشود که تمام اطلاعات (شامل محتوا و آدرس اینترنتی و …) را بصورت امن، رمزنگاری می کند. در این حالت کسی که در میانه راه تبادل باشد (همان سرویس دهنده یا نفوذ کنندگان به سرویس دهنده) وقتی شما به آدرس ایمیلتان در گوگل می روید، نمی تواند محتوای رد و بدل شده را بخواند، بلکه تنها متوجه می شود که شما در حال ارتباط با گوگل هستید

ssl چیست؟

ssl مخففی است از سرواژه های Secure Sockets Layer و در اصطلاح به سیستم امن و رمزی انتقال داده اطلاق می شود، ssl را ابتدا شرکت Netscape به منظور نقل و انتقال امن و رمزی اطلاعات ایجاد نمود و اکنون تقریبا تمام مرورگرهای استاندارد از جمله فایر فاکس، اینترنت اکسپلورر، اپرا، گوگل کروم و سافاری آن را پشتیبانی می کنند؛ همچنین در این رابطه شرکتهایی وجود دارند که گواهی ssl ارائه می کنند.

رمزنگاری اطلاعات در ssl

در یک بیان ساده، پس از برقراری اتصال امن، ssl اطلاعات را به وسیله دو کلید رمزنگاری می کند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.

چگونه بفهمیم که یک سایت از پروتکل امن استفاده می‌کند؟

چند فاکتور در تعیین معتبر بودن گواهی یک سایت نقش دارند، اول از همه کلید کوچکی است که در مرورگرهای مختلف با کمی اختلاف در مکان و شکل، نشان داده می شود، برخی از مرورگرها در نسخه های جدید خود پس از برقراری یک اتصال امن، نوار آدرس را به رنگ سبز نیز نشان می دهند؛ فاکتور دیگر وجود عبارت https در ابتدای آدرس آن سایت است.

چرا مرورگر در برخی از سایت ها، تقاضای تایید اعتبار می‌کند؟

بعضا ممکن است با صفحاتی روبرو شده باشید که مرورگر نسبت به منقضی شدن اعتبار گواهی ارتباط امن آن، به شما هشدار دهد، این اتفاق به چند دلیل ممکن است رخ دهد، یکی اینکه گواهی آن سایت واقعا به پایان رسیده و تمدید نشده باشد، دوم اینکه تاریخ سیستم شما از زمان حقیقی، عقب تر یا حتی جلوتر باشد، دلیل سوم هم می تواند به مسائل فنی صفحه و ترکیب اشتباه داده های عادی با داده های رمزنگاری شده مربوط باشد که این عامل به مسائل فنی سایت ارتباط دارد.

نحوه تهیه گواهی ssl برای سایت

برای داشتن یک ارتباط امن در بستر HTTPS برای سایت خود، نیاز به گواهی معتبر ssl دارید، این گواهی از طریق نمایندگی ها و سرویس دهنده های هاست نیز قابل خریداری است، علاوه بر این به سروری با قابلیت پشتیانی از ssl و یک ip اختصاصی احتیاج خواهید داشت.
و در پایان چند نکته:
– اگرچه HTTPS و رمزنگاری ssl امن و قابل اطمینان است، اما به دلیل وجود محدودیتهایی، معمولا سرعت انتقال اطلاعات از این طریق نسبت به شیوه معمول یعنی HTTP پائین تر است، لذا برای افزایش کارایی، بهتر است تنها در صفحاتی از این پروتکل استفاده کنید که اطلاعات حساسی در آنها رد و بدل می شود.
– در استفاده از سرور HTTPS دقت داشته باشید که مخصوصا در مورد تصاویری که بارگذاری می شوند، آنها را با محتوایی که از قسمت HTTPS فراخوانی می شوند در یک صفحه قرار ندهید (یا لااقل به صورت آدرس کامل http://www قرار ندهید)، چرا که موجب می شود تا مرورگر کاربران برای هر تصویر، سوالی مبنی بر معتبر نبودن اتصال و ادامه دادن یا ندادن درخواست، از آنها داشته باشد و واضح است که این موضوع موجب نارضایتی کاربران خواهد شد.

نحوه رمزنگاری اطلاعات در پروتکل امن

به زبان ساده می توانیم بگوییم که در اتصال امن ( ssl ) اطلاعات به وسیله دو کلید رمزنگاری می شوند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.

آیا دسترسی به کلیدهای رمزنگاری برای دیگران وجود دارد؟

دسترسی به داده‌ها در پروتکل امن هم ممکن است، اما به دلیل آن‌که این داده ها رمزگذاری شده اند، برای بدست آوردن داده‌های رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی نداریم! برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز بتوان داده‌های اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.
از سوی دیگر، داده‌ها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی داده‌های اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمی‌شوند. به همین دلیل، درصورتی که بدافزار یا ویروسی در هر یک از این سمت‌ها قرار بگیرد، می‌تواند داده‌های اصلی را به راحتی بدزدد.

پروتکل HTTPS چه زمانی امن است؟

این پروتکل زمانی واقعا امن است که حداقل تمام موارد زیر رعایت شده باشند:
۱- کاربر مطمئن باشد که نرم‌افزار مرورگرش به درستی HTTPS را پیاده‌سازی کرده و مراجع مورد اعتمادی را در خود قرار داده‌است.
۲- کاربر مطمئن باشد که مراجع، تنها وبسایتهای قانونی را تایید می‌کنند و دچار اشتباه نمی‌شوند.
۳- وبسایت یک گواهی معتبر داشته باشد که توسط یکی از مراجع مورد اعتماد کاربر تایید شده‌است. (معمولا اگر گواهی سایتی با آدرس HTTPS معتبر نباشد، مرورگهای جدید، خود اخطار می دهند)
۴- گواهی ارسال شده از طرف سایت مربوط به خود سایت و یا شرکت اداره‌کنندهٔ آن باشد. (مثلا گواهی های سایت گوگل باید برای شرکت گوگل (به انگلیسی: Google Inc.) صادر شده باشد. نه شرکتی دیگر)
۵- کاربر یا به آی‌اس‌پی خود و مسیر اتصال آن به شبکهٔ وب اعتماد داشته‌باشد. و یا مطمئن باشد که روش‌های استفاده شده برای رمزگذاری در امنیت لایه انتقال شکست‌ناپذیرند.
به زبان ساده:

• پروتکل HTTPS به دلیل استفاده از رمزنگاری ، مطالب را برای دیگران(غیر از کاربر و سرور سایت مقصد دارای پروتکل Https) غیر قابل رصد می کند.
• پروتکل Https به دلیل فرآیند رمزنگاری ممکن است کمی سرعت دریافت و ارسال داده ها را پایین بیاورد.
• هنگام استفاده از ایمیل، سرویس بانکی و خرید اینترنتی مطمئن شوید که سایت مورد نظر از پروتکل امن Httpsاستفاده می کند.
• برای اطمینان از استفاده از Https آدرس صفحه را در بالای مرورگر خود چک کنید، باید Https در ابتدای آدرس دیده شود. بسیاری از مرورگر ها Https را با رنگ سبز یا پر رنگتر نشان می دهند.
• می‌توانید روی علامت قفل که کنار Https در نوار آدرس دیده می شود کلیک کنید و اطلاعات بیشتری در مورد پروتکل Https استفاده شده در آن سایت به دست بیاورید.در این حالت مشخصات نمایش داده شده باید با آدرس صفحه همخوانی داشته باشد و مثلا در صفحات مربوط به گوگل، Https هم باید مربوط به گوگل باشد.

5 دلیلی که یک فروشگاه اینترنتی نیاز به گواهی SSL دارد

(SSL (Secure Sockets Layer؛ یک فرایند محافظت از اطلاعاتی است که در اطراف اینترنت می گذرد تا از دسترسی هکرها و رباتها به اطلاعات حساس آنلاین جلوگیری شود. اطلاعات خصوصی مانند جزئیات کارت اعتباری از طریق سرورهای مختلف منتقل مي شود و اين گواهي تضمين كننده امنيت شبکه و رمزگذاری لازم برای جلوگیری از نفوذ هکرها در هنگام انتقال اطلاعات است.

قاعده کلی این است که مسئولیت حفاظت از کسب و کار و اطلاعات خصوصی و حساس مشتریان مانند سوابق مالی، ورود به سیستم رمز عبور، شماره هویت، جزئیات کارت اعتباری با خود مشتري است. سرقت این اطلاعات می تواند باعث از دست دادن پول و یا مشکلات قانونی شود. این به ویژه برای سایتهای تجارت الکترونیک، سایتهای عضویت و سایت های دیگر که نیاز به اطلاعات خصوصی از مشتریان خود دارند، اهمیت دارد.

در اینجا دلایل اصلی این که چرا باید گواهی SSL را برای وب سایت خود را دریافت کنیم؛ ذكر مي گردد:

1) با اين گواهي پرداخت امن است
در هنگام استفاده از سایت های تجارت الکترونیکی، جزئیات کارت اعتباری اغلب وارد می شوند. در انجام این کار، مشتری اعتماد کامل خود را به این موضوع که این اطلاعات حساس به طور ایمن منتقل می شود، ارائه می دهد. SSL به عنوان یک پروتکل امنیتی در معاملات پرداخت استفاده می شود.

2) شما اعتماد مصرف کننده را ساختید
یک وبسایت با یک گواهی SSL می تواند به راحتی شناسایی شود، زمانی که URL با HTTPS به جای http شروع می شود، و هنگامی که نماد قفل سبز در کنار نوار URL وجود دارد. به این ترتیب، شما یک سیگنال واضح برای مشتریان هدف خود ارسال می کنید که کسب و کار شما یکپارچگی و هوشمندي لازم برای اجرای این سطح اضافی حفاظت از داده های خصوصی خود را دارد.

3) رتبه بندی GOOGLE خود را افزایش دهید
به گفته گوگل، وب سایت هایی با گواهینامه SSL مزایای رتبه بندی کوچک را در نتایج موتورهای جستجو گوگل به دست می آورند زیرا آنها می خواهند همه صاحبان وبسایت ها را تشویق کنند که از HTTP به HTTPS تغییر کنند تا امنیت وب را ارتقا دهند. این بدان معنی است که هنگامی که یک گواهینامه SSL برای وب سایت خود کسب می کنید، این می تواند رتبه بندی جستجوی گوگل شما را افزایش دهد.

4) پیروی از PDPA
قانون حفاظت از اطلاعات شخصی سنگاپور (PDPA) یک قانون است که نحوه کسب و کار جمع آوری و استفاده از اطلاعات شخصی را مدیریت می کند. تمام مشاغل واقع در سنگاپور به صورت قانوني مجاز به پیروی از استانداردهای امنیتی در PDPA هستند. یکی از الزامات PDPA برای وب سایت در سنگاپور جمع آوری اطلاعات مشتری است که در آن وب سایت باید با SSL فعال شود.

5) SECURED PASSWORD LOG-INS
اگر صفحات شما با رمز محافظت شده باشند، به معني آن است كه یک گواهی SSL در وب سایت شما، برای اطمینان از جزئیات ورود به سیستم مانند نام کاربری و رمز عبور مشتریان خود و جلوگیری از حمله هکرها وجود دارد.

داشتن یک گواهینامه SSL در وب سایت شما به مشتریان شما اين حس امنیت را خواهد داد که داده های خصوصی آنها در دستاني ایمن هستند. این یک نیاز بزرگ در مورد وب سایت هایی است که با اطلاعات حساس مانند جزئیات کارت اعتباری و سایر اطلاعات شخصی در مورد مشتریان خود سر و كار دارند.

اگر میخواهید درباره SSL بیشتر بدانید و علاقمند به گرفتن یکی برای وب سایت خود هستید، فقط یک تقاضاي پشتيباني در چلسمه برای مشاوره بگذارید.

گروه طراحی و توسعه چلسمه