HTTPS چیست و چگونه کار می کند؟

پروتوکل HTTPS یک پروتکل امنیتی است که برای ارتباط امن میان کلاینت و سرور در اینترنت استفاده می شود. از آنجایی که امروزه بسیاری از اطلاعات حساس و مهم به صورت آنلاین منتقل می شود، استفاده از HTTPS از اهمیت بسیاری برخوردار است. در این مقاله، قصد داریم تا به شما توضیح دهیم که HTTPS به چه معناست، چگونه کار می کند و چگونه از آن برای محافظت از اطلاعات خود استفاده کنید.

در ابتدا سعی می کنیم راجب پروتکل HTTP صحبت کنیم. لازم به ذکر است که با خواندن این مقاله می توانید به سوالات ذیل پاسخ دهید.

• پروتکل HTTP چیست؟
• HTTPS چگونه کار می کند؟
• اهمیت استفاده از HTTPS به جای HTTP در انتقال داده ها چیست؟
• چگونه می توانیم با نصب SSL نسخه HTTPS سایت خود را دریافت کرد؟

"مقاله ی پروتکل چیست را نیز مطالعه فرمایید"

پروتکل HTTP چیست؟

پروتکل HTTP مخفف Hypertext Transfer Protocol به معنی پروتکل انتقال ابر متن است و در درجه اول برای انتقال داده ها بین سرور حاوی وب سایت و مرورگر کاربر استفاده می شود. ( در مورد وب سایت و انواع آن بیشتر بدانید ).

جایی که ارتباط بین سرویس گیرنده و سرور بین کاربر و سرور با ارسال درخواست و دریافت پاسخ انجام می شود.

HTTPS چیست؟

HTTPS به معنی پروتکل انتقال ابرمتن امن است و مخفف عبارت Hypertext Transfer Protocol Secure می باشد، جایی که داده ها در حین انتقال رمزگذاری می شوند. این پروتکل به داده ها امنیت می دهد و هنگام استفاده از داده های حساس مانند هر نوع داده ورود، حساب های بانکی یا سایر داده های حساس، استفاده از وضعیت ضروری می شود.

هنگام سرچ وب سایت هایی که به جای HTTPS از پروتکل HTTP استفاده می کنند، متوجه این موضوع می شوید که مرورگرهای مدرن مانند Google Chrome یا Firefox آنها رابه عنوان “ایمن” نیستند علامت گذاری می کنند و این موضوع را به اطلاع بازدید کنندگان می رسانند. در کنار آدرس بار، همان جایی که آدرس دامنه نوشته شده است می توانید علامت Not Secure برای url های نا امن را مشاهده نمیایید.

HTTPS چگونه کار می کند؟

HTTPS در واقع نوعی از پروتوکل HTTP است که با استفاده از یک پروتکل امنیتی، ارتباط بین مرورگر و سرور را رمزگذاری می کند. این پروتکل Transport Layer Security یا امنیت لایه حمل و نقل (TLS) نامیده می شود. برای شروع یک ارتباط HTTPS، مرورگر کاربر درخواستی را از سرور ارسال می کند و درخواست از طریق یک پورت با نام SSL انتقال داده می شود. سپس یک نسخه از گواهینامه SSL از سرور به مرورگر ارسال می شود تا اثبات کند که سرور صحیح و معتبر است.

بعد از این که گواهینامه SSL اعتبار سنجی شد، یک رمز عبور برای ارتباط بین مرورگر و سرور تولید می شود. این رمز عبور با استفاده از الگوریتم های رمزگذاری قوی و امنیتی به نام RSA و AES تولید می شود. پس از تولید رمز عبور، تمام اطلاعات ارسال شده بین مرورگر و سرور، از جمله فرم ها، نام کاربری ها و رمزهای عبور، پیام ها، تصاویر و غیره رمزگذاری می شوند و به صورت محفوظ ارسال می شوند.

این نوع سیستم امنیت داده از یک جفت کلید مختلف برای رمزگذاری ارتباطات بین سرور (سرویس دهنده) و سرویس گیرنده استفاده می کند که عبارت است از:

• کلید خصوصی یا Private Key به طور ایمن در سرور که حاوی سایت است ذخیره می شود.
• کلید عمومی یا Public Key در دسترس هر کاربری است که بخواهد به طور ایمن با سایت ارتباط برقرار کرده و با آن تعامل داشته باشد.

البته کلیه موارد بالا از طریق Web Server انجام می شود، وب سرور با خود سرور تفاوت دارد که در مقاله مرتبط می توانید با آن آشنایی پیدا کنید، اما به شکل خلاصه می توان گفت که  وب سرور نرم افزاری است که روی سرور قرار میگیرد و ارتباطات آن را مدیریت می کند. بعنوان مثال، نرم افزار IIS یک وب سرور است که بر روی ویندوز سرور مایکروسافت نصب شده است و به آن خدمت رسانی می کند.

بررسی نحوه عملکرد HTTPS به شکل تخصصی تر

با HTTPS، ترافیک به گونه ای رمزگذاری می شود که حتی در صورت دسترسی به داده ها، رمزگذاری شده به نظر برسد و تنها با کلید خصوصی که قابل دسترسی نیست رمزگشایی شود. بیایید به یک مثال نگاه کنیم:

This is a string of text that is completely readable

عبارت بالا پس از رمزگذاری به شکل زیر نمایش داده می شود:

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/

Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk

در وب سایت های شرکتی و یا وب سایت های فروشگاهی و.. ، ارائه دهندگان خدمات اینترنتی (ISP) یا سایر واسطه ها مثلا شبکه داخلی ای که از آن استفاده میکنید مانند اینترنت کافی شاپ، هتل و… می توانند محتوا را بدون رضایت صاحب وب سایت به صفحات وب تزریق کنند. این روش معمولا به شکل تبلیغات صورت می گیرد، به این ترتیب که ارائه دهنده خدمات اینترنتی یا بستر ارائه دهنده آن شبکه با هدف افزایش درآمد و سود تبلیغات، تکه کد تبلیغاتی ای را به صفحات وب سایت مشتریان خود تزریق می کند. هنگامی که این اتفاق می افتد، درآمد تبلیغات و کنترل کیفیت به هیچ وجه با مالک واقعی وب سایت به اشتراک گذاشته نمی شود. HTTPS می تواند از این اتفاق پیشگیری نماید.

اهمیت استفاده از HTTPS در انتقال داده ها چیست؟

استفاده از HTTPS برای محافظت از اطلاعاتی که شما به صورت آنلاین ارسال می کنید، بسیار مهم است. بدون استفاده از HTTPS، این اطلاعات میتواند قابل دسترس باشد برای هر کسی که توانایی دسترسی به ارتباطات شما با سرور را دارد. این شامل هکرها، جاسوسان اینترنتی، و حتی افرادی است که در همان شبکه Wi-Fi عمومی شما متصل هستند.

به علاوه، استفاده از HTTPS در سئو نیز اهمیت بالایی دارد. به دلیل اینکه موتورهای جستجوی اینترنت، صفحاتی را که از HTTPS استفاده می کنند را با اولویت بیشتری نشان می دهد، سایت هایی که از HTTPS استفاده می کنند رتبه بالاتری در صفحات نتایج جستجوی موتورهای جستجوی اینترنت دارند.

هنگامی که اطلاعات از طریق پروتکل HTTP معمولی ارسال می شود، اطلاعات به بسته های داده تقسیم می شوند که می توان به راحتی با استفاده از مجموعه ای از نرم افزارها و ابزارهای رایگان به روشی به نام Snooping به آنها دسترسی پیدا کرد. این امر باعث می شود به عنوان مثال اتصال اینترنت شما از طریق یک شبکه ناامن مانند Wi-Fi عمومی در برابر نفوذ داده ها آسیب پذیر باشد. در واقع، تمام ارتباطاتی که از طریق HTTP اتفاق می افتد در متن ساده اتفاق می افتد که برای هر کسی که سعی می کند آن را رهگیری کند، قابل دسترسی و قابل فهم است. به همین دلیل استفاده از HTTPS نسبت به HTTP اهمیت بیشتری دارد.

چگونه از وجود و اعتبار HTTPS آگاه شویم؟

برای آگاهی از وجود و اعتبار HTTPS، باید به دو مورد توجه کنیم. اولین چیزی که باید بررسی کنیم این است که آیا وب سایتی که قصد داریم به آن متصل شویم از HTTPS استفاده می کند یا نه؟ برای این کار، باید به آدرس وب سایت نگاه کنیم. اگر آدرس وب سایت با "https://" شروع شده باشد، این نشان می دهد که سایت از HTTPS استفاده می کند. اگر آدرس با "http://" شروع شده باشد، این نشان می دهد که این وب سایت از HTTPS استفاده نمی کند.

دومین موردی که باید به آن توجه کنیم، این است که آیا گواهینامه SSL / TLS سایت مورد نظر صحیح و معتبر است یا نه؟ برای این کار، باید به بخشی از آدرس سایت نگاه کنیم که "https://" پس از آن قرار دارد. آنجا یک آیکون قفل مشاهده می شود که می بایست روی آن کلیک نمایید. این کار باعث می شود یک پنجره باز شود که شامل اطلاعاتی درباره گواهینامه سایت شما است.

اگر گواهینامه صحیح و معتبر باشد، اطلاعات درون گواهینامه با اطلاعاتی که درباره وب سایت موجود است همخوانی دارد. همچنین، باید از وب سایت هایی که از HTTPS استفاده می کنند و گواهینامه آنها توسط سازمان های معتبری مانند Symantec، Thawte و Verisign صادر شده باشد، استفاده کنید.

همچنین باید مطمئن شوید که از مرورگرهای امن استفاده می کنید. مرورگرهایی مانند Google Chrome، Firefox و Safari از HTTPS پشتیبانی می کنند و در صورت وجود مشکلاتی با اینترنت، از HTTPS برای ارتباط امن با وب سایت ها استفاده می کنند.

چگونه می توان SSL برای سایت خود دریافت کرد؟

اکثر شرکت های میزبانی وب که خدمات هاستینگ ارائه می دهند، گواهی SSL هم رایگان و هم پولی به شما ارائه می دهند که به راحتی سایت شما را از HTTP به HTTPS تبدیل می کند. می توانید گواهی SSL را از شرکت های هاستینگ مستقیم خریداری کنید و خودتان اقدام به نصب و پیکربندی آن نمائید اما کاری عجیب و پیچیده به نظر می آید. همچنین می توانید از صادر کننده آن درخواست نصب و فعال سازی گواهی را بکنید که معمولا این کار را برای شما انجام می دهند.

همچنین می توانید SSL رایگان از Cloud flare دریافت کنید. یا از گواهینامه های SSL رایگان مانند Let’s Encrypt استفاده کنید که البته در برخی موارد و شرایط، مشکلات خاص خود را دارند اما قابل استفاده هستند.