پویاسازان فناوری اطلاعات

XSS که مخفف (Cross site Scripting) است. یک آسیب  پذیر گسترده است که بر روی بسیاری از برنامه های وب تاثیر  می گذرد. خطر XSS به این صورت است که به هکرها و مهاجمان اجازه می دهد محتوایی را به یک وب سایت ( هاست) تزریق کنند و نحوه نمایش آن را تغییر دهد و همچنین مرورگر قربانی را مجبور خواهد کرد تا کدهای ارائه شده توسط مهاجمان را در زمان لود صفحه اجرا کنند.

به صورت کلی، آسیب  پذیری های XSS به نوعی از تعامل کاربر با کاربر برای ایجاد آسیب  از طریق مهندسی اجتماعی نیاز دارد زیرا در بسیاری از موارد هکر باید منتظر باشد تا صفحه خاصی توسط یک کاربر بازدید شود. به همین دلیل است که اغلب توسعه دهنگان این نوع آسیب  پذیری را جدی نمی گیرند اما نادیده گرفتن این مورد بسیار خطر ناک است.

DDOS مخفف Distributed Denial-Of-Service است و تلاش هایی در جهت ایجاد سرویس های آنلاین برای ترافیک بالا, انجام می دهد. رایج ترین هدف برای حملات DDOS, شرکت های بزرگ,مانند بانک ها و رسانه ها هستند اما در چند سال گذشته برای شرکت های کوچک هم اتفاق افتاده و داشتن راه حل هایی برای متوقف کردن این حملات ضرورت پیدا کرده است.

مواردی که میبایست در ارتباط با DDOS بدانید:

مجرمان یا مشتریان ناراضی, حملات طولانی مدت DDOS را در بازار سیاه انجام میدهند که ممکن است ۱۵۰ دلار برای آنها هزینه بر باشد.

بی‌شک گوگل محبوب‌ترین موتور جستجوی جهان است. بر اساس آمار سایت الکسا، محبوبترین وب‌سایت در ایران نیز گوگل است. به طور متوسط روزانه بیش از 3.5 میلیارد جستجو در گوگل صورت می‌گیرد.

گوگل ادوردز سرویس تبلیغاتی اصلی گوگل و تبلیغات منبع درآمد اصلی این شرکت است. سرویس ادوردز به مشتریان این امکان را می‌دهد که علاوه بر آن که سایت‌هایشان بر حسب رتبه‌ای که الگوریتم‌های گوگل به آن‌ها اختصاص داده‌است در نتایج جستجو نمایش داده می‌شود، بتوانند سایت‌هایشان را در همان صفحه اول نتایج جستجوی گوگل برای کاربرانی که جستجوهایی مرتبط با کسب و کار و وب‌سایت آن‌ها می‌کنند به صورت تبلیغات کوتاه در فرمت‌های مختلف به نمایش بگذارند. به این ترتیب صاحبان وب‌سایت‌ها می‌توانند با هزینه‌هایی به نسبت کم وب‌سایت و کسب و کار خود را در معرض دید کاربران قرار دهند. ممکن است شما در نتایج جستجو جایگاه خوبی نداشته باشید اما اگر به وب‌سایت و قابلیت تجاری خود اطمینان دارید می‌توانید با قدری هزینه در اولین صفحهٔ نتایج جستجو حتی اولین وب‌سایتی باشید که کاربر با آن مواجه می‌شود. باقی کار با شما و کیفیت وب‌سایت و خدمات‌تان است که باید اعتماد مشتری را بتوانید جلب کنید.

بی‌شک گوگل محبوب‌ترین موتور جستجوی جهان است. بر اساس آمار سایت الکسا، محبوبترین وب‌سایت در ایران نیز گوگل است. به طور متوسط روزانه بیش از 3.5 میلیارد جستجو در گوگل صورت می‌گیرد.

گوگل ادوردز سرویس تبلیغاتی اصلی گوگل و تبلیغات منبع درآمد اصلی این شرکت است. سرویس ادوردز به مشتریان این امکان را می‌دهد که علاوه بر آن که سایت‌هایشان بر حسب رتبه‌ای که الگوریتم‌های گوگل به آن‌ها اختصاص داده‌است در نتایج جستجو نمایش داده می‌شود، بتوانند سایت‌هایشان را در همان صفحه اول نتایج جستجوی گوگل برای کاربرانی که جستجوهایی مرتبط با کسب و کار و وب‌سایت آن‌ها می‌کنند به صورت تبلیغات کوتاه در فرمت‌های مختلف به نمایش بگذارند. به این ترتیب صاحبان وب‌سایت‌ها می‌توانند با هزینه‌هایی به نسبت کم وب‌سایت و کسب و کار خود را در معرض دید کاربران قرار دهند. ممکن است شما در نتایج جستجو جایگاه خوبی نداشته باشید اما اگر به وب‌سایت و قابلیت تجاری خود اطمینان دارید می‌توانید با قدری هزینه در اولین صفحهٔ نتایج جستجو حتی اولین وب‌سایتی باشید که کاربر با آن مواجه می‌شود. باقی کار با شما و کیفیت وب‌سایت و خدمات‌تان است که باید اعتماد مشتری را بتوانید جلب کنید.

DDOS مخفف Distributed Denial-Of-Service است و تلاش هایی در جهت ایجاد سرویس های آنلاین برای ترافیک بالا, انجام می دهد. رایج ترین هدف برای حملات DDOS, شرکت های بزرگ,مانند بانک ها و رسانه ها هستند اما در چند سال گذشته برای شرکت های کوچک هم اتفاق افتاده و داشتن راه حل هایی برای متوقف کردن این حملات ضرورت پیدا کرده است.

مواردی که میبایست در ارتباط با DDOS بدانید:

مجرمان یا مشتریان ناراضی, حملات طولانی مدت DDOS را در بازار سیاه انجام میدهند که ممکن است ۱۵۰ دلار برای آنها هزینه بر باشد.

XSS که مخفف (Cross site Scripting) است. یک آسیب  پذیر گسترده است که بر روی بسیاری از برنامه های وب تاثیر  می گذرد. خطر XSS به این صورت است که به هکرها و مهاجمان اجازه می دهد محتوایی را به یک وب سایت ( هاست) تزریق کنند و نحوه نمایش آن را تغییر دهد و همچنین مرورگر قربانی را مجبور خواهد کرد تا کدهای ارائه شده توسط مهاجمان را در زمان لود صفحه اجرا کنند.

به صورت کلی، آسیب  پذیری های XSS به نوعی از تعامل کاربر با کاربر برای ایجاد آسیب  از طریق مهندسی اجتماعی نیاز دارد زیرا در بسیاری از موارد هکر باید منتظر باشد تا صفحه خاصی توسط یک کاربر بازدید شود. به همین دلیل است که اغلب توسعه دهنگان این نوع آسیب  پذیری را جدی نمی گیرند اما نادیده گرفتن این مورد بسیار خطر ناک است.

امنیت در یک وب سایت حرف اول و آخر رو میزنه و نداشتن امنیت کافی در یک وب سایت , یعنی عدم حرفه ای بودن وب سایت.  بحث امنیت هیچ گاه بحث مطلقی نیست و سایت های بزرگ دنیا از جمله گوگل و یاهو هم هر از چند گاهی مورد حمله هکرها قرار گرفته و امنیت آن ها زیر سوال میرود.

هیچ وقت نمیتوان گفت یک وب سایت دارای امنیت ۱۰۰% مطلق میباشد . به همین دلیل وب مستران فقط به دنبال راهکارهایی برای افزایش هر چه بیشتر امنیت در وب سایت خود هستند تا احتمال هک شدن وب سایت خود رو تا جایی که امکان دارد به سمت صفر میل دهند.

راهکار های افزایش امنیت یک وب سایت به چندین عامل مختلف بستگی دارد و با درست انجام دادن این عوامل , میتوان امنیت یک وب سایت رو افزایش داد.

با روی کار آمدن سیستم های مدیریت محتوای رایگان از جمله وردپرس , جوملا , دروپال و … ( هرچند فوق العاده سیستم های قوی از نظر امنیت هستند ) ولی باز هم به دلیل رایگان بودن آنها و در دسترس بودن سورس آنها توسط هکر ها , هر لحظه امکان هک شدن آنها وجود دارد.

در این پست قصد دارم چند نکته بسیار حیاتی , ساده و فوق العاده مهم رو بیان کنم تا با انجام دادن آنها , ضریب امنیت وب سایت خود را تا حد قابل قبولی بالا ببرید.

می خواهید کسب‌ و کار خود را در فضای اینترنت معرفی کنید؛ وب‌ سایت خود را طراحی کرده‌اید و محتوای آن آماده است. چه نوع میزبانی‌ یی برای من مناسب‌تر است؟ این سؤال جنبه‌های متفاوتی دارد، اما دو گزینه هست که بیش‌ تر محل بحثند: لینوکس یا ویندوز٫ شما می‌خواهید بدانید به یک فضای میزبانی لینوکس احتیاج دارید یا آن‌که بهتر است به میزبانی ویندوز روی بیاورید. برای تصمیم‌گیری باید با تفاوت‌های این دو آشنا باشید.

 هاست های لینوکس و ویندوز برتری‌ها و ایرادات خودشان را دارند و طرف‌داران هر کدام حاضرند قسم بخورند که سیستم آن‌ها از هر جهت بهتر از دیگری است. نظرات دیگران را حتماً بشنوید اما حق انتخاب‌تان را به گفته‌های افراد غیرمتخصص نید. هر کس نظری دارد و نظر شما می‌تواند معتبرتر از هر نظر دیگری باشد، اگر بر پایه‌ی اطلاعات درست و نیازهای واقعی خودتان به آن رسیده باشید.

-          دسترسی به سرور: روش‌های دسترسی به حساب کاربری معمولاً کنترل پنل و FTP است و هاستینگ لینوکس و ویندوز از هر دوی این متدها پشتیبانی می‌کنند. پنل‌های مجانی و تجاری برای میزبانی ویندوز یا لینوکس هر دو وجود دارد. شرکت‌های میزبانی پنلی را که مناسب‌تر تشخیص دهند روی سرورهای خود نصب می‌کنند و در اختیار شما می‌گذارند. تفاوت‌های دستورات FTP بین این دو نوع میزبانی خیلی کم است و به‌ندرت با آن مواجه خواهید شد. دست‌رس به سرورهای لینوکس با Telnet و SSH نیز ممکن است؛ اگرچه این کار چندان معمول نیست راه‌اندازی این دو روی سرورهای ویندوزی نیز مشکلی ندارد. به هر حال در این زمینه شما تفاوت چندانی مشاهده نخواهید کرد.

-          امنیت: توسعه‌دهندگان لینوکس و ویندوز هر دو برای افزایش امنیت سرورها تلاش می‌کنند. خیلی از مشتریان در انتخاب و هاست به لینوکس گرایش دارند زیرا در مورد امنیت آن بسیار شنیده‌اند. اما مایکروسافت در ویندوز سرور ۲۰۰۸ به‌شدت روی امنیت تمرکز کرده است و قابلیت‌های امنیتی متعددی برای حفاظت از داده‌ها و شبکه‌ی شما تعبیه شده است. اگر امنیت برای شما اهمیت زیادی دارد بیش‌تر از آن‌که به هاست لینوکسیا ویندوز فکر کنید در انتخاب شرکت میزبانی دقت کنید. یک شرکت میزبانی خوش‌نام با کارکنانی ماهر پیدا کنید و برای انتخاب سرویس میزبانی به توصیه‌های آن‌ها حتماً توجه کنید.

-          صفحات وب: ویندوز و لینوکس هر دو با صفحات HTML و JavaScript بدون هیچ مشکلی کار می‌کنند. در بسیاری موارد سرورهای لینوکس از پسوند فایل .html استفاده می‌کنند و سرورهای ویندوز از پسوند .htm، اما هیچ تفاوت اساسی‌یی بین این فایل‌‌ها وجود ندارد. به‌علاوه پسوندهای دیگری مانند .pl، .xml، .shtml، .php و… نیز وجود دارد که عمدتاً متعلق به زبان‌های اسکریپت‌نویسی تحت لینوکسند، اما سرور ویندوزی که با ابزارهای مناسب پیکره‌بندی شده باشد با هیچ کدام از این پسوندها مشکلی نخواهد داشت. به‌علاوه فرمت‌های متعلق به FrontPage مخصوص ویندوزند اما سرورهای میزبانی لینوکس نیز با پیکره‌بندی مناسب با این پسوندها مشکلی نخواهند داشت.

-          اسکریپت‌نویسی: تفاوت واقعی این دو سیستم در زبان‌های اسکریپت‌نویسی مورد استفاده‌ی ویندوز و لینوکس در ایجاد صفحات وب است. اسکریپت‌های CGI، PHP، Perl، Python، Ruby همه برای لینوکس توسعه داده شده‌اند. اما سرورهای ویندوز نیز به‌سادگی با تمام آن‌ها کار می‌کنند. در عوض ASP و ASP.NET مخصوص ویندوز طراحی شده‌اند ولی به روش‌هایی می‌توان آن‌ها را روی سرورهای لینوکس نیز فعال کرد.

-          دیتابیس‌ها: معمول‌ترین دیتابیس‌ها MySQL برای لینوکس و MSSQL برای ویندوزند. اما MySQL روی ویندوز نیز اجرا می‌شود. اگر قصد کار با دیتابیس‌های MSSQL را دارید هاست‌های ویندوز مناسب کار شماست.

اگر به دنبال ایجاد یک وب‌سایت تجارت الکترونیک هستید یا می‌خواهید کاربران با وب‌سایت‌تان تعامل داشته باشند سرویس‌های ویندوزی مناسب‌ترند. هم‌چنین اگر به دنبال اپلیکیشن‌های خاص یا VB برای طراحی سایت‌تان هستید بهتر است به سراغ ویندوز بروید. راه‌اندازی سرویس‌های چت آنلاین روی پلتفورم‌های ویندوز بسیار ساده‌تر است. هم‌چنین اگر تجربه‌ی زیادی ندارید ویندوز کار شما را راحت‌تر می‌کند و سرویس‌های لینوکسی احتیاج به تخصص بیش‌تری دارد. انتقال وب‌سایت‌ها از لینوکس به ویندوز اغلب بدون دردسر است اما برعکس آن صادق نیست.

به طور خلاصه و چنان‌که می‌بینید تفاوت‌ها کم‌تر از آن چیزی است که فکر می‌کنید و اغلب ویژگی‌های هر سیستم به‌سادگی در سیستم دیگر نیز قابل دسترس است. به جای نگرانی از نوع سیستم عامل بیش‌تر به دنبال قابلیت‌ها و سرویس‌هایی باشید که شرکت میزبانی انتخابی‌تان به شما ارایه می‌دهد. اگر می‌خواهید کسب‌وکار آنلاین‌تان موفق باشد مطمئن شوید که سرویس میزبانی خود را به افرادی قابل اعتماد سپرده‌اید و به دنبال هاست ارزان نباشید. در این صورت هر گونه مشکلی که پیش بیاید پشتیبانی خوب و دانش و تجربه‌ی کافی میزبان به شما کمک خواهد کرد.

1- گواهینامه اس اس ال (DV (domain validation

این نوع از گواهینامه SSL صادر کننده ی گواهینامه بر اساس نام دامنه اعتبار سنجی را انجام می دهد و به بررسی صحت یا اعتبار سازمان یا صاحب دامنه نمی پردازد، و زمان بسیار کوتاهی از درخواست تا صدور دارد. به نحوی که بیشتر صادرکنندگان به صورت آنلاین و در لحظه آن را صادر می کنند، این گواهی بیشتر برای صاحبان وب سایت و اشخاص عادی یا به اصطلاح شخص حقیقی مناسب است که هدف از تهیه گواهیاس اس البرای آنها صرفا تغییر http به https و بالا بردن سئو سایت بوده. البته شرکتها و اشخاص حقوقی نیز می توانند از این نوع گواهینامه استفاده کنند.

گواهینامه دو نوع است یکی Standard و دیگری Wildcard گواهینامه DV Standard فقط برای دامنه اصلی به کار می رود اما DV Wildcard دامنه اصلی و تمامی ساب دامین ها را امن می کند و قیمت بالاتری نسبت به DV Standard دارد.

توجه داشته باشید : اگر عکس های خود را بر روی ساب دامین بارگذاری کرده اید باید حتما از Wildcard استفاده کنید اگر بخواهید از Standard استفاده کنید نوار HTTPS شما سبز نمی شود. زیرا عکس های شما که در ساب دامین است. رمز گذاری نشده و از HTTP بارگذاری شده این مورد رو هم هنگام SSL در نظر داشته باشید.

به طور معمول، درخواست اعتبار سنجی یا گرفتن تایید در نوع DV از طریق ارسال ایمیل به یک آدرس از دامنه که صادر کننده مشخص می کند مثل admin@domain یا webmaster@domain انجام می شود و پس از دریافت مشخصات در ایمیل و لینک تایید گواهینامه SSL برای دامنه مورد نظر صادر می شود و صاحب وب سایت پس از نصب می تواند از قابلیت ( SSL/TLS) استفاده نماید. از لحاظ فنی این گواهینامه ها هیچ مشکلی ندارند و تنها از جنبه اعتبار اهمیت دارد زیرا هیچ نامی از صاحب گواهی SSL یا سازمان مربوطه در بخش اطلاعات گواهینامه در مرورگر به بازدید کننده نمایش داده نمی شود.

2- گواهینامه اس اس ال (OV (organization validation :

این نوع گواهینامه SSL علاوه بر تامین امنیت در صدد تایید اعتبار یک کسب و کار و تجارت اینترنتی است و سطح اعتبار بسیار بالاتری نسبت به گواهینامه SSL DV را دارا می باشد و بازدید کنندگان وب سایت مربوطه با مشاهده نام سازمان در بخش جزئیات گواهینامه با اطمینان از این وب سایتها سرویس می گیرند. این نوع گواهینامه با توجه به مدارک مورد نیاز فقط به اشخاص حقوقی و صاحبان کسب و کار دارای مدارک رسمی دولتی از قبیل رومه رسمی قابل واگذاری می باشد .

ssl از این نوع نیاز به تایید کامل هویت درخواست کننده دارد. شرکتها ، سازمانهای دولتی ، بانکها ، وزارتخانه ها و به طور کل اشخاص حقوقی از متقاضیان این نوع گواهینامه SSL هستند. درخواست کننده باید مدارک کامل ثبتی و قانونی و هویتی شرکت، سازمان و نهاد مربوطه را به همراه فرمهای درخواست و معرفی یک شخص مسئول همراه مدارک در مرحله اول به صورت اینترنتی ارسال نموده و پس از قبول درخواست از سمت صادر کننده نسخه ترجمه شده تمام مدارک مهر شده را از طریق پست بین المللی مثل DHL به صادر کننده ارسال نماید. در صورت تهیه و فعال نمودن این نوع از گواهینامه، اطلاعات تایید شده هویت آن سازمان در بخش جزئیات گواهینامه SSL نشان داده می شود که خاص آن سازمان، شرکت و یا نهاد می باشد.

3- گواهینامه اس اس ال (EV (Extended Validation :

گواهینامه SSL EV مشخصه اصلی این نوع گواهینامه نشان سبز رنگ در مرورگر است و نام شرکت به رنگ سبز رنگ نمایش داده می شود.دریافت آن بسیار شبیه گواهینامه OV ولی با اعتبار و ارزشی بالاتر است و معمولا سازمانهای بزرگ در دنیا از جمله شرکتهایی مثل گوگل از این نوع گواهینامه استفاده می کنند.

مدارک مورد نیاز برای سفارش این نوع از گواهینامه SSL همانند گواهینامه OV می باشد با این تفاوت که اهراز هویت سازمان و یا شرکت دقیق تر بوده و مدارک بیشتری و با دقت بالاتری مورد رسیدگی قرار می گیرد، به علاوه هزینه آن بالاتر است برای اعتبار سنجی کلیه اطلاعات از جمله شماره تلفن ها و اطلاعات وب بررسی می شود. و زمان بیشتری نسبت به OV صرف صدور آن می شود.

کدام گواهینامه بهتر است؟

در طور کل اگر شخصی حقیقی هستید و هدفتان از تهیه گواهینامه SSL بالا بردن سئو و افزایش اعتماد کاربر است می توانید از گواهینامه SSL DV استفاده کنید. اما اگر یک سایت بزرگ دارید و شخصی حقوقی هستید می توانید از EV و OV استفاده کنید. همچنین می توانید از اس اس ال دامنه .ir برای دامنه های ملی استفاده کنید.

این گواهینامه مخفف Socket Secure Layer که اولین بار توسط شرکت Netscape طراحی شد و سپس مرورگرهای دیگر نیز از این پروتکل پشتیبانی کردند.

مشخصه بارز SSL بصورت HttpS می‌باشد که شاید بارها در اینترنت مشاهده کرده باشید و به سادگی از آن گذر کرده باشید.

Secure Socket Layer   یا همان SSL یک تکنولوژی استاندارد و به ثبت رسیده برای تامین ارتباطی امن مابین یک وب سرور و یک مرورگر اینترنت است. این ارتباط امن از تمامی اطلاعاتی که ما بین وب سرور و مرورگر اینترنت (کاربر) انتقال می‌یابد , محافظت می‌کند تا در این انتقال به صورت محرمانه و دست نخورده باقی بماند. SSL یک استاندارد صنعتی است و توسط میلیون‌ها وب سایت در سراسر جهان برای برقراری امنتیت انتقال اطلاعات استفاده می‌شود. برای اینکه یک وب واند ارتباطی امن از نوع SSL را داشته باشد نیاز به یک گواهینامه SSL دارد.

توضیح مختصری در مورد گواهینامه  ssl!؟

زمانی که شما می‌خواهید SSL را بر روی سرور خود فعال کنید سؤالات متعددی در مورد هویت سایت شما ( مانند آدرس سایت ) و همین طور هویت شرکت شما ( مانند نام شرکت و محل آن) از شما پرسیده می‌شود. آنگاه سرور دو کلید رمز را برای شما تولید می‌کند , یک کلید خصوصی (Private Key) و یک کلید عمومی (Public Key). کلید خصوصی به این خاطر , این نام را گرفته است , چون بایستی کاملاْ محرمانه و دور از دسترس دیگران قرار گیرد. اما در مقابل نیازی به حفاظت از کلید عمومی نیست و این کلید در قالب یک فایل درخواست گواهینامه یا Certificate Signing Request که به اختصار آنرا CSR می‌نامیم قرارداده می‌شود که حاوی مشخصات سرور و شرکت شما بصورت رمز است. آنگاه شما باسیتی که این کد CSR را برای صادرکننده گواهی‌نامه ارسال کنید. در طول مراحل سفارش یک SSL مرکز صدور گواهینامه درستی اطلاعات وارد شده توسط شما را بررسی و تایید می‌کند و سپس یک گواهینامه SSL برای شما تولید کرده و ارسال می‌کند.

عملکرد SSL به چه صورت می باشد !؟

تبادل اطلاعات میان مرورگر و سایتی که در حال مرور شدن است، بوسیله کلیدهای خصوصی (private key) کد می‌شود و چنانچه در طول مسیر اطلاعات شنود شود، قابل استفاده نخواهد بود. بنابراین بخوبی می‌توان از این پروتکل برای کاربردهای تجاری استفاده کرد. در حال حاضر بسیاری از وب سایت ها علاوه بر پروتکل معمول http از SSL نیز حمایت می‌کنند و شما می‌توانید برای دسترسی امن به اطلاعات این سایت‌ها از طریق یک لینک SSL ، از https استفاده کنید.

اس اس ال در واقع پروتکلی است که در آن ارتباطات بوسیله یک کلید، رمزگذاری (Encryption) می‌شوند. زمانی که قرار است یکسری اطلاعات را به صورت SSL به یک سایت که سرور (Server) آن گواهی‌نامه SSL را دارد (در آدرس سایت https است) ارسال شود. ابتدا باید از یک کلید به عنوان قالبی برای به رمز در آوردن اطلاعات بین خدمات گیرنده (کاربر) و خدمات دهنده (سرور) استفاده شود. برای ساخت این کلید نیاز به چند مرحله هماهنگی به شرح زیر است.

1. وقتی سروری بخواهد پروتکل SSL را فعال کند. ابتدا یک کلید عمومی (Public Key) می‌سازد.

2. سپس کلید عمومی را همراه با یک درخواست گواهی‌نامهSSL به یکی از صادرکنندگان این گواهی‌نامه‌ها مثل وریساین (Verisign) می‌فرستد.

3. وریساین نیز ابتدا مشخصات و میزان قابل اعتماد بودن و امنیت سرور را ارزیابی کرده و کلید عمومی را دوباره رمزگذاری می‌کند و برای سرور می‌‌فرستد تا در انتقال اطلاعات خود از آن استفاده کند. به کلید جدید کلید امنیتی (private key) می‌گویند.

4. حال هر زمان که کاربر بخواهد از طریق پروتکل SSL به این سایت دست یابد، ابتدا کامپیوتر کاربر یک کلید عمومی برای سرور می‌فرستد (هر کامپیوتری کلید مخصوص به خود را دارد).

5. سرور نیز این کلید عمومی را با کلید امنیتی خود مخلوط کرده و از آن کلید جدیدی می‌سازد. سپس آن را به کامپیوتر کاربر می‌فرستد.

6. از این به بعد تمامی اطلاعاتی که بین کاربر و سرور جابجا می‌شوند با این کلید جدید رمزگذاری می‌شوند.