همه چیز درباره پروتکل امن https

https

همه چیز درباره پروتکل امن https

آشنایی با پروتکل امن Https

حتما دیده اید که وقتی آدرس سایتی را وارد می کنید، معمولا یک Http به صورت خودکار به ابتدای آن آدرس اضافه می شود. اما بعضی وقتها هم ممکن است متوجه شوید که به جای Http، عبارت Https برای شما نشان داده می شود. همین S ناقابلی که به انتهای Http اضافه می شود، امنیت اطلاعات تبادل شده شما را تا حد زیادی بالا می برد. اما این S چیست و چطور به ما کمک می کند؟ با ما همراه باشید تا به سادگی جواب این سوالات را دریابید. در ادامه مطلب  همه چیز درباره پروتکل امن https با وب ساز همراه باشید.

Http چیست؟

اطلاعاتی که در اینترنت رد وبدل می شوند از یک پروتکل استاندارد به نام HTTP یا Hyper Text Transfer Protocol استفاده می کنند. این پروتکل یک استاندارد مورد توافق در وب جهانی است که برای دریافت و انتقال اطلاعات مورد استفاده قرار می گیرد. مثلا وقتی شما با مرورگر خود (مثل اینترنت اکسپلورر، فایرفاکس یا کروم) آدرس سایتی را وارد می کنید، مرورگر شما درخواستی را به سایت مورد نظر می فرستد. سایت مقصد جوابی را با HTTP به کامپیوتر شما بر می گرداند که شامل متن‌ها (و کدهای متنی) است. مرورگر این متنها و کدها را با استفاده از همان HTTP تفسیر می کند و می تواند مطالب آن صفحه اینترنتی را دریافت و به صورت صحیح به شما نشان بدهد.

آشنایی با پروتکل HTTP

پروتکل انتقال فرامتن یا HTTP پروتکلی برای تبادل داده در شبکه تارگستر جهانی است. به بیان دیگر، HTTP : Hypertext Transfer Protocol پروتکلی برای تبدیل و انتقال فرامتن است. فرامتن، متنی است که بین مبدأ و مقصد از طریق ابرلینک‌ها جابه‌جا می‌شود. پروتکل انتقال فرامتن، یک پروتکل کاربردی برای سیستم‌های اطلاعاتی ابررسانه‌ای، اشتراکی و توزیعی است. HTTP پایه تبادل داده در شبکه تارگستر جهانی است.

آشنایی با شبکه وب جهانی (www)

استاندارد HTTP حاصل همکاری بین کنسرسیوم شبکه تارگستر جهانی (W3C) و کارگروه مهندسی اینترنت (IETF) بوده است و اولین نسخه، HTTP 0.9 در سال ۱۹۹۲ تولید شد. در ژوئن ۱۹۹۹ نسخه‌ای از HTTP ارائه شد که امروزه از آن استفاده می‌شود. این پروتکل به صورت آسنکرون بین سرور و کاربر کار می‌کند. به این معنی که زمان دریافت درخواست و پاسخ به آن الزاماً یکسان نیستند. در این پروتکل، کامپیوتر کاربر فقط از سرور درخواست و داده مورد نظر را دریافت می‌کند اما هیچ داده‌ای به سوی سرور نمی‌فرستد. در حالی‌ که هر درخواست ارسالی به سرور از پاسخ درخواست‌های قبلی بی‌‌خبر است. سیستم‌ها با استفاده از پروتکل انتقال فرامتن قادرند که بدون درنظر گرفتن نوع دیتا آن را انتقال دهند.

HTTP

HTTP علاوه‌بر انتقال فرامتن کاربردهای دیگری نیز دارد؛ برای مثال در سرورهای نام دامنه و سیستم‌های مدیریت اشیاء توزیع‌شده (DOMS) به‌ واسطه گسترش متدهای درخواست، کدهای خطا و هدرها به‌کار می‌رود. هرگاه در نوشتن URL یک سایت از HTTP استفاده می‌شود، مرورگر وب، URL را به صورت درخواست درآورده و به سرور HTTP می‌فرستد. سرور، درخواست را بررسی کرده و سپس جواب مربوطه را بازمی‌گرداند که این جواب می‌تواند مرجع مورد نظر و یا کد خطا باشد. سپس مرورگر‌ اینترنت پاسخ را بررسی کرده و محتویات آن‌را با توجه به نوع هدر نشان می‌دهد. هدرها مشخص‌کننده محتویات دیتا هستند و انواع مختلفی دارند: متن، آوا، تصویر، اپلیکیشن و غیره.

استاندارد HTTP برای حفظ امنیت جابه‌جایی اطلاعات از هر پروتکلی که انتقال مطمئنی ارائه دهد، استفاده می‌کند. به‌طور معمول از پروتکلTCP/IP استفاده می‌شود. در پروتکل لایه‌ای TCP/IP که برای ارتباط دستگاه‌ها در شبکه و مسیریابی به ‌وجود آمده‌است؛ بایستی آدرسIP یا نام‌ میزبان و شماره درگاه را داشته باشیم.
آشنایی با پروتکل HTTPS

HTTPS

اچ تی تی پی اس (HTTPS) پروتکل انتقال امن فرامتن برای نسخه امن پروتکل HTTP است که در تبادل امن اطلاعات در شبکه‌های کامپیوتر کاربر زیادی دارد.
زمانی که یک کاربر با پروتکل HTTPS: Hyper Text Transfer Protocol Secure به یک وب سایت متصل می‌شود، وب‌سایت مورد نظر درخواست را با یک کد دیجیتال رمزگذاری کرده و URL سایت در نوار آدرس با HTTPS شروع می‌شود و آیکون قفل در بالای هدایتگر مرورگر وب نمایان می‌شود و این یعنی که عملیات انتقال داده بین کاربر و وب‌سایت به صورت ایمن انجام می‌شود.

با استفاده‌ از این پروتکل، کامپیوترهای فرستنده و گیرنده بر سر استفاده از یک کد به توافق می‌رسند و سپس پیغام‌ها رابا این کد تلفیق کرده تا قابل خواندن برای هکرها نباشد. حتی اگر در سر راه کاربر و وب‌سایت شنود صورت بگیرد، نمی‌توان به محتوای اطلاعات دست پیدا کرد. در پروتکل HTTPS ارسال و دریافت اطلاعات روی پروتکل SSL انجام می‌شود و آن‌ را گاهی (TLS(Transport Layer Security یا لایه‌ی انتقال امنیتی می‌نامند.

از این پروتکل برای بردن امنیت تبادل داده‌ها در وب‌سایت‌های تجارت الکترونیک استفاده زیادی می‌شود. پروتکل‌های HTTP و HTTPS برخلاف ساکس قابلیت تفسیر درخواست‌های ورودی از کاربر را دارا هستند و اگر درخواست‌ها با قوانین شبکه مطابقت داشته‌ باشند، اجازه دسترسی را صادر می‌کنند.

تفاوت  Https و Http

خلاصه ماجرا این است که HTTP زبان مشترکی بین کاربر (مرورگر شما) و سرور (سرور سایت مورد نظر) ایجاد می کند تا انتقال اطلاعات بصورت درست و استاندارد انجام پذیرد.
اما مشکل پروتکل HTTP این است که رمزگذاری نشده است. بنابراین کسی که در میانه راه تبادل اطلاعات است (مثلا سرویس دهنده اینترنت شما) می تواند با استفاده از ابزارهایی به نام sniffer اطلاعات رد و بدل شده اینترنتی شما را رصد کند و پی ببرد که شما در حال ارسال و دریافت چه اطلاعاتی هستید.
در این صورت اگر شما در حال انتقال و دریافت اطلاعاتی محرمانه مثل امور بانکداری اینترنتی، خواندن ایمیل، یا خرید آنلاین هستید ممکن است این اطلاعات مورد سو استفاده قرار بگیرد.
اما در پروتکل Https اطلاعات بصورت رمزنگاری شده بین وبسایت و کاربر منتقل می شوند. در این حالت از کلیدهایی برای کد کردن استفاده میشود که تمام اطلاعات را (شامل محتوا و آدرس اینترنتی و …) را بصورت امن، رمزنگاری می کند. در این حالت کسی که در میانه راه تبادل باشد (همان سرویس دهنده یا نفوذ کنندگان به سرویس دهنده) وقتی شما به آدرس ایمیلتان در گوگل می روید، نمی تواند محتوای رد و بدل شده را بخواند، بلکه تنها متوجه می شود که شما در حال ارتباط با گوگل هستید

ssl چیست؟

ssl مخففی است از سرواژه های Secure Sockets Layer و در اصطلاح به سیستم امن و رمزی انتقال داده اطلاق می شود، ssl را ابتدا شرکت Netscape به منظور نقل و انتقال امن و رمزی اطلاعات ایجاد نمود و اکنون تقریبا تمام مرورگرهای استاندارد از جمله فایر فاکس، اینترنت اکسپلورر، اپرا، گوگل کروم و سافاری آن را پشتیبانی می کنند؛ همچنین در این رابطه شرکتهایی وجود دارند که گواهی ssl ارائه می کنند.

رمزنگاری اطلاعات در ssl

در یک بیان ساده، پس از برقراری اتصال امن، ssl اطلاعات را به وسیله دو کلید رمزنگاری می کند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.

چگونه بفهمیم که یک سایت از پروتکل امن استفاده می‌کند؟

چند فاکتور در تعیین معتبر بودن گواهی یک سایت نقش دارند، اول از همه کلید کوچکی است که در مرورگرهای مختلف با کمی اختلاف در مکان و شکل، نشان داده می شود، برخی از مرورگرها در نسخه های جدید خود پس از برقراری یک اتصال امن، نوار آدرس را به رنگ سبز نیز نشان می دهند؛ فاکتور دیگر وجود عبارت https در ابتدای آدرس آن سایت است.

چرا مرورگر در برخی از سایت ها، تقاضای تایید اعتبار می‌کند؟

بعضا ممکن است با صفحاتی روبرو شده باشید که مرورگر نسبت به منقضی شدن اعتبار گواهی ارتباط امن آن، به شما هشدار دهد، این اتفاق به چند دلیل ممکن است رخ دهد، یکی اینکه گواهی آن سایت واقعا به پایان رسیده و تمدید نشده باشد، دوم اینکه تاریخ سیستم شما از زمان حقیقی، عقب تر یا حتی جلوتر باشد، دلیل سوم هم می تواند به مسائل فنی صفحه و ترکیب اشتباه داده های عادی با داده های رمزنگاری شده مربوط باشد که این عامل به مسائل فنی سایت ارتباط دارد.

نحوه تهیه گواهی ssl برای سایت

برای داشتن یک ارتباط امن در بستر HTTPS برای سایت خود، نیاز به گواهی معتبر ssl دارید، این گواهی از طریق نمایندگی ها و سرویس دهنده های هاست نیز قابل خریداری است، علاوه بر این به سروری با قابلیت پشتیانی از ssl و یک ip اختصاصی احتیاج خواهید داشت.
و در پایان چند نکته:
– اگرچه HTTPS و رمزنگاری ssl امن و قابل اطمینان است، اما به دلیل وجود محدودیتهایی، معمولا سرعت انتقال اطلاعات از این طریق نسبت به شیوه معمول یعنی HTTP پائین تر است، لذا برای افزایش کارایی، بهتر است تنها در صفحاتی از این پروتکل استفاده کنید که اطلاعات حساسی در آنها رد و بدل می شود.
– در استفاده از سرور HTTPS دقت داشته باشید که مخصوصا در مورد تصاویری که بارگذاری می شوند، آنها را با محتوایی که از قسمت HTTPS فراخوانی می شوند در یک صفحه قرار ندهید (یا لااقل به صورت آدرس کامل http://www قرار ندهید)، چرا که موجب می شود تا مرورگر کاربران برای هر تصویر، سوالی مبنی بر معتبر نبودن اتصال و ادامه دادن یا ندادن درخواست، از آنها داشته باشد و واضح است که این موضوع موجب نارضایتی کاربران خواهد شد.

نحوه رمزنگاری اطلاعات در پروتکل امن

به زبان ساده می توانیم بگوییم که در اتصال امن ( ssl ) اطلاعات به وسیله دو کلید رمزنگاری می شوند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.

آیا دسترسی به کلیدهای رمزنگاری برای دیگران وجود دارد؟

دسترسی به داده‌ها در پروتکل امن هم ممکن است، اما به دلیل آن‌که این داده ها رمزگذاری شده اند، برای بدست آوردن داده‌های رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی نداریم! برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز بتوان داده‌های اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.
از سوی دیگر، داده‌ها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی داده‌های اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمی‌شوند. به همین دلیل، درصورتی که بدافزار یا ویروسی در هر یک از این سمت‌ها قرار بگیرد، می‌تواند داده‌های اصلی را به راحتی بدزدد.

پروتکل HTTPS چه زمانی امن است؟

این پروتکل زمانی واقعا امن است که حداقل تمام موارد زیر رعایت شده باشند:
۱- کاربر مطمئن باشد که نرم‌افزار مرورگرش به درستی HTTPS را پیاده‌سازی کرده و مراجع مورد اعتمادی را در خود قرار داده‌است.
۲- کاربر مطمئن باشد که مراجع، تنها وبسایتهای قانونی را تایید می‌کنند و دچار اشتباه نمی‌شوند.
۳- وبسایت یک گواهی معتبر داشته باشد که توسط یکی از مراجع مورد اعتماد کاربر تایید شده‌است. (معمولا اگر گواهی سایتی با آدرس HTTPS معتبر نباشد، مرورگهای جدید، خود اخطار می دهند)
۴- گواهی ارسال شده از طرف سایت مربوط به خود سایت و یا شرکت اداره‌کنندهٔ آن باشد. (مثلا گواهی های سایت گوگل باید برای شرکت گوگل (به انگلیسی: Google Inc.) صادر شده باشد. نه شرکتی دیگر)
۵- کاربر یا به آی‌اس‌پی خود و مسیر اتصال آن به شبکهٔ وب اعتماد داشته‌باشد. و یا مطمئن باشد که روش‌های استفاده شده برای رمزگذاری در امنیت لایه انتقال شکست‌ناپذیرند.
به زبان ساده:

  • پروتکل HTTPS به دلیل استفاده از رمزنگاری ، مطالب را برای دیگران(غیر از کاربر و سرور سایت مقصد دارای پروتکل Https) غیر قابل رصد می کند.
  • پروتکل Https به دلیل فرآیند رمزنگاری ممکن است کمی سرعت دریافت و ارسال داده ها را پایین بیاورد.
  • هنگام استفاده از ایمیل، سرویس بانکی و خرید اینترنتی مطمئن شوید که سایت مورد نظر از پروتکل امن Httpsاستفاده می کند.
  • رای اطمینان از استفاده از Https آدرس صفحه را در بالای مرورگر خود چک کنید، باید Https در ابتدای آدرس دیده شود. بسیاری از مرورگر ها Https را با رنگ سبز یا پر رنگتر نشان می دهند.
  • می‌توانید روی علامت قفل که کنار Https در نوار آدرس دیده می شود کلیک کنید و اطلاعات بیشتری در مورد پروتکل Https استفاده شده در آن سایت به دست بیاورید.در این حالت مشخصات نمایش داده شده باید با آدرس صفحه همخوانی داشته باشد و مثلا در صفحات مربوط به گوگل، Https هم باید مربوط به گوگل باشد.

برای چه سایت هایی باید از پروتکل امن https استفاده کنیم؟

اگر صاحب یک شرکت امنیتی یا پولی مالی یا فروشگاه های اینترنتی ، سرویس های ارائه دهنده ایمیل و این چنین سایت هایی هستید ، برای شما مناسب هستش تا از این سرویس استفاده کنید ، مگر نه اگر مثل ما سایت هایی آموزشی و .. دارید فقط با پرداخت هزینه سرعت سایت خودتونو پایین میارید !

گردآوری: وب ساز

/ شبکه / برچسب: , , , ,

اشتراک گذاری این مقاله

درباره نویسنده این مقاله

نظرات

نظری ارسال نشده!

ارسال یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *