آنچه در این مقاله میخوانید:
HTTPS چیست؟
چرا HTTPS مهم است؟ اگر وبسایتی HTTPS نداشته باشد چه اتفاقی میافتد؟
یک وبسایت چگونه میتواند از HTTPS استفاده کند؟
پروتکل امن انتقال ابرمتن (HTTPS- Hypertext transfer protocol secure)، نسخه ایمن پروتکل انتقال ابرمتن (HTTP) است که برای انتقال دادهها بین مرورگر وب و وبسایت استفاده میشود. با استفاده از HTTPS، دادهها با استفاده از رمزگذاری، به صورت ایمن انتقال مییابند. این امر به خصوص زمانی مهم است که کاربران دادههای حساسی مانند اطلاعات ورود به حساب بانکی، سرویس ایمیل و … را ارسال میکنند.
وبسایتهایی که نیاز به اعتبارسنجی ورود دارند، باید از HTTPS استفاده کنند. در مرورگرهای وب مدرن مانند کروم، وبسایتهایی که از HTTPS استفاده نمیکنند، با نشانهای متفاوت از آنهایی که از این پروتکل استفاده میکنند، علامتگذاری میشوند. به دنبال قفلی در نوار URL بگردید تا نشان دهد صفحه وب از این پروتکل استفاده کرده و امن است. مرورگرهای وب، از جمله گوگل کروم به HTTPS اهمیت زیادی میدهند و همه وبسایتهای غیر HTTPS را بهعنوان غیر امن علامتگذاری میکنند.
HTTPS چگونه کار میکند؟
پروتکل HTTPS از یک پروتکل رمزگذاری به نام امنیت لایه انتقال (TLS- Transport Layer Security) استفاده میکند که در گذشته به عنوان لایه سوکتهای امن (SSL- Secure Sockets Layer) شناخته میشد. این پروتکل با استفاده از چیزی به نام زیرساخت کلید عمومی نامتقارن، ارتباطات را ایمن میکند. برای رمزگذاری ارتباطات بین دو طرف در این نوع سیستم امنیتی، از دو کلید مختلف استفاده می شود: کلید خصوصی و کلید عمومی.
1- کلید خصوصی: کلید خصوصی، کلیدی است که توسط صاحب یک وبسایت کنترل میشود و همانگونه که از نامش مشخص است به طور خصوصی نگهداری میشود. این کلید بر روی یک وبسرور میماند و برای رمزگشایی اطلاعات رمزگذاری شده توسط کلید عمومی استفاده میگردد.2- کلید عمومی: کلیدی است که برای همه کسانی که میخواهند با سرور بهروشی امن تعامل داشته باشند در دسترس است. اطلاعاتی که توسط کلید عمومی رمزگذاری شدهاند، فقط با کلید خصوصی قابل رمزگشایی هستند.
چرا HTTPS مهم است؟ اگر وبسایتی HTTPS نداشته باشد چه اتفاقی میافتد؟
پروتکل HTTPS به گونهای از پخش اطلاعات وبسایتها جلوگیری میکند که اطلاعات برای هر کسی که در شبکه جاسوسی میکند، به راحتی قابل مشاهده نباشد. هنگامی که اطلاعات از طریق HTTP معمولی منتقل میشود، به بستههایی از دادهها تقسیم میشوند که میتوانند به راحتی با استفاده از نرمافزارهای رایگان ردیابی شوند. این روش باعث میشود که ارتباطات از طریق یک رسانه ناامن، مانند Wi-Fi عمومی، در برابر رهگیری بسیار آسیبپذیر باشند. در واقع، انتقال اطلاعات از طریق HTTP به صورت متن ساده انجام میشود. اینگونه انتقال اطلاعات باعث میشود که این اطلاعات در برابر حملات بسیار آسیبپذیر باشند و افرادی که ابزارهای حملات سایبری را در اختیار دارند به راحتی بتوانند به آنها دسترسی پیدا کنند.
با استفاده از HTTPS ترافیک به گونهای رمزگذاری میشود که حتی در صورت رهگیری بستههای دیتا، اطلاعات به صورت کاراکترهایی بیمعنی به مهاجم نمایش داده شود. به یک مثال توجه کنید:
قبل از رمزگذاری:
This is a string of text that is completely readable
بعد از رمزگذاری:
ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=
در وبسایتهایی که از پروتکل HTTPS استفاده نمیکنند، ارائهدهندگان خدمات اینترنتی (ISP) یا دیگر واسطهها میتوانند بدون تأیید مالک وبسایت، محتواهایی را به صفحات وب تزریق کنند. این محتواها معمولا به شکل تبلیغات است، جایی که یک ISP که به دنبال افزایش درآمد است، تبلیغاتی را به صفحات وب مشتریان خود تزریق میکند. جای تعجب نیست که وقتی این اتفاق میافتد، سود تبلیغات و کنترل کیفیت آن تبلیغات به هیچ وجه با صاحب وبسایت تقسیم نمیشود. اما پروتکل HTTPS توانایی اشخاص ثالث را برای تزریق تبلیغات به محتوای وب را حذف میکند.
HTTPS چه تفاوتی با HTTP دارد؟
HTTPS یک پروتکل امنیتی است که از رمزنگاری TLS/SSL بر روی پروتکل HTTP استفاده میکند. با این حال، HTTPS یک پروتکل جدا از HTTP نیست، بلکه برای ایجاد ارتباط امن بین کاربر و وبسایت از امکانات رمزنگاری TLS/SSL استفاده میکند.
هنگامی که مرورگر کاربر به یک صفحه وب متصل میشود، گواهینامه SSL شامل کلید عمومی مورد نیاز برای شروع جلسه امن، به صفحه وب ارسال میگردد. در این مرحله، دو کامپیوتر، کلاینت و سرور، ابتدا فرآیند SSL/TLS handshake را شروع میکنند که مجموعهای از ارتباطات رفت و برگشتی است که برای ایجاد یک اتصال امن استفاده میشود. در این فرآیند، کلید عمومی گواهینامه SSL برای رمزنگاری دادهها استفاده میشود و پس از آن، ارتباط امن بین کاربر و وبسایت برقرار میگردد.
در نتیجه، HTTPS توانایی اشخاص ثالث تایید نشده را برای تزریق تبلیغات به محتوای وب حذف می کند و امنیت بیشتری به کاربران ارائه می دهد. به علاوه، اطمینان حاصل می کند که کاربران با وب سایت اصلی و اعتباری ارتباط برقرار کرده اند.
یک وبسایت چگونه میتواند از HTTPS استفاده کند؟
HTTPS یک پروتکل امنیتی است که برای ارتباطات وب استفاده میشود. این پروتکل با استفاده از رمزنگاری TLS/SSL، اطلاعات را بین کامپیوترهای کاربر و سرورهای وب به صورت ایمن انتقال میدهد. برای استفاده از HTTPS، یک گواهینامه SSL/TLS لازم است که میتوانید آن را از ارائه دهندگان معتبر و مطمئن خریداری کنید.
اَبر دِراک گواهینامه SSL را به صورت رایگان در اختیار وبسایتهایی که از سرویس CDN آن استفاده میکنند، قرار می دهد. برای استفاده از SSL رایگان اَبر دِراک، کافیست در وبسایت اَبر دِراک یک حساب کاربری بسازید و سرویس CDN اَبر دِراک را برای وبسایت خود فعال کنید. با استفاده از HTTPS، هر وبسایتی میتواند از مزایای امنیتی این پروتکل بهرهمند شود و ارتباطات خود را به صورت ایمن انجام دهد.
سوالات متداول:
پروتکل HTTPS چگونه کار میکند؟ پروتکل HTTPS به سادگی از رمزگذاری TLS/SSL بر روی پروتکل HTTP استفاده میکند. وقتی کاربر به یک صفحه وب متصل میشود، صفحه وب گواهینامه SSL خود را که حاوی کلید عمومی لازم برای شروع جلسه امن است ارسال میکند. سپس دو کامپیوتر، کلاینت و سرور، فرآیندی به نام دست دادن SSL/TLS را طی میکنند که مجموعهای از ارتباطات رفت و برگشتی است که برای ایجاد یک اتصال امن استفاده میشود.
چه فوایدی دارد که از HTTPS استفاده کنیم؟ استفاده از HTTPS به علت رمزگذاری اطلاعات، افزایش امنیت کاربران و جلوگیری از سرقت اطلاعات شخصی آنها در برابر حملات نفوذ به شبکه، بسیار مهم است. همچنین، وبسایتهایی که از HTTPS استفاده میکنند، تضمین میکنند که اطلاعات کاربران از جمله نام کاربری و کلمه عبور، فقط بین کاربر و سرور منتقل شده و اشخاص دیگر نمیتوانند آنها را دریافت کنند.آیا همه وب سایتها باید از HTTPS استفاده کنند؟ بله، همه وبسایتها باید از HTTPS استفاده کنند. به دلیل اینکه HTTPS به صورت مستقیم امنیت کاربر را افزایش میدهد، بسیاری از وبسایتهای امروزی به سمت استفاده از HTTPS میروند.
منابع:
https://www.cloudflare.com/learning/ssl/what-is-https/