پروتکل httpsچیست؟

چیست؟

• HTTP، پروتکل امن انتقال

اطلاعات ابر متن هاست که برای انتقال اطلاعات رمز گذاری شده میان

کامپیوترها از راه اینترنت به کار می رود.

• HTTPS همان HTTP

است که از یک SSL استفاده می کند. SSL پروتکل رمز گذاری است که در وب سروری

که از HTTPS استفاده می کند به کار گرفته می شود. یکی از دلایل مهم

استفاده از HTTPS انجام خرید آن لاین و مبادله اطلاعات خصوصی از طریق

اینترنت است.

SSL چیست؟

پروتکل (SSL (Socket Secure Layer ، یک

استاندارد وب برای کدکردن اطلاعات بین کاربر و وب سایت است. اطلاعاتی که

توسط یک اتصال SSL مبادله می شوند بصورت کد شده ارسال می شوند و بدین ترتیب

اطلاعات مبادله شده از دزدیده شدن یا استراق سمع محافظت می شوند. SSL برای

شرکتها و مشتریان این امکان را فراهم می کند که بتوانند با اطمینان

اطلاعات خصوصی شان را مانند شماره کارت اعتباری، به یک وب سایت بطور

محرمانه ارسال کنند. برای برقراری یک اتصال SSL به Web Server

Certificateها نیاز می باشد.

چگونه عمل می کند؟

• SSLامنیت اطلاعات

زمانیکه

اطلاعاتی ما بین یک سرویس دهنده و یک کاربر از روی شبکه اینترنت انتقال

میابد این اطلاعات بصورت تمام متنی (Clear Text) است. این اطلاعات می تواند

شامل یک نام کاربری ورمز عبور , شماره کارت (Sniffing) باشد و در بین راه

به راحتی قابل دزدیده شدن کارت اعتباری , یک ایمیل و یا رمزحساب بانکی

فرد باشد , که اگر دیگران آن را در اختیار داشته باشند می تواند پیش

آمدهای بسیار ناگواری را در پی داشته باشد. اما زمانیکه سرویس دهنده مجهز

به گواهینامه SSL باشد این اطلاعات از روی پورت استاندارد 80 و پروتکل Http

به پورت استاندارد 443 و پروتکل Https منتقل می شود. این پروتکل باعث می

شود که اطلاعاتی که ما بین کاربر و سرویس دهنده در حال رد و بدل شدن است

رمزگذاری شود و حتی در صورت دستبرد در میان راه قابل خواندن نیست.به همین

دلیل امنیت از طریق گواهی نامه امنیتی 100% تضمین می شود و کاربران پایگاه

اینترنتی شما اعم از فروشگاه ها و یا سایتهای تجارت الکترونیک با آسودگی

خاطر می توانند از خدمات شما بهره مند گردند.

در شرایطی نیاز به پروتکل

(Protocol) دیگری برای رد و بدل کردن اطلاعات است، مثلا اگر کاربر بخواهد

به سایت یک بانک یا موسسات دیگر که نیاز به رد و بدل کردن اطلاعات به صورت

رمزگذاری شده باشد از پروتکل دیگری بنام HTTPS استفاده می‌شود. این

پروتکل که Secure HTTP نام دارد، تمام اطلاعات رد و بدل شده بین کاربر و

سایت (سرور سایت) را بصورت رمزگذاری شده رد و بدل می‌کند، تا اطلاعات رد و

بدل شده بین کاربر و سرور مربوطه برای دیگران قابل خواندن نباشد. با

استفاده از این روش قبل از ارسال اطلاعات، داده‌ها رمزگذاری می‌شوند و سپس

به سایت مربوطه ارسال می‌شوند. اطلاعات ارسالی کاربر پس از رسیدن به سایت

رمز گشایی می‌شود و مجددا اگر نیاز به پاسخ به کاربر باشد باز هم اطلاعات

به صورت رمزگذاری بازگشت داده می‌شود و تا زمانی که در قسمت آدرس نت

براوزر شما علامت (HTTPS) مورد استفاده قرار گرفته باشد تمام اطلاعات رد و

بدل شده بصورت رمزگذاری شده رد و بدل خواهد شد.

به همین خاطر هم هست که

هرگاه بخواهیم سایتی را با این مشخصات باز کنیم نت براوزر با نمایش

Certificate (گواهینامه) سایت مربوطه از ما سوال می‌کند که آیا به این

گواهینامه اعتماد داریم یا نه.

شما می توانید برای بررسی گواهینامه

سایت مربوطه، با تقه زدن روی دکمه View Certificate مشخصات گواهینامه را

مشاهده کنید. تصویر مشخصات را اینجا ببینید.

پنجره گواهینامه شامل سه

بخش است که بخش‌های مختلف آنرا می‌توانید در این تصویرمشاهده کنید. برای

مشاهده همه تصاویر در این نوشته به اندازه طبیعی روی آنها تقه بزنید

در

شرایط دیگری هم ممکن است نیاز به رد و بدل کردن اطلاعات بصورت رمز گذاری

شده باشد، مثل شرایط فی#ل*ترینگ ایران که برای جلوگیری از دسترسی عوامل

رژیم ایران به اطلاعات رد و بدل شده، کاربران می‌توانند از پروتکل (HTTPS)

استفاده کنند.

انتقال اطلاعات از طریق (HTTPS) هم پیرو شرایطی است که

باید به آن توجه داشت. اولین نکته‌ای که در این زمینه باید در نظر داشت

این است که آیا اطلاعاتی که می‌خواهد رد و بدل شود حساس است یا نه. مثلا

اگر شما عضو یک حزب یا سازمان سی#اسی باشید که برای رد و بدل کردن اطلاعات

نیاز به روش امنی باشد، یقینا در این باره باید سیستم ایمنی فراهم کرد.

ولی اگر شما تنها می‌خواهید یک سایت سی#اسی را بخوانید و نمی‌خواهید که

رژیم بداند که شما چه مطالبی را مطالعه می‌کنید نیاز به ایمنی چنان

پیچیده‌ای نباشد. در هر صورت این مساله را کاربران خود باید تصمیم بگیرند و

حد و اندازه ایمنی را خود مشخص و بر اساس آن عمل کنند.

برای استفاده

صحیح از پروتکل (HTTPS) نیاز به یک Certificate (گواهینامه) هست. این

گواهینامه‌ها را سایت‌ها با پرداخت پول به شرکت‌های شناخته شده و معتبر

تهیه می‌کنند و در نتیجه شرکتی که این گواهینامه را صادر کرده باید شناخته

شده باشد در غیر این صورت نمی‌توان به گواهینامه آن اعتماد کرد.

نمونه‌هایی از این گونه شرکت‌های صادر کننده گواهینامه:

http://www.verisign.com

http://www.globalsign.net/digital_certificate/index.cfm

http://certs.ipsca.com/?gclid=CIzWgO...FSYSQgodrC_5aw

در

مقابل این گونه گواهینامه‌ها، گواهینامه‌های دیگری هم وجود دارند که سایت

ها خود درست می‌کنند و با اینکه یک شرکت معتبر این گواهینامه را صادر

نکرده باز هم اطلاعات بصورت رمزگذاری رد و بدل می‌شود. نکته اساسی در

اینجا این است که کاربر باید خود تصمیم بگیرد که آیا اطلاعاتی که می‌خواهد

رد و بدل کند تا چه اندازه حساس است و اینکه آیا حتما نیاز به یک

گواهینامه معتبر است یا اینکه یک گواهینامه معمولی بدون پشتوانه معتبر هم

کفایت می‌کند. مثلا در شرایطی یک کاربر می خواهد فقط برای مطالعه یک وبلاگ

از این گواهینامه استفاده کند در نتیجه ممکن است اطلاعات رد و بدل شده تا

این اندازه حساس نباشد که نیاز به یک گواهینامه شناخته شده معتبر از یک

شرکت معتبر بین‌المللی باشد.

https://blog.hasanagha.net

در شرایطی

که یک گواهینامه معتبر در دسترس نباشد، می‌توان با استفاده از

گواهینامه‌های خود ساخته یک شرایط حداقلی را فراهم کرد. مثلا وبلاگ خُسن

آقا را با آدرس بالا می‌توانید با استفاده از همین روش بخوانید و مطمئن

باشید که کسی نمی‌تواند به اطلاعات رد و بدل شده به دست کس دیگری برسد.

ممکن است دوستان بپرسند که خوب این چه خاصیتی دارد، وقتی که نمی‌توان به

گواهینامه اعتماد کرد!؟ در پاسخ باید گفت که اطلاعاتی که از این طریق رد و

بدل می‌شود با اینکه معتبر نیست، ولی حداقل رمزگذاری شده و اگر خواننده به

وبلاگ خُسن آقا و نویسنده آن اعتماد دارد می‌تواند به گواهینامه‌ای هم که

خُسن آقا استفاده می‌کند اعتماد کند و با استفاده از این روش حداقل از

دسترسی رژیم به این اطلاعات جلوگیری کند.

سخن آخر اینکه: اگر شما بجای

استفاده از آدرس http://blog.hasanagha.netاز آدرس

https://blog.hasanagha.netکه با پروتکل HTTPS رد و بدل می شود استفاده

کنید مطمئن هستید که مطالبی را که از این طریق مطالعه می‌کنید کسی

نمی‌تواند در بین راه مطلب را دست کاری یا مطالعه کند در نتیجه وقتی

نتواند مطالب را در بین راه بخواند، نمی‌تواند آنرا نیز بر اساس محتویات

آن سا*ن*سور یا دستکاری کند. این روش خصوصا برای وضع سا*ن*سور در ایران

مفید است، زیرا بعضی از سایت‌ها به علت محتوای آن سا*ن*سور می‌شود در

نتیجه وقتی از این روش استفاده شود دیگر رژیم نمی‌تواند محتویات رد و بدل

شده را بخواند و در نتیجه نمی‌تواند بصورت اتوماتیک آنرا سا*ن*سور کند.

مهمترین تفاوت میان //:http با //:https

امنیت

و حفظ اطلاعات مربوط به شماست. HTTP مخفف شده HyperText Transport

Protocol است که به زبان ساده یک پروتکل (یک زبان) جهت رد و بدل اطلاعات

میان سرور و کاربر است.

لغت S است که تفاوت میان HTTP و HTTPS را ایجاد می کند.

لغت S مخفف کمله Secure به معنی امن است.

در

موقع ورود به وب سایت ها، به طور معمول عبارت //:http در جلوی آدرس سایت

ظاهر می شود. این بدین معناست که شما در حال بررسی سایت با استفاده از زبان

معمول غیر امن هستید.

به زبان دیگر یعنی ممکن است شخص سومی (در اینجا

شخص هر چیزی معنی می دهد، مانند برنامه کامپیوتری - هکر - …) در حال ثبت

اطلاعات ارسال رد و بدل شده شما با وب سایتی که در آن حضور دارید، باشد.

در صورت پر کردن فرمی در وب سایت، شخصی ممکن است به اطلاعات وارد شده بوسیله شما دسترسی پیدا کند.

به این دلیل است که هرگز نباید اطلاعات کارت های اعتباری اینترنتی خود را از پروتکل //:http در سایت وارد کنید.

اما

در صورت شروع شدن نام وب سایت با //:https، این بدین معناست که کامپیوتر

شما در حال رد و بدل کردن اطلاعات با سایت با زبانی است که شخص دیگری قادر

به استفاده از آن نیست

در اینجا چند نکته قابل تامل است؛

الف) در

//:https اطلاعات ابتدا به کد تبدیل شده و به سرور ارسال می گردد. سپس این

کد در سرور رمز گشایی شده و به زبان قابل فهم بر می گردد. این کار مقداری

زمان بر بوده و بنابراین سرع //:https از سرعت //:http کمتر است.

ب)

تعداد از شرکت های امنیتی مانند Verisign و Goddady این سرویس را ارائه می

دهند که جهت تبدیل اطلاعات سروری که شما به آن متصل شده اید به این سرور ها

مراجعه می کند.

پ) بعد از وارد شدن با پروتکل //:https، اطلاعاتی در

رابطه با امنیت اعمال شده در سایت و گروه ارائه دهنده این امنیت نمایش

داده می شود. این اطلاعات معمولا (در اکثر مرورگر ها) بصورت قفلی در پایین

صفحه موجود بوده و بعد از کلیک بر روی آن این اطلاعات را مشاهده خواهید

کرد.

ث) در هنگام ورود به این سایت ها حمتاً به اطلاعات امنیتی توجه

کنید. ممکن است امنیت در کار نبوده و همه اینها با برنامه نویسی ساده ای

برای شما نمایش داده شود.

ج) جهت داشتن //:https هزینه ای ماهانه باید

پرداخت گردد که بر اساس سرعت آن (۱۲۸kb یا ۲۶۵kb یا …) متفاوت است. هر چه

سرعت بیشتر، صاحب سرور باید هزینه بیشتری پرداخت کند.

چ) چون اطلاعات

بصورت کد رد و بدل می شود نرم افزار ف ی ل ت ر ی ن گ قادر به خواندن

اطلاعات خواسته شده توسط کاربر نداشته و ف ی ل ت ر ی بر آن اعمال نمی کند.

ح)

پروتکل //:https معمولاً برای بانک ها، ایجاد حساب کاربری و ورود کاربری

به پورتال ها - سرویس دهنده ها پیغام الکترونیکی - ..، خرید اینترنتی و

فروشگاه های اینترنتی، ورود به صفحات با اطلاعات سری و مهم و غیره استفاده

می شود.

در صورت نیاز به وارد کردن اطلاعات مهم مانند اطلاعات کارت

های اعتباری، ابتدا به ابتدای آدرس اینترنتی صفحه توجه کرده و در صورت

شروع شدن با //:https آنها را وارد کنید.