Keyless SSL چیست | آشنایی با Remote key server

SSL Keyless چیست و چه کاربردی دارد؟

به طور خلاصه، تکنولوژی Keyless SSL فرآیندی است که از طریق آن عملیات Handshake در روابط بین سیستم ها به دو مرحله تقسیم می شوند: مرحله اول، عملیات کلید عمومی و مرحله دوم، عملیات کلید خصوصی. از این تکنولوژی برای جلوگیری از دستیابی افراد یا سازمان های میانجی ( Third party ) به کلید خصوصی یک سیستم استفاده می شود؛ در این صورت تمام فرآیند تبادل کلید خصوصی ( Private-key handshake ) سمت سرور اصلی شما ( Origin server ) رخ خواهند داد.

Secure Socket Layer یا به اختصار SSL یکی از بخش های اصلی و کلیدی در برقراری ارتباطات امن در سطح وب به شمار می آید. وب سایت هایی که خدمات مالی ارائه می کنند ( دارای درگاه پرداخت اینترنتی هستند ) و یا با اطلاعات محرمانه کاربران در تماس هستند، سالهاست که برای رمزنگاری این داده های حساس و جلوگیری از دسترسی هکرها به آنها، از فناوری SSL استفاده می کنند.

در راستای ارتقا سطوح عملکردی، امنیتی و کیفی خدمات وب به کاربران نهایی، علاوه بر SSL، راهکارهای بسیار دیگری در سالیان اخیر ایجاد و ارائه شده اند؛ در این مسیر، یکی از راهکارهایی که برای ارتقا سرعت و امنیت وبسایت ها پیشنهاد شده، استفاده از تکنولوژی CDN یا شبکه توزیع محتواست.

میزبان کلود به عنوان یک ارائه دهنده خدمات رایانش ابری، توانسته با بهره گیری از جدیدترین تکنولوژی ها، سرویسی برای توزیع سریعتر محتوا در اختیار صاحبین وب اپلیکیشن ها در سراسر جهان قرار دهد.

به کمک سرویس رایگان CDN میزبان کلود، موقعیت جغرافیایی مخاطب با تکنولوژی Anycast ردیابی شده و نزدیک ترین سرور ابری میزبان کلود (که در سراسر جهان در پاپ سایت های مختلف واقع شده اند)، اطلاعات کش شده وب سایت را به مخاطب نمایش خواهد داد. این موضوع باعث افزایش سرعت و امنیت چشم گیر وبسایت خواهد شد.

در این بین صاحبین وبسایت ها می بایست، سرورهای اصلی وبسایت خود را به سرورهای ابری میزبان کلود متصل نمایند؛ در طی این فرآیند، در صورت فعال بودن گواهینامه SSL بر روی سایت، ارتباطات بین مرورگر مخاطب، سرور اصلی و سرورهای میزبان کلود به صورت رمزنگاری شده برقرار خواهند شد.

فعالسازی SSL در شرایط عادی

در حالت پیش فرض، مشتری (صاحبین کسب و کار یا وبسایت) می بایست کلید SSL سایت خود را با میزبان کلود به اشتراک بگذارد که البته میزبان کلود تمامی اقدامات فنی لازم برای حفاظت از داده های کلید مشتری را مبذول می دارد؛ با این وجود، برای برخی از مشتریان، وجود برخی سیاست ها یا مسائل امنیتی، مانع اشتراک گذاری کلید SSL سایت آنها با شرکت های شخص ثالث از جمله میزبان کلود می شود.

به عبارت دیگر، در حالت عادی پس از فعالسازی SSL ، اطلاعات بین مخاطب و سرور به کمک دو کلید عمومی ( Public Key ) و خصوصی ( Private Key ) تبادل می شوند.

کلیدهای عمومی و خصوصی برای رمزنگاری و رمزگشایی اطلاعات بین دو سیستم مورد استفاده قرار می گیرند. در این فرآیند، از کلید عمومی ( Public key ) برای "رمزنگاری" داده ها استفاده شده که برای "رمزگشایی" آنها باید تنها از یک کلید خصوصی ( Private Key ) مشخص و جفت شده کمک گرفت.

مطابق تصویر زیر، زمانی که یک مرورگر درخواستی مبنی بر دریافت دسترسی به یک صفحه از سایت را به سمت سرور ارسال می کند، در ابتدا از سمت وب سرور یک کلید عمومی دریافت می کند که توسط مرورگر برای رمزنگاری یک کلید متقارن تصادفی ( random symmetric encryption key ) مورد استفاده قرار می گیرد.

رمزنگاری متقارن ( symmetric encryption ) نوعی از رمزنگاری است که تنها یک کلید ( مخفی ) برای رمزنگاری و رمزگشایی اطلاعات الکترونیک مورد استفاده قرار می گیرد. هر دو سمت برقرار کننده ارتباط که از رمزنگاری متقارن استفاده می کنند، می بایست برای فرآیند رمزگشایی، این کلید را بین یکدیگر رد و بدل کنند. به بیان دیگر، رمزنگاری متقارن به این معنا است که گیرنده و فرستنده‌ پیام هر دو از یک کلید برای رمزنگاری و رمزگشایی اطلاعات استفاده می کنند.

این فرآیند به اصطلاح handshake نام گرفته که در مرحله بعد کلید رمزنگاری شده همراه با داده های مهم و ضروری دیگر به سمت سرور باز می گردد.

Handshake در دنیای فناوری اطلاعات به زمانی اطلاق می شود که دو سیستم به وسیله یک پروتکل یکسان قصد برقراری ارتباط با یکدیگر را دارند؛ این دو سیستم می توانند یک کاربر ( Client ) و یک سرور و یا دو سرور مجزا باشند. پروسه Handshake هویت ارتباط بین دو سیستم را در سه مسیر رفت و برگشتی ( 3-Way ) تایید کرده و برقراری ارتباط را ممکن می سازد.

keyless ssl

سرور پس از دریافت داده ها، آنها را با یک کلید خصوصی "رمزگشایی" کرده و اطلاعات را پردازش خواهد کرد. سپس با کمک کلید رمزنگاری متقارن تصادفی، خروجی این فرآیند ( Session key ) به سمت مرورگر ارسال می شود. در این مرحله، قبل از نمایش اطلاعات به کاربر، مرورگر آنها را با Session key تولید شده توسط سرور رمزگشایی می کند.

فعالسازی SSL بدون ارائه کلید خصوصی (SSL Keyless)

اما اخیراً میزبان کلود برای وب سایت های که با محدودیت تبادل کلید خصوصی مواجه هستند، از یک تکنولوژی SSL جایگزین استفاده می کند که به فرآیند Handshake عادی نیازی نخواهد داشت.

این تکنولوژی Keyless SSL نام داشته که از طریق آن عملیات Handshake به دو مرحله تقسیم می شوند؛ یک مرحله، عملیات کلید عمومی و مرحله دیگر، عملیات کلید خصوصی.

به منظور جلوگیری از دستیابی فرد یا سازمان واسط دیگر ( Third party ) به کلید خصوصی، تمام جنبه های فرآیند تبادل کلید خصوصی ( Private-key handshake ) در سرور اصلی یا مبدا ( Origin server ) رخ خواهند داد.

برای این منظور، بجای نگهداری کلیدها در یک دستگاه فیزیکی متصل به سرور اصلی، میزبان کلود یک سرور کلید از راه دور ( Remote key server ) برای مشتری پیکربندی می کند که بدین ترتیب بخش خصوصیِ فرآیندِ تبادل کلید، در سمت وب سرور اصلی صورت گرفته و در نتیجه کلید خصوصی مشتری انحصاری و محرمانه مانده و سازمان واسط دیگری به آن دسترسی پیدا نخواهد کرد.

در این حالت، طبق تصویر زیر زمانی که یک بازدید کننده در اولین Session خود، با چنین سایتی مواجه می شود، وب سرور در ابتدا یک گواهی کلید عمومی به سمت مرورگر ارسال کرده و پس از دریافت یک کلید رمزنگاری متقارن تصادفی، اطلاعات را برای Remote key server ارسال می کند تا گواهی کلید عمومی و کلید رمزنگاری متقارن تصادفی، رمزگشایی و اعتبارسنجی شده و در انتها تایید یا به اصطلاح امضا ( Sign ) گردند.

زمانی که داده ها توسط کلید خصوصی در Key server اعتبارسنجی و Sign شدند، میزبان کلود پاسخ را به وسیله یک کانال ایمن و در قالب کلیدهای رمزنگاری متقارن تصادفی دریافت کرده و فرآیند تحویل محتوا به کاربر را پیش می برد.

سرور کلید از راه دور ( Remote key server ) راهکاری برای نگهداری گواهینامه های TLS و کلیدهای خصوصی و ارائه دسترسی امن آنها به سرورهای لبه می باشد. این Key server توسط میزبان کلود برای مشتریانی که قصد استفاده از Keyless SSL را دارند، نصب خواهد شد.

همانطور که گفته شد اکثر مشتریان با ممنوعیتی در ارائه کلیدهای خصوصی خود به میزبان کلود مواجه نیستند، اما برخی دیگر، نظیر بانک ها یا سازمان هایی که داده های محرمانه و حساسی دارند، ملزومات امنیتی خاصی داشته که این اشتراک گذاری کلید خصوصی را غیرممکن می کند.

تکنولوژی Keyless SSL این قابلیت را برای اینگونه مشتریان فراهم کرده تا ضمن عبور ترافیک رمزنگاری شده از شبکه جهانی CDN میزبان کلود، کنترل کامل و انحصاری بر کلیدهای خصوصی خود داشته باشند. در نتیجه سازمان ها و ارگان ها می توانند با کمک این تکنولوژی، از تمام راهکارهای مقیاس پذیر و پیشرفته میزبان کلود از جمله CDN ابری، سرویس های امنیتی ( جلوگیری از حملات DDoS،WAF، Rate limit ) و غیره بدون نیاز به ارائه کلید خصوصی SSL خود بهره مند شوند.

البته به این نکته توجه داشته باشید که برای استفاده از تکنولوژی Keyless SSL ، میزبان کلود همچنان می بایست ترافیک را رمزگشایی، تفتیش و رمزنگاری مجدد کند تا بتواند آن را به سمت سرورها هدایت کند.

جمع بندی

امنیت اطلاعات یکی از اصلی ترین و مهمترین موضوعاتی است که برای هر کسب و کاری بخصوص سازمان ها و ارگان هایی که با داده های حساسی مواجه هستند، از اهمیت بالایی برخوردار است. استفاده از تکنولوژی CDN مستلزم اتصال یک وبسایت به سرورهای ابری متصل به شبکه توزیع محتوا و ارائه دسترسی هایی از جمله کلیدهای خصوصی در گواهینامه های امنیتی است.

در این بین برای برخی از وب سایت ها، ارائه چنین دسترسی هایی ممکن بوده اما برخی دیگر، به دلایل امنیتی قادر به ارائه این کلیدهای خصوصی نخواهند بود. در چنین شرایطی، راهکار Keyless SSL پیشنهاد می شود که در این مقاله به طور مفصل مورد بررسی قرار گرفت.

در صورت نیاز به دریافت مشاوره و کسب اطلاعات بیشتر در خصوص این راهکار، با کارشناسان میزبان کلود تماس حاصل فرمایید.