حتما دیده اید که وقتی آدرس سایتی را وارد می کنید، معمولا یک Http به صورت خودکار به ابتدای آن آدرس اضافه می شود. اما بعضی وقتها هم ممکن است متوجه شوید که به جای Http، عبارت Https برای شما نشان داده می شود. همین S ناقابلی که به انتهای Http اضافه می شود، امنیت اطلاعات تبادل شده شما را تا حد زیادی بالا می برد. اما این S چیست و چطور به ما کمک می کند؟ با ما همراه باشید تا به سادگی جواب این سوالات را دریابید. در ادامه مطلب همه چیز درباره پروتکل امن https ، با چلسمه همراه باشید.
اطلاعاتی که در اینترنت رد وبدل می شوند از یک پروتکل استاندارد به نام HTTP یا Hyper Text Transfer Protocol استفاده می کنند. این پروتکل یک استاندارد مورد توافق در وب جهانی است که برای دریافت و انتقال اطلاعات مورد استفاده قرار می گیرد. مثلا وقتی شما با مرورگر خود (مثل اینترنت اکسپلورر، فایرفاکس یا کروم) آدرس سایتی را وارد می کنید، مرورگر شما درخواستی را به سایت مورد نظر می فرستد. سایت مقصد جوابی را با HTTP به کامپیوتر شما بر می گرداند که شامل متنها (و کدهای متنی) است. مرورگر این متنها و کدها را با استفاده از همان HTTP تفسیر می کند و می تواند مطالب آن صفحه اینترنتی را دریافت و به صورت صحیح به شما نشان بدهد.
پروتکل انتقال فرامتن یا HTTP پروتکلی برای تبادل داده در شبکه تارگستر جهانی است. به بیان دیگر، HTTP : Hypertext Transfer Protocol پروتکلی برای تبدیل و انتقال فرامتن است. فرامتن، متنی است که بین مبدأ و مقصد از طریق ابرلینکها جابهجا میشود. پروتکل انتقال فرامتن، یک پروتکل کاربردی برای سیستمهای اطلاعاتی ابررسانهای، اشتراکی و توزیعی است. HTTP پایه تبادل داده در شبکه تارگستر جهانی است.
استاندارد HTTP حاصل همکاری بین کنسرسیوم شبکه تارگستر جهانی (W3C) و کارگروه مهندسی اینترنت (IETF) بوده است و اولین نسخه، HTTP 0.9 در سال ۱۹۹۲ تولید شد. در ژوئن ۱۹۹۹ نسخهای از HTTP ارائه شد که امروزه از آن استفاده میشود. این پروتکل به صورت آسنکرون بین سرور و کاربر کار میکند. به این معنی که زمان دریافت درخواست و پاسخ به آن الزاماً یکسان نیستند. در این پروتکل، کامپیوتر کاربر فقط از سرور درخواست و داده مورد نظر را دریافت میکند اما هیچ دادهای به سوی سرور نمیفرستد. در حالی که هر درخواست ارسالی به سرور از پاسخ درخواستهای قبلی بیخبر است. سیستمها با استفاده از پروتکل انتقال فرامتن قادرند که بدون درنظر گرفتن نوع دیتا آن را انتقال دهند.
HTTP علاوهبر انتقال فرامتن کاربردهای دیگری نیز دارد؛ برای مثال در سرورهای نام دامنه و سیستمهای مدیریت اشیاء توزیعشده (DOMS) به واسطه گسترش متدهای درخواست، کدهای خطا و هدرها بهکار میرود. هرگاه در نوشتن URL یک سایت از HTTP استفاده میشود، مرورگر وب، URL را به صورت درخواست درآورده و به سرور HTTP میفرستد. سرور، درخواست را بررسی کرده و سپس جواب مربوطه را بازمیگرداند که این جواب میتواند مرجع مورد نظر و یا کد خطا باشد. سپس مرورگر اینترنت پاسخ را بررسی کرده و محتویات آنرا با توجه به نوع هدر نشان میدهد. هدرها مشخصکننده محتویات دیتا هستند و انواع مختلفی دارند: متن، آوا، تصویر، اپلیکیشن و غیره.
استاندارد HTTP برای حفظ امنیت جابهجایی اطلاعات از هر پروتکلی که انتقال مطمئنی ارائه دهد، استفاده میکند. بهطور معمول از پروتکلTCP/IP استفاده میشود. در پروتکل لایهای TCP/IP که برای ارتباط دستگاهها در شبکه و مسیریابی به وجود آمدهاست؛ بایستی آدرسIP یا نام میزبان و شماره درگاه را داشته باشیم.
اچ تی تی پی اس (HTTPS) پروتکل انتقال امن فرامتن برای نسخه امن پروتکل HTTP است که در تبادل امن اطلاعات در شبکههای کامپیوتر کاربرد زیادی دارد.
زمانی که یک کاربر با پروتکل HTTPS: Hyper Text Transfer Protocol Secure به یک وب سایت متصل میشود، وبسایت مورد نظر درخواست را با یک کد دیجیتال رمزگذاری کرده و URL سایت در نوار آدرس با HTTPS شروع میشود و آیکون قفل در بالای هدایتگر مرورگر وب نمایان میشود و این یعنی که عملیات انتقال داده بین کاربر و وبسایت به صورت ایمن انجام میشود.
با استفاده از این پروتکل، کامپیوترهای فرستنده و گیرنده بر سر استفاده از یک کد به توافق میرسند و سپس پیغامها رابا این کد تلفیق کرده تا قابل خواندن برای هکرها نباشد. حتی اگر در سر راه کاربر و وبسایت شنود صورت بگیرد، نمیتوان به محتوای اطلاعات دست پیدا کرد. در پروتکل HTTPS ارسال و دریافت اطلاعات روی پروتکل SSL انجام میشود و آن را گاهی (TLS(Transport Layer Security یا لایهی انتقال امنیتی مینامند.
از این پروتکل برای بردن امنیت تبادل دادهها در وبسایتهای تجارت الکترونیک استفاده زیادی میشود. پروتکلهای HTTP و HTTPS برخلاف ساکس قابلیت تفسیر درخواستهای ورودی از کاربر را دارا هستند و اگر درخواستها با قوانین شبکه مطابقت داشته باشند، اجازه دسترسی را صادر میکنند.
خلاصه ماجرا این است که HTTP زبان مشترکی بین کاربر (مرورگر شما) و سرور (سرور سایت مورد نظر) ایجاد می کند تا انتقال اطلاعات بصورت درست و استاندارد انجام پذیرد.
اما مشکل پروتکل HTTP این است که رمزگذاری نشده است. بنابراین کسی که در میانه راه تبادل اطلاعات است (مثلا سرویس دهنده اینترنت شما) می تواند با استفاده از ابزارهایی به نام sniffer اطلاعات رد و بدل شده اینترنتی شما را رصد کند و پی ببرد که شما در حال ارسال و دریافت چه اطلاعاتی هستید.
در این صورت اگر شما در حال انتقال و دریافت اطلاعاتی محرمانه مثل امور بانکداری اینترنتی، خواندن ایمیل، یا خرید آنلاین هستید ممکن است این اطلاعات مورد سو استفاده قرار بگیرد.
اما در پروتکل Https اطلاعات بصورت رمزنگاری شده بین وبسایت و کاربر منتقل می شوند. در این حالت از کلیدهایی برای کد کردن استفاده میشود که تمام اطلاعات (شامل محتوا و آدرس اینترنتی و …) را بصورت امن، رمزنگاری می کند. در این حالت کسی که در میانه راه تبادل باشد (همان سرویس دهنده یا نفوذ کنندگان به سرویس دهنده) وقتی شما به آدرس ایمیلتان در گوگل می روید، نمی تواند محتوای رد و بدل شده را بخواند، بلکه تنها متوجه می شود که شما در حال ارتباط با گوگل هستید
ssl مخففی است از سرواژه های Secure Sockets Layer و در اصطلاح به سیستم امن و رمزی انتقال داده اطلاق می شود، ssl را ابتدا شرکت Netscape به منظور نقل و انتقال امن و رمزی اطلاعات ایجاد نمود و اکنون تقریبا تمام مرورگرهای استاندارد از جمله فایر فاکس، اینترنت اکسپلورر، اپرا، گوگل کروم و سافاری آن را پشتیبانی می کنند؛ همچنین در این رابطه شرکتهایی وجود دارند که گواهی ssl ارائه می کنند.
در یک بیان ساده، پس از برقراری اتصال امن، ssl اطلاعات را به وسیله دو کلید رمزنگاری می کند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.
چند فاکتور در تعیین معتبر بودن گواهی یک سایت نقش دارند، اول از همه کلید کوچکی است که در مرورگرهای مختلف با کمی اختلاف در مکان و شکل، نشان داده می شود، برخی از مرورگرها در نسخه های جدید خود پس از برقراری یک اتصال امن، نوار آدرس را به رنگ سبز نیز نشان می دهند؛ فاکتور دیگر وجود عبارت https در ابتدای آدرس آن سایت است.
بعضا ممکن است با صفحاتی روبرو شده باشید که مرورگر نسبت به منقضی شدن اعتبار گواهی ارتباط امن آن، به شما هشدار دهد، این اتفاق به چند دلیل ممکن است رخ دهد، یکی اینکه گواهی آن سایت واقعا به پایان رسیده و تمدید نشده باشد، دوم اینکه تاریخ سیستم شما از زمان حقیقی، عقب تر یا حتی جلوتر باشد، دلیل سوم هم می تواند به مسائل فنی صفحه و ترکیب اشتباه داده های عادی با داده های رمزنگاری شده مربوط باشد که این عامل به مسائل فنی سایت ارتباط دارد.
برای داشتن یک ارتباط امن در بستر HTTPS برای سایت خود، نیاز به گواهی معتبر ssl دارید، این گواهی از طریق نمایندگی ها و سرویس دهنده های هاست نیز قابل خریداری است، علاوه بر این به سروری با قابلیت پشتیانی از ssl و یک ip اختصاصی احتیاج خواهید داشت.
و در پایان چند نکته:
– اگرچه HTTPS و رمزنگاری ssl امن و قابل اطمینان است، اما به دلیل وجود محدودیتهایی، معمولا سرعت انتقال اطلاعات از این طریق نسبت به شیوه معمول یعنی HTTP پائین تر است، لذا برای افزایش کارایی، بهتر است تنها در صفحاتی از این پروتکل استفاده کنید که اطلاعات حساسی در آنها رد و بدل می شود.
– در استفاده از سرور HTTPS دقت داشته باشید که مخصوصا در مورد تصاویری که بارگذاری می شوند، آنها را با محتوایی که از قسمت HTTPS فراخوانی می شوند در یک صفحه قرار ندهید (یا لااقل به صورت آدرس کامل http://www قرار ندهید)، چرا که موجب می شود تا مرورگر کاربران برای هر تصویر، سوالی مبنی بر معتبر نبودن اتصال و ادامه دادن یا ندادن درخواست، از آنها داشته باشد و واضح است که این موضوع موجب نارضایتی کاربران خواهد شد.
به زبان ساده می توانیم بگوییم که در اتصال امن ( ssl ) اطلاعات به وسیله دو کلید رمزنگاری می شوند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.
دسترسی به دادهها در پروتکل امن هم ممکن است، اما به دلیل آنکه این داده ها رمزگذاری شده اند، برای بدست آوردن دادههای رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی نداریم! برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز بتوان دادههای اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.
از سوی دیگر، دادهها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی دادههای اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمیشوند. به همین دلیل، درصورتی که بدافزار یا ویروسی در هر یک از این سمتها قرار بگیرد، میتواند دادههای اصلی را به راحتی بدزدد.
این پروتکل زمانی واقعا امن است که حداقل تمام موارد زیر رعایت شده باشند:
۱- کاربر مطمئن باشد که نرمافزار مرورگرش به درستی HTTPS را پیادهسازی کرده و مراجع مورد اعتمادی را در خود قرار دادهاست.
۲- کاربر مطمئن باشد که مراجع، تنها وبسایتهای قانونی را تایید میکنند و دچار اشتباه نمیشوند.
۳- وبسایت یک گواهی معتبر داشته باشد که توسط یکی از مراجع مورد اعتماد کاربر تایید شدهاست. (معمولا اگر گواهی سایتی با آدرس HTTPS معتبر نباشد، مرورگهای جدید، خود اخطار می دهند)
۴- گواهی ارسال شده از طرف سایت مربوط به خود سایت و یا شرکت ادارهکنندهٔ آن باشد. (مثلا گواهی های سایت گوگل باید برای شرکت گوگل (به انگلیسی: Google Inc.) صادر شده باشد. نه شرکتی دیگر)
۵- کاربر یا به آیاسپی خود و مسیر اتصال آن به شبکهٔ وب اعتماد داشتهباشد. و یا مطمئن باشد که روشهای استفاده شده برای رمزگذاری در امنیت لایه انتقال شکستناپذیرند.
به زبان ساده:
(SSL (Secure Sockets Layer؛ یک فرایند محافظت از اطلاعاتی است که در اطراف اینترنت می گذرد تا از دسترسی هکرها و رباتها به اطلاعات حساس آنلاین جلوگیری شود. اطلاعات خصوصی مانند جزئیات کارت اعتباری از طریق سرورهای مختلف منتقل مي شود و اين گواهي تضمين كننده امنيت شبکه و رمزگذاری لازم برای جلوگیری از نفوذ هکرها در هنگام انتقال اطلاعات است.
قاعده کلی این است که مسئولیت حفاظت از کسب و کار و اطلاعات خصوصی و حساس مشتریان مانند سوابق مالی، ورود به سیستم رمز عبور، شماره هویت، جزئیات کارت اعتباری با خود مشتري است. سرقت این اطلاعات می تواند باعث از دست دادن پول و یا مشکلات قانونی شود. این به ویژه برای سایتهای تجارت الکترونیک، سایتهای عضویت و سایت های دیگر که نیاز به اطلاعات خصوصی از مشتریان خود دارند، اهمیت دارد.
در اینجا دلایل اصلی این که چرا باید گواهی SSL را برای وب سایت خود را دریافت کنیم؛ ذكر مي گردد:
1) با اين گواهي پرداخت امن است
در هنگام استفاده از سایت های تجارت الکترونیکی، جزئیات کارت اعتباری اغلب وارد می شوند. در انجام این کار، مشتری اعتماد کامل خود را به این موضوع که این اطلاعات حساس به طور ایمن منتقل می شود، ارائه می دهد. SSL به عنوان یک پروتکل امنیتی در معاملات پرداخت استفاده می شود.
2) شما اعتماد مصرف کننده را ساختید
یک وبسایت با یک گواهی SSL می تواند به راحتی شناسایی شود، زمانی که URL با HTTPS به جای http شروع می شود، و هنگامی که نماد قفل سبز در کنار نوار URL وجود دارد. به این ترتیب، شما یک سیگنال واضح برای مشتریان هدف خود ارسال می کنید که کسب و کار شما یکپارچگی و هوشمندي لازم برای اجرای این سطح اضافی حفاظت از داده های خصوصی خود را دارد.
3) رتبه بندی GOOGLE خود را افزایش دهید
به گفته گوگل، وب سایت هایی با گواهینامه SSL مزایای رتبه بندی کوچک را در نتایج موتورهای جستجو گوگل به دست می آورند زیرا آنها می خواهند همه صاحبان وبسایت ها را تشویق کنند که از HTTP به HTTPS تغییر کنند تا امنیت وب را ارتقا دهند. این بدان معنی است که هنگامی که یک گواهینامه SSL برای وب سایت خود کسب می کنید، این می تواند رتبه بندی جستجوی گوگل شما را افزایش دهد.
4) پیروی از PDPA
قانون حفاظت از اطلاعات شخصی سنگاپور (PDPA) یک قانون است که نحوه کسب و کار جمع آوری و استفاده از اطلاعات شخصی را مدیریت می کند. تمام مشاغل واقع در سنگاپور به صورت قانوني مجاز به پیروی از استانداردهای امنیتی در PDPA هستند. یکی از الزامات PDPA برای وب سایت در سنگاپور جمع آوری اطلاعات مشتری است که در آن وب سایت باید با SSL فعال شود.
5) SECURED PASSWORD LOG-INS
اگر صفحات شما با رمز محافظت شده باشند، به معني آن است كه یک گواهی SSL در وب سایت شما، برای اطمینان از جزئیات ورود به سیستم مانند نام کاربری و رمز عبور مشتریان خود و جلوگیری از حمله هکرها وجود دارد.
داشتن یک گواهینامه SSL در وب سایت شما به مشتریان شما اين حس امنیت را خواهد داد که داده های خصوصی آنها در دستاني ایمن هستند. این یک نیاز بزرگ در مورد وب سایت هایی است که با اطلاعات حساس مانند جزئیات کارت اعتباری و سایر اطلاعات شخصی در مورد مشتریان خود سر و كار دارند.
اگر میخواهید درباره SSL بیشتر بدانید و علاقمند به گرفتن یکی برای وب سایت خود هستید، فقط یک تقاضاي پشتيباني در چلسمه برای مشاوره بگذارید.
گروه طراحی و توسعه چلسمه