شايد درباره گواهي HTTPS زياد شنيده باشيد و اينكه چطور موجب امن شدن وبگرديهاي روزانهمان ميشود، اما تا بحال اين سوال برايتان پيش آمده كه اين گواهي چطور كار ميكند؟
گواهي ياد شده با نام هاي زيادي از جمله HTTPS، نماد قفل در آدرس بار يا اتصال رمزگذاري شده وبسايتها شناخته مي شود. با اينكه اوايل براي رمزهاي عبور و اطلاعات حساس به وجود آمد، اما به تدريج تمام دنياي وب در حال جايگزيني ارتباط HTTP خود به HTTPS هستند.
حرف S در HTTPS نماينده كلمه Secure به معناي امن است. اين نسخه امني از Hypertext Transfer Protocol است كه مرورگر شما هنگام برقراري ارتباط با وبسايتها از آن استفاده ميكند.
چرا HTTP خطرناك است؟
وقتي شما به وبسايتي با پيش آدرس HTTP متصل شويد، مرورگرتان به دنبال آيپي مخصوص آن وبسايت ميگردد، شما را به آن وصل ميكند و به گمان خودش شما را به وب سرور درستي متصل كرده است. اطلاعات بصورت يك متن از طريق اين اتصال ارسال ميشود. يك فالگوش در شبكه واي فاي، سرويسدهنده اينترنت شما يا سازمانهاي جاسوسي دولتي مانند NSA ميتوانند صفحاتي كه بازديد ميكنيد و اطلاعاتي كه رد و بدل ميشود را ببينند.
مشكلات بزرگي در اين نوع اتصال وجود دارد. هيچ روشي براي اطمينان به وبسايتي كه متصل شدهايد وجود ندارد. شايد شما فكر ميكنيد به سايت بانك خود وصل شدهايد، اما در واقع روي يك شبكه خطرناك قرار داريد كه شما را به يك وبسايت فريبكار هدايت ميكند. رمزهاي عبور و اطلاعات كارتهاي اعتباري به هيچ عنوان نبايد از طريق اتصال HTTP وارد شوند، زيرا به راحتي توسط فالگوشها قابل دزديدن هستند.
اين مشكلات به اين خاطر رخ ميدهند كه HTTP رمزگذاري نشده است. اما HTTPS رمزگذاري شده است.
چگونه رمزگذاري HTTPS از شما محافظت ميكند؟
HTTPS از HTTP امنتر است. وقتي مثلا هنگام پرداخت به سرور امن HTTPS هدايت شويد، مرورگر، گواهي امنيتي وبسايت را بررسي و صحت آن را تاييد ميكند. با اين كار مطمئن ميشويد اگر در آدرس بار شما عبارتي مانند https://bank.com نوشته شده، پس به وبسايت واقعي بانك وصل شدهايد. شركتي كه گواهي امنيتي را صادر كند، صحت آن را نيز تضمين ميكند. متاسفانه گاهي گواهيهاي نامعتبري هم صادر ميشود كه سيستم را خراب ميكند. با اينكه HTTPS كامل نيست اما هنوز هم بهتر از HTTP عمل ميكند.
هنگامي كه اطلاعات حساسي را از طريق HTTPS منتقل كنيد، هيچ فالگوشي نميتواند آنها را هنگام انتقال ببيند. HTTPS چيزي است كه امنيت بانكداري آنلاين و خريد را ممكن ميكند.
اين پروتكل همچنين وبگردي امنتري را نيز به ارمغان ميآورد. براي مثال، موتور جستجوي گوگل اكنون بطور پيشفرض از HTTPS استفاده ميكند. اين بدان معني است كه افراد نميتوانند ببينند شما چه چيزي را سرچ ميكند. اين امكان در ويكي پديا و ديگر سايتها نيز وجود دارد. قبلا، سرويسدهنده اينترنت و هركس كه در شبكه وايفاي شما وجود داشت ميتوانست نتايج جستجوي شما را ببيند.
چرا همه ميخواهند HTTP را پشت سر بگذارند؟
HTTPS در ابتدا براي رمزهاي عبور، پرداختها و ديگر اطلاعات حساس طراحي شد، اما اكنون تمام وب ميخواهند به سمت آن بروند.
در آمريكا، سرويسدهنده اينترنت شما ميتواند تاريخچه وبگردي شما را ببيند و آن را به تبليغاتچيها بفروشد. اگر دنياي وب از HTTPS استفاده كند، سرويسدهنده اينترنت نميتواند صفحاتي را كه بازديد ميكنيد ببيند و نظارت آنها فقط به نام وبسايتها محدود ميشود. اين به معني حريم خصوصي بيشتر براي شما است.
از آن بدتر، سرويسدهنده اينترنت ميتواند با صفحاتي كه بازديد ميكنيد دست به يكي كرده و اطلاعات آن صفحه را اضافه، ويرايش يا حتي حذف كند. به عنوان مثال، ISP شما ميتواند از اين روش براي نمايش بيشتر تبليغات به شما استفاده كند. در حال حاضر، Comcast هشدارهاي مربوط به پهناي باند را به صفحات اضافه ميكند و Verizon از اين روش براي رديابي تبليغاتي خود استفاده ميكند. HTTPS از دستكاري صفحات توسط سرويسدهندههاي اينترنت و هركس ديگري جلوگيري ميكند.
و البته نميتوان درباره رمزنگاري وب صحبت كرد و سخني از ادوارد اسنودن به ميان نياورد. اسنادي كه ادوارد اسنودن در سال 2013 منتشر كرد نشان ميدهد دولت ايالات متحده آمريكا صفحاتي را كه مردم سراسر دنيا بازديد ميكنند بررسي و مانيتور ميكند. اين افشاي اسناد باعث شد بسياري از شركتهاي بزرگ به سمت رمزنگاري و افزايش امنيت حريم خصوصي بروند. با حركت به سمت HTTPS دولتهاي سراسر دنيا به سختي ميتواند فعاليتهاي اينترنتي شما را رديابي كنند.
چرا مرورگرها ميخواهند وبسايتها HTTP را فراموش كنيم؟
بخاطر حركت وبسايتها به سمت HTTPS، تمام استانداردهاي جديد طراحي وب براي بارگزاري سريعتر نياز به رمزنگاري HTTPS دارند. HTTP/2 يك نسخه جديد از پروتكل HTTP است كه توسط تمامي مرورگرهاي بزرگ پشتيباني ميشود. اين نسخه، فشردهسازي و ديگر ويژگيهايي را كه باعث ميشود صفحات سريعتر لود شوند به وبگردي شما اضافه ميكند. همه مرورگرها براي استفاده از اين ويژگيهاي جديد پروتكل HTTP/2 نياز به سايتهايي دارند كه از رمزنگاري HTTPS استفاده كرده باشند. ديوايسهاي جديد نيز سختافزار اختصاصي براي پردازش AES دارند كه HTTP به آن نياز دارد. در نتيجه، HTTPS بايد از HTTP سريعتر باشد.
هرچه مرورگرها HTTPS را با ويژگيهاي جديد جذابتر ميكنند، گوگل با پنالتي وبسايتهايي كه از HTTP استفاده ميكنند، آن را برايمان منفورتر ميكند. گوگل برنامه دارد وبسايتهايي را كه از HTTP استفاده ميكنند، نا امن نشان دهد و آنهايي را كه از HTTPS استفاده ميكنند، در رتبههاي صفحات نتايج خود قرار دهد. اين كار انگيزهاي قوي براي مهاجرت وبسايتها به HTTPS فراهم ميكند.
چگونه متوجه شويم به وبسايتي با گواهي HTTPS متصل شديم؟
اگر آدرس اينترنتي نوار بالاي مرورگرتان با https:// آغاز شده باشد، ميتوانيم بگوييم شما به وبسايت با گواهي SSL يا همان HTTPS متصل شدهايد. همچنين آيكون قفلي ميبينيد كه اگر اطلاعات بيشتري درباره امينت وبسايت بدانيد، ميتوانيد به روي آن كليك كنيد.
شايد ظاهر اين گواهينامه در مرورگرهاي مختلف، تفاوت داشته باشد، اما https:// و آيكون قفل بطور مشترك در همه مرورگرها وجود دارد. برخي مرورگرها، https:// را مخفي ميكنند و شما فقط آيكون قفل را در كنار آدرس ميبينيد. با اين حال، اگر داخل آدرس كليك يا تپ كنيد، https:// را به عنوان قسمتي از آدرس اينترنتي ميبينيد.
اگر از طريق شبكهاي ناشناس به سايت بانكي خود وصل شدهايد، مطمئن شويد كه سايت بانك از گواهي HTTPS استفاه ميكند و آدرس بانك نيز درست است. با اينكه اين روش به شما كمك ميكند سايتهاي متخلف را بشناسيد، اما راهحل كاملي نيست. اگر HTTPS را نديديد، احتمالا به يك سايت متخلف در شبكهاي آسيبديده وصل شدهايد.
مراقب ترفندهاي فيشينگ باشيد
وجود HTTPS به خودي خود تضمينكننده امنيت و مشروعبودن يك وبسايت نيست. بعضي از فيشرهاي حرفهاي ميدانند كاربران به دنبال HTTPS و علامت قفل هستند و خب، ازروشهايي براي پوشاندن لباس مبدل به سايتهايشان استفاده ميكنند تا كاربر را فريب دهند. پس شما بايد هميشه مراقب باشيد. روي لينك ايميلهاي فيشينگ كليك نكنيد زيرا ممكن است به يك وبسايت فيشينگ كه حرفهاي طراحي شده است، هدايت شويد. اسكمرها هم ميتوانند براي سرورهاي خود گواهي SSL يا HTTPS بگيرند. روي كاغذ، آنها فقط وبسايتهايي را كه مالكيتشان به آنها تعلق ندارد، نميتوانند جعل كنند. ممكن است آدرسهايي شبيه اين را ديده باشيد: https://google.com.3526347346435.com. در اين مورد، شما هنگام اتصال گواهي HTTPS را ميبينيد اما در واقع به ساب دومين سايتي با آدرس 3526347346435.com وصل شدهايد نه گوگل.
برخي اسكمرها شايد فاوآيكون سايت خود را به نماد قفل تغيير دهند تا به اين صورت شما را گول بزنند. علاوه گواهي HTTPS، مراقب حقههاي اينچنيني هم باشيد تا اطلاعاتتان به سرقت نرود.