HTTPS و SSL

هر آنچه باید درباره HTTPS و SSL بدانید!

علی بلوری


اگر اهل وب‌گردی و گشت‌و‌گذار در اینترنت باشید، دست کم یک بار در نوار آدرس مرورگر خود با عبارت سبز رنگ https برخورد کرده‌اید. همچنین، اگر در خبرها خوانده باشید، این روزها جهت خرید اینترنتی همواره توصیه می‌شود که در در نوار آدرس بالای صفحه پرداخت، حتماً پروتکل https وجود داشته باشد تا امنیت اطلاعات شما و دیگران حفظ شود (هرچند که این تنها یک طرف ماجراست که البته در ادامه به آن خواهیم پرداخت).

در این شرایط سوالی که برای کاربر عادی مطرح می‌شود این است که اصلاً این https که از آن صحبت می‌شود، چیست؟ چه کاری انجام می‌دهد و چه ارتباطی با امنیت سایبری دارد؟ خب، ما دقیقاً در این مقاله تلاش کرده‌ایم این موارد را به شکلی خلاصه و ساده برای شما عزیزان توضیح دهیم. پس اگر برای شما هم چنین سوالاتی به‌وجود آمده است، این مقاله را از دست ندهید.

اطلاعات و داده‌ها در فضای آنلاین

به صورت کلی داده‌ها دو نوع هستند:

  • داده‌های غیر امنیتی که به صورت عادی در فضای آنلاین مشاهده می‌شوند و شامل انواع محتوای اینترنتی هستند.
  • داده‌های حساس مانند مشخصات افراد، شماره تلفن، آدرس ایمیل، اطلاعات شخصی، رمزهای حساب‌های بانکی، گذرواژه‌ها و ... که لو رفتن آنها می‌تواند آسیب‌های جبران ناپذیری در پی داشته باشد.

بیایید در ابتدا ببینیم فرآیند انتقال داده‌ها از سرور به مرورگر اینترنتی کاربر و بالعکس چگونه است؟ هر وب‌سایت دارای یک یا تعدادی سرور است که از آن طریق، محتوا و خدمات مورد نیاز را در اختیار کاربر قرار می‌دهد. اتصال بین کاربر و سرور، بسته به شرایط مختلف از جمله فاصله، نوع محتوا، بزرگ یا کوچک بودن وب‌سایت و ... می‌تواند ساده و کوتاه یا طولانی و دارای روترهای (Router) متعدد باشد. در هر بار مشاهده یا دانلود محتوا، کلیک، ورود اطلاعات و ...، داده‌ها باید از این مسیر عبور کنند و در این مسیر راه‌های فراوانی برای دسترسی به اطلاعات برای دیگر کاربران (از جمله هکرها) وجود دارد.

پروتکل انتقال اَبَر متن (Hyper Text Transfer Protocol) یا همان http، راهِ انتقال این داده‌ها است. داده‌ها و محتوای عادی که به صورت عمومی در دسترس هستند می‌توانند به راحتی از این مسیر عبور کنند و حساسیت خاصی از لحاظ امنیتی روی آنها وجود ندارد. با این حال، تکلیف اطلاعات شخصی ما چه می‌شود و از کجا می‌توانیم اطمینان داشته باشیم اطلاعات محرمانه حساب‌های بانکی ما در این مسیر به سرقت نمی‌رود؟

پروتکل امن انتقال اَبَر متن (Hyper Text Transfer Protocol Secure) که به اصطلاح https خوانده می‌شود، نسخه امن‌ پروتکل http است که برای رفع این مشکل ایجاد شده است. حرف "S" آخرِ این عبارت به این معنی است که تمام ارتباطات بین مرورگر شما و وب‌سایت، کدگذاری شده‌اند. پروتکل https معمولاً برای محافظت از انتقال داده‌های حساس مثل رمزهای حساب‌های آنلاین یا تراکنش‌های بانکی به کار می‌رود.

مرورگرهایی مثل کروم، فایرفاکس، سافاری و غیره معمولاً برای نمایشِ ارتباط امن https از یک آیکون شبیه به قفل استفاده می‌کنند.

نمونه‌ای از پروتکل HTTPS در سایت

پروتکل https چگونه کار می‌کند؟

https معمولاً از یکی از دو پروتکل امن SSL و TLS برای رمزگذاری ارتباطات استفاده می‌کند. هر دو این پروتکل‌ها، از چیزی که امروزه به نام سیستم ساختار نامتقارن کلیدِ عمومی (PKI) شناخته می‌شود، استفاده می‌کنند. یک سیستم "نامتقارن" برای رمزگذاری ارتباطات از دو کلید "عمومی" و "خصوصی" استفاده می‌کند. هر چیزی که با کلید عمومی رمزگذاری شده باشد، می‌تواند با کلید خصوصی باز شود و البته بالعکس!

همانطور که از این نام‌ها متوجه می‌شویم، کلید خصوصی باید تنها در اختیار صاحبِ خود باشد. برای مثال وقتی که وب‌سایتی در کار است، کلید خصوصی تنها در اختیار سرور وب‌سایت قرار دارد. از طرف دیگر، کلید عمومی در اختیار همه است و برای باز کردن اطلاعاتی که با کلید خصوصی رمزگذاری شده به کار می‌رود.

وقتی که مرورگر شما از یک صفحۀ وب درخواست ارتباط https می‌کند، وب‌سایت گواهینامه SSL خود را به مرورگر شما می‌فرستد. در این گواهینامه، کلید عمومی مورد نیاز برای شروع ارتباط امن قرار دارد. در این هنگام است که ارتباط SSL به صورت کاملاً سری و کدگذاری شده بین مرورگر شما و سرور برقرار می‌شود. نشانه این ارتباط، همان آیکونِ قفل در کنار نمایش پروتکل https در نوار آدرس مرورگر است که به شما اطمینان می‌دهد اتصال بین شما و سرور کاملاً امن و خصوصی است.

تفاوت http با https

تفاوت http با https

چرا به گواهینامه SSL نیاز داریم؟

تمامی ارتباطات http از نوع متنی هستند و هر هکری که بتواند وارد اتصال شما و وب‌سایت شود، می‌تواند آن‌ها را بخواند. نیاز به توضیح نیست که این خطر در مورد اطلاعات محرمانه و شخصی تا چه حد می‌تواند زیاد باشد.

اما در مورد ارتباط https، این امر اهمیت چندانی ندارد زیرا اگر حتی هکری موفق شود وارد این مسیر شود و به داده‌ها دسترسی پیدا کند، چیزی به جز رشته‌ای از کاراکترهای بی‌نظم و بی‌معنی نصیبش نخواهد شد چون ابزار مورد نیاز برای رمزگشایی از آنها را در اختیار ندارد.


به دنبال برنامه ای جامع برای معرفی دیجیتال خود هستید؟

پکیج‌های ما به شما کمک می‌کنند یک حضور موثر و با ثبات در اینترنت ایران داشته باشید.
برای مشاوره رایگان، همین الان با ما تماس بگیرید.
اطلاعات بیشتر...021-63404داخلی 3

تفاوت بین HTTPS، SSL و TLS چیست؟

لایه‌ی امن سوکت‌ها (Secure Sockets Layer) یا همان SSL، پروتکلی رمزگذاری شده است که ارتباط امن در اینترنت را امکان پذیر می‌سازد. SSL در ابتدا توسط Netscape توسعه داده شد و در سال 1995 تحت عنوان SSL 2.0 معرفی شد. یک سال بعد، نسخه شماره 3.0 آن عرضه شد. مرورگرها هم اکنون از SSL 2.0 پشتیبانی نمی‌کنند.

امنیت لایه انتقال (Transport Layer Security) که به نام TLS شناخته می‌شود، در واقع نسل بعدی SSL است که نسخه 1.0 آن در سال 1999 عرضه شد. نسخه‌های بعدی TLS، یعنی 1.1 و 1.2 در 2006 و 2008 عرضه شدند. مرورگرهای کنونی به صورت پیش‌فرض از TLS 1.0 پشتیبانی می‌کنند و ممکن است در حالت‌های پیشرفته‌تر نسخه‌های 1.1 و 1.2 را نیز قبول کنند.

پروتکل https در واقع نوعی از پیاده‌سازی SSL یا TLS در فضای اینترنت است. به زبان ساده‌تر، SSL و TLS فرمول‌های رمزگذاری داده‌ها هستند و https اجرای این فرمول‌ها در هنگام رد و بدل شدن داده‌های محرمانه.

با تکنیک پست مهمان معکوس آشنا شوید!حتما بخوانید: با تکنیک پست مهمان معکوس آشنا شوید!

علاوه بر https، از SSL برای رمزگذاری پروتکل‌های دیگری از جمله FTP، SMTP، NNTP و XMPP هم استفاده می‌شود که در اینجا به این موارد نخواهیم پرداخت.

خوب حالا باید به سراغ کدامیک برویم؟ از آنجا که TLS نسبت به SSL جدیدتر و به روزتر است، منطقی به نظر می‌آید که باید در ارتباطات امن از TLS استفاده کرد. با این حال، استفاده از SSL همچنان در فضای اینترنت بسیار معمول‌تر بوده و بیشتر وب‌سایت‌ها به خاطر سازگاری بهتر آن با مرورگرها از آن بهره می‌گیرند.

فواید استفاده از https در فضای آنلاین چیست؟

اگر بخواهیم فواید استفاده از پروتکل https را برایتان نام ببریم، به طور خلاصه می‌توانیم به موارد زیر اشاره کنیم:

  1. اطلاعات کاربران و مشتریان، از جمله شماره‌ها و رمزهای کارت‌های بانکی، امن مانده و قابل سرقت نخواهند بود.
  2. بازدید‌کنندگان وب‌سایت شما می‌توانند از اصالت هویت، کسب و کار و دامنه اینترنتی شما مطلع شوند.
  3. مشتریان به وب‌سایت‌هایی که از https استفاده می‌کنند، اطمینان بیشتری داشته و با آرامش خیال بیشتری خرید می‌کنند.

البته گفتنی است که استفاده از پروتکل https می‌تواند تا حدودی هم بر وضعیت سئوی وب‌سایت شما اثر بگذارد. سعی می‌کنیم در یک مقاله جداگانه تاثیر https بر سئوی سایت را بررسی کنیم.

حرف آخر ...

سال‌هاست در کشور ما استفاده از شبکه‌های اجتماعی و درگاه‌های پرداخت اینترنتی (که هر دو نیاز به انتقال امنِ اطلاعات محرمانه دارند) بسیار معمول شده است. با وجود آنکه امنیت پروتکل https تضمین شده است، هکرها و سارقان اطلاعات بیکار ننشسته‌اند. برای آنکه در چنین فرآیندهایی امنیت بیشتری داشته باشید، توصیه می‌کنیم به نکات زیر هم توجه کنید:

اول از همه، گذرواژه‌ها و رمزهای خود را با دقت انتخاب کنید و آنها را هرگز در اختیار کسی قرار ندهید. بهترین گذرواژه‌ها، آنهایی هستند که طولانی بوده و شامل اعداد، حروف بزرگ و کوچک و کاراکترهای دیگر مثل @ و $ باشند.

نکته دوم که باید به خاطر بسپارید این است که در هنگام انجام یک تراکنش بانکی، علاوه بر آیکون قفل و عبارت https، به آدرس وب‌سایت در بالای صفحه هم دقت کنید. سارقان اطلاعات ممکن است شما را به وب‌سایت‌های خود (که اتفاقاً آنها نیز از پروتکل https استفاده می‌کنند) هدایت کرده و اطلاعات شما را به سرورهای خود هدایت کنند.

برای مثال، در هنگام کار با یک درگاه پرداخت اینترنتی، دقت کنید که آدرس سایت به صورتbpm.shaparak.ir نوشته شده باشد، نه به شکل bpm.shaaparak.ir! چندی پیش نیز وب‌سایت گوگل قلابی که حرف G اول آن با یک حرف یونانی جابه‌جا شده بود، بسیار خبر ساز شد.

گوگل قلابی!

گوگل قلابی!

مورد سوم این است که در هنگام تراکنش‌های آنلاین، برای ورود رمزهای خود از صفحه کلید مجازی داخل صفحه استفاده کنید زیرا این صفحه کلیدها همواره اعداد را به صورت تصادفی جابه‌جا می‌کنند تا حدس زدن رمز برای سارقان غیر ممکن شود.

پرداخت آنلاین و اهمیت https

در صورت درخواست مرورگر بر ذخیره کردن این گونه رمزها، چه در زمان تراکنش‌های بانکی و چه در مورد پروفایل‌های اجتماعی خود، به آن توجهی نکنید، مخصوصا در زمانی که با دستگاهی غیر از کامپیوتر شخصی خود در حال انجام این امور هستید.

در نهایت باید به آن دسته از وب‌مسترهایی که درباره استفاده از پروتکل https مردد هستند یا استفاده از آن را به تعویق می‌اندازند باید بگوییم که حتماً پروتکل https را جایگزین پروتکل http کنند. این کار نه تنها امنیت کلی‌تان را بیشتر می‌کند، بلکه اعتماد مخاطبان‌تان را نیز افزایش می‌دهد. مطمئناً کاربری که در هنگام ورود به یک وب‌سایت با پروتکل https روبرو شود، با خیال آسوده‌تری اطلاعات خود را در اختیار آن وب‌سایت قرار می‌دهد.