اگر شما اهل گشت و گذار در اینترنت و وبگردی هستید، کمِ کم یکبار در نوار آدرس مرورگر خود با عبارت سبز رنگ http برخورد کردهاید. همینطور اگر در خبرها شنیده باشید، این روزها به دلیل خرید اینترنتی، همیشه توصیه میشود که در نوار آدرس بالای صفحه پرداخت حتماً پروتکل https موجود باشد تا امنیت اطلاعات شما حفظ شود. در این موقعیت سوالی که برای یک کاربر عادی پیش میآید این است که اصلاً این https چیست؟ چه کاری انجام میدهد و چه ربطی به امنیت سایبری دارد؟ در این مقاله تلاش کردیم https و ssl را به شکلی خلاصه و ساده برایتان توضیح دهیم.
اطلاعات و دادهها در فضای آنلاین
در مبحث https و ssl، به طور کلی دادهها به دو دسته تقسیم میشوند:
دادههای غیر امنیتی که به طور عادی در فضای آنلاین دیده میشوند و انواع محتوای اینترنتی را شامل میشود.
دادههای حساس مثل مشخصات افراد، آدرس ایمیل، شماره تلفن، اطلاعات شخصی، گذرواژهها، رمزهای حسابهای بانکی و… که افشا شدن آنها میتواند آسیبهای زیادی در پی داشته باشد.
فرایند انتقال دادهها از سرور به مرورگر اینترنتی کاربر و بالعکس چگونه است؟
هر وبسایت یک یا چند سرور دارد که از طریق آن محتوا و خدمات مورد نیاز را در اختیار کاربر میگذارد. متصل بودن بین کاربر و سرور به شرایط مختلفی از جمله انواع محتوا، وب سایت، فاصله و… بسته به شرایط میتواند ساده و کوتاه یا طولانی و دارای روترهای زیاد باشد.
در هر بار دیدن یا دانلود محتوا، ورود اطلاعات، کلیک و… دادهها باید از آن مسیر عبور کنند و در این مسیر راههای زیادی برای دسترسی به اطلاعات برای دیگر کاربران (از جمله هکرها) وجود دارد.
پروتکل انتقال ابرمتن
پروتکل انتقال ابرمتن یا همان http، راه انتقال این دادهها است.
محتوا و دادههایی که به صورت عمومی در دسترس هستند میتوانند به آسانی از این مسیر بگذرند و حساسیت خاصی از نظر امنیتی روی آنها وجود ندارد. با این حال تکلیف اطلاعات شخصی ما چه میشود و از چه طریقی میتوانیم اطمینان داشته باشیم اطلاعات محرمانه صاحبهای بانکی ما در این مسیر دزدیده نمیشوند؟
پروتکل امن انتقال ابر متن در مبحث https و ssl
- پروتکل امن انتقال ابرمتن که به آن https میگویند.
- نسخه امن پروتکل http است که برای رفع این مشکل تشکیل شده است.
- حرف s آخرِ عبارت این معنا را میدهد که همه ارتباطات بین مرورگر شما و وب سایت کدگذاری شدند.
- پروتکل https معمولاً برای حفاظت از انتقال دادههای حساس مانند رمزهای حسابهای آنلاین یا تراکنشهای بانکی به کار میرود.
مرورگرهایی مانند سافاری، فایرفاکس، کروم و… معمولاً برای نمایش ارتباط امن https از یک آیکون که شبیه به قفل است استفاده میکنند.
پروتکل https چگونه کار میکند؟
معمولاً http، دو پروتکل امن ssl و tls را برای رمزگذاری ارتباط مورد استفاده قرار میدهد.
هر دوی این پروتکلها از چیزی که در این زمان به نام سیستم ساختار نامتقارن کلید عمومی شناخته میشود، استفاده میکنند.
یک سیستم نامتقارن برای رمزگذاری ارتباطات دو کلید عمومی و خصوصی را مورد استفاده قرار میدهد. هر چیزی که با استفاده از کلید عمومی رمزگذاری شود میتواند با کلید خصوصی باز شود و برعکس.
همانگونه که از این نامها متوجه میشوید، کلید خصوصی فقط باید در اختیار صاحب خود باشد.
مثال
زمانی که وب سایتی در کار است، کلید خصوصی فقط در اختیار سرور وب سایت قرار دارد. از طرفی، کلید عمومی در اختیار همگان است و برای بازکردن اطلاعاتی که با کلید خصوصی رمزگذاری شده است به کار میرود.
زمانی که مرورگر شما از یک وب درخواست ارتباط https میکند، وب سایت گواهینامه ssl خود را برای مرورگر شما میفرستد.
در این مجوز، کلید عمومی مورد نیاز برای آغاز ارتباط امن قرار دارد. در این زمان است که ارتباط ss.l به طور کاملاً سری بین مرورگر شما و سرور برقرار میشود.
ارتباط همان آیکون قفل در کنار نمایش پروتکل https در نوار آدرس مرورگر میباشد که شما را مطمئن میکند اتصال بین شما و سرور کاملاً امن و خصوصی است.
چرا به گواهینامه ssl نیاز داریم؟
همه ارتباطات http از نوع متنی میباشند و هر هکری که توانایی وارد شدن به وب سایت شما را داشته باشد، میتواند آنها را بخواند. لازم به توضیح نیست که این خطر در رابطه با اطلاعات محرمانه و شخصی، تا چه حدی میتواند زیاد باشد.
ولی در مورد ارتباط https این مسئله اهمیت زیادی ندارد چون اگر حتی هکری موفق شود وارد این مسیر شود و دسترسی به دادهها پیدا کند، هیچ چیزی به جز رشتهای از کاراکترهای درهم و برهم و بی معنی نصیبش نمیشود. زیرا ابزار مورد نیاز برای رمزگشایی از آنها را ندارد.
فرق بین tls، ssl و https در مبحث https و ssl چیست؟
ssl یا همان لایه امن سوکت ها، پروتکلی رمزگذاری شده است که ارتباط امنی در اینترنت ایجاد میکند. در ابتدا ssl توسط Netscape توسعه داده شد و در سال ۱۹۹۵ تحت عنوان ssl 2.0 معرفی شد. نسخه شماره ۳ آن یک سال بعد عرضه شد. اکنون مرورگرها از نسخه شماره 2.0 پشتیبانی نمیکند. tls یا همان امنیت لایه انتقال، در حقیقت نسل بعدی ssl میباشد که نسخهٔ 1.0 آن در سال ۱۹۹۹ عرضه شد.
نسخههای بعدی tls، یعنی 1.0 و 2.0 در سال ۲۰۰۶ و ۲۰۰۸ عرضه شدند. مرورگرهای کنونی به صورت پیش فرض از tls 1.0 پشتیبانی میکنند و امکان دارد در حالتهای پیشرفتهتر از نسخههای 1.0 و2.0 را هم قبول کنند. پروتکل https در حقیقت نوعی از پیادهسازی ssl یا tls در فضای اینترنت است. به زبان راحتتر ssl و tls همان فرمولهای رمزگذاری شده دادهها هستند و https اجرای این فرمولهاست در هنگام رد و بدل شدن دادههای محرمانه.
به غیر از http و ssl برای رمزگذاری شیوههای دیگر مثل FTP، SMTP، NNTP و XMPP هم استفاده میشود که در این قسمت به این موارد نمیپردازیم. از آنجایی که tls نسبت به ssl جدیدتر است، به نظر میآید که باید در ارتباطات امن از tls استفاده کرد. با این حال استفاده از ssl مانند قبل در فضای اینترنت خیلی معمولتر است و بیشتر وب سایتها به دلیل سازگاری بهتر آن با مرورگرها از آن استفاده میکنند.
در مبحث https و ssl، فواید استفاده از https در فضای آنلاین چیست؟
اگر بخواهیم فواید استفاده از https را نام ببریم، به صورت خلاصه میتوانیم به موارد زیر اشاره کنیم:
- اطلاعات مشتریان و کاربران، مثل شمارهها و رمزهای بانکی کاملاً امن باقی میماند و قابل سرقت نمیشود.
- بازدیدکنندگان وب سایت شما میتوانند از کسب و کار و دامنه اینترنتی و اصالت هویت شما آگاه شوند.
- مشتریان به وب سایتهای https اطمینان بیشتری دارند و با آرامش خاطر بیشتری خرید میکنند.
البته باید بگویم که استفاده از پروتکل https میتواند تا حدی روی وضعیت سئو وبسایت شما تأثیر بگذارد.
حرف آخر…
سالهای زیادی است که در کشور ما استفاده از شبکههای اجتماعی و درگاههای پرداخت اینترنتی خیلی زیاد شده است. با وجود اینکه امنیت پروتکل https ضمانت شده است، سارقان و هکرهای اطلاعات بیکارند. برای اینکه در همچین فرایندهایی امنیت بیشتری داشته باشید، به شما توصیه میکنیم به نکات زیر توجه کنید:
نکته اول
در قدم اول رمزها و گذرواژههای خود را با دقت انتخاب کنید و هیچ وقت آن را در اختیار کسی نگذارید. گذرواژههایی که طولانی و شامل اعداد و حروف بزرگ و کوچک و … باشند بهترین انتخاب هستند.
نکته دوم
نکته دومی که باید به یاد داشته باشید این است که در زمان انجام یک تراکنش بانکی اضافه بر آیکون قفل و عبارت https، به آدرس وب سایت که در بالای صفحه قرار دارد دقت کنید. ممکن است سارقان اطلاعات شما را به وبسایت های خودشان ببرند و اطلاعات شما را به سرورهای خودشان هدایت کنند.
مثال
در زمان کار با یک درگاه پرداخت اینترنتی، باید دقت کنید که آدرس سایت به صورت bpm.shaparak.ir نوشته شده باشد نه به شکل bpm.shaaparak.ir. در چند وقت گذشته وب سایت گوگل قلابی که حرف G اول آن با یک حرف یونانی جابجا شده بود بسیار خبرساز شد.
نکته سوم در مبحث https و ssl
مورد سوم این است که در زمان تراکنشهای آنلاین، برای ورود رمزهای خودتان از صفحه کلید مجازی داخل صفحه استفاده کنید. چون این صفحه کلیدها همواره اعداد را به صورت تصادفی جابجا میکنند تا حدس زدن رمز برای سارقان ممکن نباشد. در صورت درخواست مرورگر برای ذخیره کردن این گونه رمزها، چه در موقع تراکنشهای بانکی و چه در مورد پروفایلهای اجتماعی خودتان، به آن توجهی نکنید. مخصوصاً وقتی که با دستگاهی به غیر از کامپیوتر شخصی خود در حال انجام این امور هستید.
در آخر باید به آن دسته از وبمستر هایی که درباره استفاده از پروتکل https تردید دارند یا استفاده از آن را عقب انداختهاند، بگوییم که حتماً پروتکل https را جایگزین پروتکل http کنند. این کار امنیت کلیتان رابیشتر میکند و اعتماد مخاطبانتان را هم افزایش میدهد. مطمئناً کاربری که در زمان ورود به یک وب سایت با پروتکل https مواجه میشود، با خیال راحتتری اطلاعات خود را در اختیار آن به سایت قرار میدهند.
ممنون که تا انتهای این مقاله همراه وبسایت استاد وب بودید. امیدواریم مطالب و نکات گفته شده برای شما مفید واقع شده باشد. شما می توانید در صورت تمایل برای مطالعه مقالات بیشتر به لینک مقالات زیر مراجعه کنید.