https یک پروتکل امنیتی برای رمزنگاری کردن دادههایی که بین مرورگر کاربر و سرور وبسایت منتقل میشود، بوده و نماد https، با علامت یک قفل قابلمشاهده است. نماد https را میتوانید از قسمت نوار جستجوی مرورگر، در ابتدای نام دامنه مشاهده نمایید که با کلیک بر روی آن اطلاعات مفیدی قابل نمایش است. با خواندن این مقاله میتوانید تحقیق جامعی در https را ارائه دهید.
معنی https در واقع به این شرح است: یک پروتکل جهت رمزگذاری دادهها و اطلاعات منتقل شده بین کاربر و سرور وبسایت است. نام این پروتکل امنیتی Transport Layer Security (TLS) است که همچنان در دنیا با واژه SSL یا Secure Sockets Layer از آن یاد میشود.
https برای ایمنسازی اطلاعات و رمزگذاری آنها بین مرورگر کاربر و سرور وبسایت، از دو کلید ( key ) متفاوت استفاده میکند. این کلیدها با نام کلید عمومی یا Public Key و کلید خصوصی یا Private Key شناخته میشوند. روند کلی کار این کلیدها نیز رمزنگاری کردن با پروتکلهای امنیتی منحصربهفرد است که یکی وظیفه رمزنگاری و دیگری وظیفه رمزگشایی و فهم اطلاعات ارسالی را دارد.
کلید خصوصی یا Private Key
کلید خصوصی توسط سرور وبسایتی که از آن بازدید میکنید، تولید میشود و شخصی قادر به مشاهده آن بهصورت عمومی نمیباشد. وظیفه کلید خصوصی در https، رمزگشاییکردن یا Decrypt اطلاعاتی که توسط کلید عمومی ارسال میشود، است.
کلید عمومی یا Public Key
کلید عمومی برای همهٔ کاربرانی که قصد مشاهده یک وبسایت را دارند، قابلمشاهده است. وظیفه این کلید رمزگذاری و encryption دادههایی که قصد ارسال به سمت سرور را دارند، است.
نحوه عملکرد پروتکل https در وبسایتها چگونه است؟
حالا بیایید بهصورت تخصصیتر عملکرد، معنی و مفهوم https را بررسی کنیم. در این شیوهٔ رمزگذاری ( Encryption ) از دو نوع کلید عمومی و کلید خصوصی که در بالا به آن اشاره کردیم استفاده میشود. شیوهٔ کار نیز بدین صورت است :
۱- مرورگر شما، یک Request یا درخواست را برایِ ایجاد ارتباط ایمن به سرور وبسایت موردنظر ارسال میکند و سرور در پاسخ، اطلاعات مربوط به Verification این گواهی را به همراه یک کلید عمومی برای مرورگر شما ارسال خواهد کرد. احتمالاً از نامِ این کلید به این نتیجه رسیدهاید که محتویات آن توسط افرادی غیر از Client و Server نیز قابلمشاهده است.
۲- در گامِ بعد، مرورگر اطلاعات برگردانده شده از سمت سرور را با پایگاهدادهٔ خود بررسی کرده و اعتبار آن را میسنجد. درصورتیکه این اعتبار از سمت مرورگر تأیید شود، یک کُد پاسخ برای سرور ارسال میشود و در نهایت SSL Encrypt Session شروع خواهد شد.
۳- تا این قسمت هنوز کلیدهای خصوصی وارد عمل نشدهاند. اما در این مرحله، مرورگر اطلاعاتی را که از سمت کاربر وبسایت دریافت میکند، با استفاده از کلید عمومی در اختیار بهصورت انکریپت شده درآورده و همهٔ آنها را برای سرور ارسال میکند. حالا زمانِ آن رسیده است که عملیات رمزگشاییِ اطلاعات دریافت شده از سمتِ مرورگر، توسط سرور انجام شود. این کار با استفاده از هر دو کلید عمومی و خصوصی امکانپذیر است. باتوجهبه اینکه کلید خصوصی فقط در اختیار سرور است، هیچ فردِ سومی نمیتواند حتی با فرضِ اینکه توانسته باشد به اطلاعات کُدگذاری شده دسترسی پیدا کند، این اطلاعات را بخواند.
مزایای فعالسازی https بر روی وبسایت
برای بررسی مزایا و کاربردهای https در سایتها باید ابتدا به روند ارسال و دریافت دادهها آشنا باشیم. شما زمانی که یک داده به سمت سرور سایت مقصد ارسال میکنید، دادههای شما در قالب واحدهایی به نام packet تبدیل میشود. حال زمانی که وبسایت تنها دارای پروتکل http باشد، این اطلاعات میتواند با استفاده از نرمافزارهای رایگان توسط افراد هکر یا مخرب، بهراحتی مشاهده شود. اما راهحل چیست و به چه نکاتی باید توجه کرد؟ شما اگر در نقش یک کاربرد هستید، تنها کافیست اعتبار https وبسایت مقصد خود را مشاهده نمایید که این کار با کلیک بر روی علامت قفل در نوار آدرس مرورگر، امکان پذیر است. اما اگر در جایگاه مدیر وبسایت هستید، برای فعال کردن https بر روی وبسایت، باید گواهی ssl را تهیه نمایید.
استفاده از پروتکل ایمن میتواند مزایای بیشتری نیز برای شما به همراه داشته باشد. بهعنوان نمونه میتوان به موارد زیر اشاره کرد:
بهبود نتایج SEO : باید بپذیریم که همهٔ ما وب سایتمان را برای نتایج جستجوی گوگل بهینه میکنیم. کمتر کسب و کاری را میتوان یافت که سعی کند وبسایت خود را برای موتورهای جستجوی دیگر، مثلاً MSN بهینه کند. بنابراین اگر چه ممکن است استفاده از این پروتکل تأثیر لحظهای در رتبهبندی وبسایت شما در نتایج گوگل نداشته باشد، اما بهطور قطع عدم استفاده از آن میتواند به جایگاه وبسایت شما لطمه وارد کند.
در UX یا تجربه کاربری بهتر: حالا دیگر کاربران وب سایتهایی را که از پروتکل ایمن استفاده میکنند شناسایی میکنند. این کار به لطفِ مرورگرها، با نشانِ قفل سبز رنگ در ابتدای URL به کاربر اعلام میشود. بدیهی است که کاربران هنگامِ استفاده از وب سایتهایی که از این پروتکل استفاده میکنند، تجربهی کاربری بهتری را بهدست خواهند آورد.
با استفاده از درگاه بانکی: بر اساسِ قداعد سیستم بانکی، برای دریافت درگاه بانگ لزوماً باید در پروتکل امن در وبسایت خود استفاده کنید. بنابراین اگر قصد دارید تا یک وبسایت فروشگاهی راه راهاندازی کنید، نیاز دارید تا این پروتکل را بر روی وبسایت خود قرار دهید
تفاوت http با https چیست ؟
برای اینکه به تفاوت این دو پروتکل بپردازیم، ابتدا لازم است تا کمی بیشتر در موردِ نکات فنی آنها اطلاعات کسب کنیم.
ابتدا از HTTP شروع میکنیم. هنگامی که یک کاربر یا بازدید کننده از پروتکل HTTP استفاده میکند و سعی میکند تا از یک وبسایت استفاده کند، هیچگونه رمزگذاری در اطلاعات تبادل شده بینِ Client و Server انجام نخواهد شد و این همان باگِ امنیتی مهم در این پروتکل است.
برای درکِ بیشتر این موضوع، فرض کنید شما در حال انتقال یک مبلغ از طریق اینترنت به شخصی دیگر هستید. بدیهی است که برای این کار باید از تمامی اطلاعات حساس بانکی خود استفاده کنید تا این تراکنش انجام شود. حالا فرض کنید که این دادهها بدون هیچ رمزنگاری منتشر شود و حالا این احتمال وجود دارد که سودجویان از این فرصت استفاده و به اطلاعات بانکی شما دسترسی پیدا کنند.
اما بر عکس، زمانی که از پروتکل HTTPS استفاده میکنید، تمامی اطلاعات بین سرور و کلاینت بهصورت رمزگذاری شده منتقل میشود. استفاده از این پروتکل به شما این اطمینان خاطر را خواهد داد که هیچ فردِ سومی نتواند به این اطلاعات دسترسی پیدا کند.
اما معمولاً یک اتفاق باعث میشود که یک فناوری جدید ابداع شود. همین قاعده نیز برای پروتکل HTTPS نیز وجود دارد. در واقع 3 اتفاق عمده در صنعت اینترنت باعث شد تا دانشمندان IT تصمیم بگیرند که این حفره امنیتی را حل کنند.
نمونهای از سوءاستفادهها از اطلاعات کاربران وبسایت بر روی بستر http
• شرکت AT&T بهعنوان بزرگترین شرکت مخابراتی ایالات متحدهٔ آمریکا یک همکاری مشترک و مخفیانه را با آژانس امنیت ملی آمریکا شروع کرد و توانست به اطلاعات ترافیک اینترنت کاربران دست یابد. این کار توسط یک مجموعهٔ مخابراتی عریضوطویل با نامِ «اتاق ۶۴۱» انجام میشد که البته در سال ۲۰۰۶ نیز فاش شد.
• شرکت China Telecom نیز بهعنوان یکی از بزرگترین شرکتهای مخابراتی چینی، با استفاده از حفرههای امنیتی پروتکل HTTP توانست بدافزارهایی را بر روی سیستم کاربران اینترنت بارگذاری نماید.
• شرکت Airtel نیز بهعنوان بزرگترین شرکت مخابراتی هندوستان توانست تا از طریق باگهای این پروتکل، اطلاعات کاربران اینترنت را جمعآوری و از آنها سوءاستفاده نماید.
نقش گواهینامه SSL
اگر هنوز بر روی وبسایت خود پروتکل ایمن را اضافه نکردهاید، احتمالاً حالا دیگر تصمیم خود را برای اضافهکردن آن بر روی وبسایت گرفتهاید. برای این منظور لازم است تا یک گواهی معتبر SSL بر روی سایت خود اضافه کنید.
نام گواهی SSL مخفف عبارت Secure Sockets Layer است و این گواهی تأیید میکند که وبسایت شما از استانداردهایی که برای انتقال امن اطلاعات در اینترنت مورداستفاده قرار میگیرد، استفاده میکند. ابداعکنندهٔ این نوع از رمزنگاری، شرکت Netscape است. این شرکت استفاده از این پروتکل را در سال 1996 و صرفاً در مرورگر همین شرکت مورداستفاده قرارداد. اما امروزه تمامی مرورگرها استفاده از آن را در دستور کار خود قرار دادهاند.
پس اگر قصد دارید تا https را برای سایت خود فعال کنید، راهحل استفاده از گواهینامههای ssl رایگان یا پولی است. برای تهیه آنها هم میتوانید از وبسایت Cloudflare یا سایتهای هاستینگ ایرانی استفاده نمایید.
چرا HTTPS در حین انتقال داده به رمزگذاری متقارن تغییر می کند؟ دو دلیل اصلی وجود دارد:
1. امنیت: رمزگذاری نامتقارن تنها یک راه دارد. این بدان معنی است که اگر سرور سعی کند داده های رمزگذاری شده را به مشتری ارسال کند، هر کسی می تواند داده ها را با استفاده از کلید عمومی رمزگشایی کند.
2. منابع سرور: رمزگذاری نامتقارن مقدار زیادی سربار محاسباتی اضافه می کند. برای انتقال داده در سشن های طولانی مناسب نیست
نتیجه گیری
یکی از مهمترین فاکتورها در دنیای اینترنت، امنیت اطلاعات است و یکی از بدیهیترین تصمیمات برای یک وبسایت بهمنظور حفظ امنیت اطلاعات کاربران، استفاده از پروتکل HTTPS است. در این مقاله اطلاعات بنیادین این پروتکل، کاربردِ آن، گواهی SSL و ارتباطی که با این پروتکل دارد، مزایایی که با استفاده از پروتکل HTTPS بهدست میآورید و بسیاری نکات دیگر به شما ارائه گردیده است. بهعنوان یک توصیهی مؤکد، پیشنهاد میکنیم در صورتیکه هنوز گواهی SSL وبسایت خود را فعال نکردهاید، همین حالا این کار را انجام دهید