هر آنچه باید درباره HTTPS و SSL بدانید!

Circular motion

هر چیزی که باید درباره HTTPS و SSL بدونین!

علی بلوری

۱۲

۳

۲ ۱۱۱۱

اگه اهل وب گردی و گشت و گذار در اینترنت باشین، دست کم یه بار در نوار نشانی مرورگر خود با عبارت سبز رنگ https برخورد کردین. هم اینکه، اگه در خبرها خونده باشین، این روزا جهت خرید اینترنتی همیشه پیشنهاد می شه که در در نوار نشانی بالای صفحه پرداخت، حتماً قرارداد https وجود داشته باشه تا امنیت اطلاعات شما و بقیه حفظ شه (هرچند که این تنها یه طرف ماجراست که در ادامه دربارش صحبت می کنیم).

امنیت اطلاعات

در این شرایط سوالی که واسه کاربر عادی مطرح می شه اینه که اصلاً این https که از اون صحبت می شه، چیه؟ چه کاری انجام میده و چه ارتباطی با امنیت سایبری داره؟ ، ما دقیقاً در این مقاله تلاش کردیم این موارد رو به شکلی خلاصه و ساده واسه شما عزیزان توضیح بدیم. پس اگه واسه شمام اینجور سوالاتی به وجود اومده، این مقاله رو از دست ندین.

اطلاعات و داده ها در فضای آنلاین

به صورت کلی داده ها دو نوع هستن:

  • داده های غیر امنیتی که به صورت عادی در فضای آنلاین مشاهده می شن و شامل شکلای جور واجور محتوای اینترنتی هستن.
  • داده های حساس مانند مشخصات افراد، شماره تلفن، نشانی ایمیل، اطلاعات شخصی، رمزهای حسابای بانکی، گذرواژها و … که لو رفتن اونا می تونه آسیبای جبران ناپذیری به دنبال داشته باشه.

بیایید در اول ببینیم روند انتقال داده ها از سرور به مرورگر اینترنتی کاربر و برعکس چیجوریه؟ هر سایت دارای یه یا تعدادی سروره که از اون روش، محتوا و خدمات لازم رو در اختیار کاربر قرار میده. اتصال بین کاربر و سرور، بسته به شرایط جور واجور از جمله فاصله، نوع محتوا، بزرگ یا کوچیک بودن سایت و … می تونه ساده و کوتاه یا طولانی و دارای روترهای (Router) زیاد باشه. در هر بار مشاهده یا دانلود محتوا، کلیک، ورود اطلاعات و …، داده ها باید از این راه عبور کنن و در این راه های زیادی واسه دسترسی به اطلاعات واسه دیگه کاربران (از جمله هکرها) هست.

هک

قرارداد انتقال اَبَر متن (Hyper Text Transfer Protocol) یا همون http، راهِ انتقال این داده ها هستش. داده ها و محتوای عادی که به صورت عمومی در دسترس هستن می تونن خیلی راحت از این راه عبور کنن و حساسیت خاصی از دید امنیتی روی اونا وجود نداره. با این حال، تکلیف اطلاعات شخصی ما چی می شه و از کجا می تونیم اطمینان داشته باشیم اطلاعات پنهونی حسابای بانکی ما در این راه به سرقت نمی ره؟

قرارداد امن انتقال اَبَر متن (Hyper Text Transfer Protocol Secure) که به اصطلاح https خونده می شه، نسخه امن قرارداد httpه که واسه رفع این مشکل ایجاد شده. حرف “S” آخرِ این عبارت به این معنیه که تموم ارتباطات بین مرورگر شما و سایت، کدگذاری شدن. قرارداد https معمولاً واسه مراقبت از انتقال داده های حساس مثل رمزهای حسابای آنلاین یا تراکنشای بانکی به کار میره.

مرورگرهایی مثل کروم، فایرفاکس، سافاری و چیزای دیگه ای به جز اینا معمولاً واسه نمایشِ رابطه امن https از یه آیکون مثل قفل استفاده می کنن.

https معمولاً از یکی از دو قرارداد امن SSL و TLS واسه رمزگذاری ارتباطات استفاده می کنه. هر دو این قراردادا، از چیزی که امروزه به نام سیستم ساختار نامتقارن کلیدِ عمومی (PKI) شناخته می شه، استفاده می کنن. یه سیستم “نامتقارن” واسه رمزگذاری ارتباطات از دو کلید “عمومی” و “خصوصی” استفاده می کنه. هر چیزی که با کلید عمومی رمزگذاری شده باشه، می تونه با کلید خصوصی باز شه و البته برعکس!

همونطور که از این اسما متوجه میشیم، کلید خصوصی باید فقط در دست صاحبِ خود باشه. مثلا وقتی که وب سایتی در کاره، کلید خصوصی فقط در دست سرور سایت قرار داره. از طرف دیگه، کلید عمومی در اختیار همه س و واسه باز کردن اطلاعاتی که با کلید خصوصی رمزگذاری شده به کار میره.

وقتی که مرورگر شما از یه صفحۀ وب درخواست رابطه https می کنه، سایت گواهینامه SSL خود رو به مرورگر شما می فرستد. در این گواهینامه، کلید عمومی لازم واسه شروع رابطه امن قرار داره. در این هنگامه که رابطه SSL به صورت به طور کاملً سری و کدگذاری شده بین مرورگر شما و سرور برقرار می شه. نشونه این رابطه، همون آیکونِ قفل در کنار نمایش قرارداد https در نوار نشانی مرورگره که به شما اطمینان میده اتصال بین شما و سرور به طور کاملً امن و خصوصیه.

فرق http با https

به چه دلیل به گواهینامه SSL نیاز داریم؟

همه ارتباطات http از نوع متنی هستن و هر هکری که بتونه وارد اتصال شما و سایت شه، می تونه اونا رو بخونه. نیاز به توضیح نیس که این خطر در مورد اطلاعات پنهونی و شخصی تا چه حد می تونه زیاد باشه.

اما در مورد رابطه https، این اهمیت چندانی نداره چون اگه حتی هکری موفق شه وارد این راه شه و به داده ها دسترسی پیدا کنه، چیزی به جز رشته ای از کاراکترهای بی نظم و بی معنی نصیبش نمیشه چون وسیله لازم واسه رمزگشایی از اونا رو در اختیار نداره.

به دنبال برنامه ای کامل واسه معرفی دیجیتال خود هستین؟

دیجیتال

پکیجامون به شما کمک می کنن یه حضور موثر و با ثبات در اینترنت ایران داشته باشین.
واسه مشاوره رایگان، همین الان با ما تماس بگیرین.

اطلاعات بیشتر…

۰۲۱-۶۳۴۰۴داخلی ۳

فرق بین HTTPS، SSL و TLS چیه؟

لایه امن سوکتا (Secure Sockets Layer) یا همون SSL، پروتکلی رمزگذاری شده که رابطه امن در اینترنت رو شدنی می کنه. SSL در اول به وسیله Netscape پیشرفت داده شد و در سال ۱۹۹۵ با عنوان SSL 2.0 معرفی شد. یه سال بعد، نسخه شماره ۳٫۰ اون عرضه شد. مرورگرها الان از SSL 2.0 پشتیبانی نمی کنن.

امنیت لایه انتقال (Transport Layer Security) که به نام TLS شناخته می شه، در واقع نسل بعدی SSLه که نسخه ۱٫۰ اون در سال ۱۹۹۹ عرضه شد. نسخه های بعدی TLS، یعنی ۱٫۱ و ۱٫۲ در ۲۰۰۶ و ۲۰۰۸ عرضه شدن. مرورگرهای الان به صورت پیش فرض از TLS 1.0 پشتیبانی می کنن و ممکنه در حالتای پیشرفته تر نسخه های ۱٫۱ و ۱٫۲ رو هم قبول کنن.

قرارداد https در واقع یه جور از اجرا SSL یا TLS در فضای اینترنته. به زبون ساده تر، SSL و TLS فرمولای رمزگذاری داده ها هستن و https اجرای این فرمولا موقع رد و بدل شدن داده های پنهونی.

تحقیق کلمات کلیدی

علاوه بر https، از SSL واسه رمزگذاری قراردادای دیگری از جمله FTP، SMTP، NNTP و XMPP هم استفاده می شه که اینجا به این موارد نخوایم پرداخت.

خوب حالا باید به سراغ کدوم یکی بریم؟ از اونجا که TLS نسبت به SSL جدیدتر و به روزتره، منطقی به نظر میاد که باید در ارتباطات امن از TLS استفاده کرد. با این حال، به کار گیری SSL بازم در فضای اینترنت بسیار عادی تر بوده و بیشتر وب سایتا به خاطر سازگاری بهتر اون با مرورگرها از اون بهره می گیرن.

فواید به کار گیری https در فضای آنلاین چیه؟

اگه بخوایم فواید به کار گیری قرارداد https رو براتون نام ببریم، به طور خلاصه می تونیم به موارد زیر اشاره کنیم:

  1. اطلاعات کاربران و مشتریان، از جمله شماره ها و رمزهای کارتای بانکی، امن مونده و قابل سرقت نیستن.
  2. بازدید کنندگان سایت شما می تونن از اصالت هویت، کار و کاسبی و دامنه اینترنتی شما باخبر شن.
  3. مشتریان به وب سایتایی که از https استفاده می کنن، اطمینان بیشتری داشته و با آرامش خیال بیشتری خرید می کنن.

البته جالبه بدونین که به کار گیری قرارداد https می تونه تا حدودی هم بر وضعیت سئوی سایت شما اثر بزاره. تلاش می کنیم تو یه مقاله جداگونه تاثیر https بر سئوی سایت رو بررسی کنیم.

 حرف آخر …

سال هاست در کشور ما به کار گیری شبکه های اجتماعی و درگاهای پرداخت اینترنتی (که هر دو نیاز به انتقال امنِ اطلاعات پنهونی دارن) بسیار عادی شده. با وجود اینکه امنیت قرارداد https تضمین شده، هکرها و سارقان اطلاعات بیکار ننشسته ان. واسه اینکه در اینجور فرآیندهایی امنیت بیشتری داشته باشین، پیشنهاد می کنیم به نکات زیر هم توجه کنین:

اول از همه، گذرواژها و رمزهای خود رو با دقت انتخاب کنین و اونا رو هیچوقت در اختیار کسی قرار ندین. بهترین گذرواژها، اونایی هستن که طولانی بوده و شامل اعداد، حروف بزرگ و کوچیک و کاراکترهای دیگه مثل @ و $ باشن.

نکته دوم که باید یادتون باشه اینه که موقع انجام یه تراکنش بانکی، علاوه بر آیکون قفل و عبارت https، به نشانی سایت در بالای صفحه هم دقت کنین. سارقان اطلاعات ممکنه شما رو به وب سایتای خود (که اتفاقاً اونا هم از قرارداد https استفاده می کنن) هدایت کرده و اطلاعات شما رو به سرورهای خود هدایت کنن.

مثلا، موقع کار با یه درگاه پرداخت اینترنتی، دقت کنین که نشانی سایت به صورت bpm.shaparak.ir نوشته شده باشه، نه به شکل bpm.shaaparak.ir! یه چند وقت پیش هم سایت گوگل قلابی که حرف G اول اون با یه حرف یونانی جابه جا شده بود، بسیار خبر ساز شد.

گوگل قلابی!

مورد سوم اینه که موقع تراکنشای آنلاین، واسه ورود رمزهای خود از صفحه کلید مجازی داخل صفحه استفاده کنین چون این صفحه کلیدها همیشه اعداد رو به صورت تصادفی جابه جا می کنن تا حدس زدن رمز واسه سارقان نشدنی شه.

در صورت درخواست مرورگر بر ذخیره کردن این جور رمزها، چه در زمان تراکنشای بانکی و چه در مورد پروفایلای اجتماعی خود، به اون توجهی نکنین، مخصوصا در وقتی که با دستگاهی غیر از کامپیوتر شخصی خود در حال انجام این امور هستین.

در آخر باید به اون دسته از وب مسترهایی که درباره به کار گیری قرارداد https دودل هستن یا به کار گیری اونو به تعویق میندازن باید بگیم که حتماً قرارداد https رو جانشین قرارداد http کنن. این کار نه فقط امنیت کلی تون رو بیشتر می کنه، بلکه اعتماد مخاطبان تون رو هم زیاد می کنه. مطمئناً کاربری که موقع ورود به یه سایت با قرارداد https مواجه بشه، با خیال راحت تری اطلاعات خود رو در اختیار اون سایت قرار میده.

مورد دیگری واسه اضافه کردن باقی مونده؟ ما رو از نظرات خود بی بهره نذارین !