درصورتی‌که یک برنامه اطلاعات حساس را بر روی شبکه به‌صورت واضح انتقال دهد، این اطلاعات تا رسیدن به مقصد نهایی، توسط عوامل متعدد میانی در دسترس خواهد بود. اگر نفوذگر به این عوامل میانی دسترسی داشته باشد یا ترافیک شبکه را استراق سمع کند، باعث افشای اطلاعاتی همچون نام کاربری، گذرواژه و سایر اطلاعات حساس می‏ شود. برای جلوگیری از این حملات استفاده از پروتکل SSL/TLS که در محیط وب با نام HTTPS شناخته می‌شود، ضروریست.

برای پیکربندی سرویس‌دهنده HTTPS و استفاده از این پروتکل ابتدا باید گواهی‌نامه دیجیتال مربوطه را از مراکز صدور گواهی(۱) معتبر دریافت کرد. البته این گواهی را خود شما نیز می‌توانید ایجاد کنید ولی در این صورت یک گواهی خودامضا(۲) خواهید داشت که مرورگرها هنگام مواجهه با آن پیغام خطا می‌دهند. ازآنجایی‌که گواهی‌های خودامضا توسط مهاجمین نیز قابل ایجاد و سوءاستفاده هستند، بهتر است برای امنیت بالاتر حتماً گواهی از یک مرکز صدور گواهی معتبر دریافت شود. گرفتن گواهی دارای مراحلی است که برای اطلاعات بیشتر در این زمینه می‌توانید به گزارش ارائه شده توسط پژوهشکده آپای دانشگاه صنعتی امیرکبیر که در آدرس زیر قرار دارد مراجعه کنید:

https://apa.aut.ac.ir/?p=971

نظر به اهمیت برقراری ارتباطات امن، سایت پژوهشکده آپای دانشگاه صنعتی امیرکبیر (https://apa.aut.ac.ir) با دریافت گواهی صادر شده از مرکز Let’s Encrypt (که با معماری خاصی گواهی صادر می‌کند) پروتکل HTTPS را برای سایت مرکز راه اندازی کرد و سپس با پیکربندی مناسب سرویس دهنده، نمره امنیتی آن را به ۲۰ از ۲۰ (در سایت SSLcheck مرکز ماهر) و A (در سایت ssllabs) ارتقا داد.

HTTPS

پس از دریافت و فعال‌سازی سرویس SSL بر روی سایت، می‌بایست امنیت آن را ارتقا دهیم. ‌پیاده‌سازی و استفاده ایمن از SSL/TLS دارای جزئیات فنی متعددی است که می‌بایست به‌درستی رعایت شود. در صورت عدم رعایت ملاحظات و نکات امنیتی در پیاده‌سازی این پروتکل، محرمانگی و یکپارچگی داده‌های مبادله شده به خطر می‌افتد.

ابتدا می‌بایست سرویس‌دهنده خود را ارزیابی نمایید تا مشکلات احتمالی آن مشخص شود. برای این امر می‌توان از ابزارهای آنلاین که بدین منظور وجود دارد استفاده کرد:

طراحی شده توسط مرکز آپای دانشگاه امیرکبیر به سفارش مرکز ماهر

https://sslcheck.cert.ir
آزمایشگاه SSL مربوط به شرکت QUALYS

https://www.ssllabs.com/ssltest

و سپس ایمن‌سازی با استفاده از پروتکل SSL/TLS به منظور افزایش امنیت ارتباطات در دامنه مورد نظر انجام شود. در واقع این ایمن‌سازی و همچنین بررسی‌های انجام شده در چهار دسته کلی زیر قرار می‌گیرند:

  • قدرت الگوریتم‌های رمزنگاری
  • پشتیبانی از پروتکل‌های امن
  • مقاومت در برابر حملات شناخته شده
  • گواهی دیجیتال

بعد از انجام ایمن‌سازی‌های مربوط به پروتکل SSL/TLS، موفق به دریافت نمره ۲۰+ از sslcheck و همچنین نمره +A از ssllabs شدیم.

لینک‌ها و نتایج ارزیابی

۱) ارزیابی انجام شده توسط سایت sslcheck:

https://sslcheck.cert.ir/showresults.php?id=21059

SSLCheck

۲) ارزیابی انجام شده توسط سایت ssllabs:

https://www.ssllabs.com/ssltest/analyze.html?d=apa.aut.ac.ir

SSL Labs

(۱) Certificate Authority (CA)
(۲) Self-Signed