Https پروتکل امن چیست و به چه درد ما می خورد؟

پروتکل امن, امنیت اینترنت, اچ تی تی پی اس

امنیت با S  اضافه

حتما دیده اید که وقتی آدرس سایتی را وارد می کنید، معمولا یک Http به صورت خودکار به ابتدای آن آدرس اضافه می شود. اما بعضی وقتها هم ممکن است متوجه شوید که به جای Http، عبارت Https برای شما نشان داده می شود. همین S ناقابلی که به  انتهای Http اضافه می شود، امنیت اطلاعات تبادل شده شما را تا حد زیادی بالا می برد. اما این S چیست و چطور به ما کمک می کند؟ با ما همراه باشید تا به سادگی جواب این سوالات را دریابید.

Http چیست؟

 اطلاعاتی که در اینترنت رد وبدل می شوند از یک پروتکل استاندارد به نام  HTTP یا Hyper Text Transfer Protocol استفاده می کنند. این پروتکل یک استاندارد مورد توافق در وب جهانی است که برای دریافت و انتقال اطلاعات مورد استفاده قرار می گیرد. مثلا وقتی شما با مرورگر خود (مثل اینترنت اکسپلورر، فایرفاکس یا کروم) آدرس سایتی را وارد می کنید، مرورگر شما درخواستی را به سایت مورد نظر می فرستد. سایت مقصد جوابی را با HTTP  به کامپیوتر شما بر می گرداند که شامل متن ها (و کدهای متنی) است. مرورگر این متنها و کدها را با استفاده از همان HTTP  تفسیر می کند و می تواند مطالب آن صفحه اینترنتی را دریافت و به صورت صحیح به شما نشان بدهد.

 حالا Https چیست و چه فرقی با Http دارد؟

 خلاصه ماجرا این است که HTTP  زبان مشترکی بین کاربر (مرورگر شما) و سرور (سرور سایت مورد نظر) ایجاد می کند تا انتقال اطلاعات بصورت درست و استاندارد انجام پذیرد.

اما مشکل پروتکل HTTP  این است که رمزگذاری نشده است. بنابراین کسی که در میانه راه تبادل اطلاعات است (مثلا سرویس دهنده اینترنت شما) می تواند با استفاده از ابزارهایی به نام sniffer اطلاعات رد و بدل شده اینترنتی شما را رصد کند و پی ببرد که شما در حال ارسال و دریافت چه اطلاعاتی هستید.

در این صورت اگر شما در حال انتقال و دریافت اطلاعاتی محرمانه مثل امور بانکداری اینترنتی، خواندن ایمیل، یا خرید آنلاین هستید ممکن است این اطلاعات مورد سو استفاده قرار بگیرد.

اما در پروتکل Https اطلاعات بصورت رمزنگاری شده بین وبسایت و کاربر منتقل می شوند. در این حالت از کلیدهایی برای کد کردن استفاده میشود که تمام اطلاعات را (شامل محتوا و آدرس اینترنتی و …) را بصورت امن، رمزنگاری می کند. در این حالت کسی که در میانه راه تبادل باشد (همان سرویس دهنده یا نفوذ کنندگان به سرویس دهنده) وقتی شما به آدرس ایمیلتان در گوگل می روید، نمی تواند محتوای رد و بدل شده را بخواند، بلکه تنها متوجه می شود که شما در حال ارتباط با گوگل هستید

 اطلاعات در پروتکل امن چطور رمزنگاری می شوند؟

به زبان ساده می توانیم بگوییم که در اتصال امن ( ssl ) اطلاعات به وسیله دو کلید رمزنگاری می شوند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.

 آیا کلیدهای رمزنگاری برای دیگران غیرقابل دسترسی هستند؟

 دسترسی به داده‌ها در پروتکل امن هم ممکن است، اما به دلیل آن‌که این داده ها رمزگذاری شده اند، برای بدست آوردن داده‌های رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی نداریم! برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز بتوان داده‌های اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.

از سوی دیگر، داده‌ها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی داده‌های اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمی‌شوند. به همین دلیل، درصورتی که بدافزار یا ویروسی در هر یک از این سمت‌ها قرار بگیرد، می‌تواند داده‌های اصلی را به راحتی بدزدد.

پروتکل HTTPS  چه زمانی امن است؟

 این پروتکل زمانی واقعا امن است که حداقل تمام موارد زیر رعایت شده باشند:

 ۱- کاربر مطمئن باشد که نرم‌افزار مرورگرش به درستی HTTPS را پیاده‌سازی کرده و مراجع مورد اعتمادی را در خود قرار داده‌است.

۲- کاربر مطمئن باشد که مراجع، تنها  وبسایتهای قانونی را تایید می‌کنند و دچار اشتباه نمی‌شوند.

۳- وبسایت یک گواهی معتبر داشته باشد که توسط یکی از مراجع مورد اعتماد کاربر تایید شده‌است. (معمولا اگر گواهی سایتی با آدرس  HTTPS معتبر نباشد، مرورگهای جدید، خود اخطار می دهند)

۴- گواهی ارسال شده از طرف سایت مربوط به خود  سایت و یا شرکت اداره‌کنندهٔ آن باشد. (مثلا گواهی های سایت گوگل باید برای شرکت گوگل (به انگلیسی: Google Inc.) صادر شده باشد. نه شرکتی دیگر)

۵- کاربر یا به آی‌اس‌پی خود و مسیر اتصال آن به شبکهٔ وب اعتماد داشته‌باشد. و یا مطمئن باشد که روش‌های استفاده شده برای رمزگذاری در امنیت لایه انتقال شکست‌ناپذیرند.

 به زبان ساده:

 * پروتکل HTTPS  به دلیل استفاده از رمزنگاری  ، مطالب را برای دیگران(غیر از کاربر و سرور سایت   مقصد دارای پروتکل Https) غیر قابل رصد می کند.

*  پروتکل  Https  به دلیل فرآیند رمزنگاری ممکن است کمی سرعت دریافت و ارسال داده ها را پایین بیاورد.

* هنگام استفاده از ایمیل، سرویس بانکی و خرید اینترنتی مطمئن شوید که سایت مورد نظر از پروتکل امن Httpsاستفاده می کند.

* برای اطمینان از استفاده از Https  آدرس صفحه را در بالای مرورگر خود چک کنید،  باید Https در ابتدای آدرس دیده شود. بسیاری از مرورگر ها Https را با رنگ سبز یا پر رنگتر نشان می دهند.

* می توانید روی علامت قفل که کنار Https در نوار آدرس دیده می شود کلیک کنید و اطلاعات بیشتری در مورد پروتکل Https استفاده شده در آن سایت به دست بیاورید.در این حالت مشخصات نمایش داده شده باید با آدرس صفحه همخوانی داشته باشد و مثلا در صفحات مربوط به گوگل، Https هم باید مربوط به گوگل باشد.

 (در نگارش این مطلب از مقالات سایت ویکی پدیا نیز استفاده شده است)

3 نظر

  1. مرسی اطلاعاتتون خیلی کامل بود

  2. سلام
    سوالم اینه که چطور میتونم این پرتوکول به سایت خودم اضافه کنم ؟ یعنی راهی هست که فقط https به اول ادرس سایت اضافه کنم ؟ یا باید بلد باشم تمام کد ها و فایل های سایتم رمزگزاری کنم ؟
    لطفا پاسخ به ایمیلم بفرستید اگه ممکنه

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*