امن سرور / شاید درباره گواهی HTTPS زیاد شنیده باشید و اینکه چطور موجب امن شدن وبگردیهای روزانهمان میشود، اما تا بحال این سوال برایتان پیش آمده که این گواهی چطور کار میکند؟
گواهی یاد شده با نام های زیادی از جمله HTTPS، نماد قفل در آدرس بار یا اتصال رمزگذاری شده وبسایتها شناخته می شود. با اینکه اوایل برای رمزهای عبور و اطلاعات حساس به وجود آمد، اما به تدریج تمام دنیای وب در حال جایگزینی ارتباط HTTP خود به HTTPS هستند.
حرف S در HTTPS نماینده کلمه Secure به معنای امن است. این نسخه امنی از Hypertext Transfer Protocol است که مرورگر شما هنگام برقراری ارتباط با وبسایتها از آن استفاده میکند.
چرا HTTP خطرناک است؟
وقتی شما به وبسایتی با پیش آدرس HTTP متصل شوید، مرورگرتان به دنبال آیپی مخصوص آن وبسایت میگردد، شما را به آن وصل میکند و به گمان خودش شما را به وب سرور درستی متصل کرده است. اطلاعات بصورت یک متن از طریق این اتصال ارسال میشود. یک فالگوش در شبکه وای فای، سرویسدهنده اینترنت شما یا سازمانهای جاسوسی دولتی مانند NSA میتوانند صفحاتی که بازدید میکنید و اطلاعاتی که رد و بدل میشود را ببینند.
وقتی شما به وبسایتی با پیش آدرس HTTP متصل شوید، مرورگرتان به دنبال آیپی مخصوص آن وبسایت میگردد، شما را به آن وصل میکند و به گمان خودش شما را به وب سرور درستی متصل کرده است. اطلاعات بصورت یک متن از طریق این اتصال ارسال میشود. یک فالگوش در شبکه وای فای، سرویسدهنده اینترنت شما یا سازمانهای جاسوسی دولتی مانند NSA میتوانند صفحاتی که بازدید میکنید و اطلاعاتی که رد و بدل میشود را ببینند.
مشکلات بزرگی در این نوع اتصال وجود دارد. هیچ روشی برای اطمینان به وبسایتی که متصل شدهاید وجود ندارد. شاید شما فکر میکنید به سایت بانک خود وصل شدهاید، اما در واقع روی یک شبکه خطرناک قرار دارید که شما را به یک وبسایت فریبکار هدایت میکند. رمزهای عبور و اطلاعات کارتهای اعتباری به هیچ عنوان نباید از طریق اتصال HTTP وارد شوند، زیرا به راحتی توسط فالگوشها قابل دزدیدن هستند.
این مشکلات به این خاطر رخ میدهند که HTTP رمزگذاری نشده است. اما HTTPS رمزگذاری شده است.
چگونه رمزگذاری HTTPS از شما محافظت میکند؟
HTTPS از HTTP امنتر است. وقتی مثلا هنگام پرداخت به سرور امن HTTPS هدایت شوید، مرورگر، گواهی امنیتی وبسایت را بررسی و صحت آن را تایید میکند. با این کار مطمئن میشوید اگر در آدرس بار شما عبارتی مانند https://bank.com نوشته شده، پس به وبسایت واقعی بانک وصل شدهاید. شرکتی که گواهی امنیتی را صادر کند، صحت آن را نیز تضمین میکند. متاسفانه گاهی گواهیهای نامعتبری هم صادر میشود که سیستم را خراب میکند. با اینکه HTTPS کامل نیست اما هنوز هم بهتر از HTTP عمل میکند.
HTTPS از HTTP امنتر است. وقتی مثلا هنگام پرداخت به سرور امن HTTPS هدایت شوید، مرورگر، گواهی امنیتی وبسایت را بررسی و صحت آن را تایید میکند. با این کار مطمئن میشوید اگر در آدرس بار شما عبارتی مانند https://bank.com نوشته شده، پس به وبسایت واقعی بانک وصل شدهاید. شرکتی که گواهی امنیتی را صادر کند، صحت آن را نیز تضمین میکند. متاسفانه گاهی گواهیهای نامعتبری هم صادر میشود که سیستم را خراب میکند. با اینکه HTTPS کامل نیست اما هنوز هم بهتر از HTTP عمل میکند.
هنگامی که اطلاعات حساسی را از طریق HTTPS منتقل کنید، هیچ فالگوشی نمیتواند آنها را هنگام انتقال ببیند. HTTPS چیزی است که امنیت بانکداری آنلاین و خرید را ممکن میکند.
این پروتکل همچنین وبگردی امنتری را نیز به ارمغان میآورد. برای مثال، موتور جستجوی گوگل اکنون بطور پیشفرض از HTTPS استفاده میکند. این بدان معنی است که افراد نمیتوانند ببینند شما چه چیزی را سرچ میکند. این امکان در ویکی پدیا و دیگر سایتها نیز وجود دارد. قبلا، سرویسدهنده اینترنت و هرکس که در شبکه وایفای شما وجود داشت میتوانست نتایج جستجوی شما را ببیند.
چرا همه میخواهند HTTP را پشت سر بگذارند؟
HTTPS در ابتدا برای رمزهای عبور، پرداختها و دیگر اطلاعات حساس طراحی شد، اما اکنون تمام وب میخواهند به سمت آن بروند.
HTTPS در ابتدا برای رمزهای عبور، پرداختها و دیگر اطلاعات حساس طراحی شد، اما اکنون تمام وب میخواهند به سمت آن بروند.
در آمریکا، سرویسدهنده اینترنت شما میتواند تاریخچه وبگردی شما را ببیند و آن را به تبلیغاتچیها بفروشد. اگر دنیای وب از HTTPS استفاده کند، سرویسدهنده اینترنت نمیتواند صفحاتی را که بازدید میکنید ببیند و نظارت آنها فقط به نام وبسایتها محدود میشود. این به معنی حریم خصوصی بیشتر برای شما است.
از آن بدتر، سرویسدهنده اینترنت میتواند با صفحاتی که بازدید میکنید دست به یکی کرده و اطلاعات آن صفحه را اضافه، ویرایش یا حتی حذف کند. به عنوان مثال، ISP شما میتواند از این روش برای نمایش بیشتر تبلیغات به شما استفاده کند. در حال حاضر، Comcast هشدارهای مربوط به پهنای باند را به صفحات اضافه میکند و Verizon از این روش برای ردیابی تبلیغاتی خود استفاده میکند. HTTPS از دستکاری صفحات توسط سرویسدهندههای اینترنت و هرکس دیگری جلوگیری میکند.
و البته نمیتوان درباره رمزنگاری وب صحبت کرد و سخنی از ادوارد اسنودن به میان نیاورد. اسنادی که ادوارد اسنودن در سال 2013 منتشر کرد نشان میدهد دولت ایالات متحده آمریکا صفحاتی را که مردم سراسر دنیا بازدید میکنند بررسی و مانیتور میکند. این افشای اسناد باعث شد بسیاری از شرکتهای بزرگ به سمت رمزنگاری و افزایش امنیت حریم خصوصی بروند. با حرکت به سمت HTTPS دولتهای سراسر دنیا به سختی میتواند فعالیتهای اینترنتی شما را ردیابی کنند.
چرا مرورگرها میخواهند وبسایتها HTTP را فراموش کنیم؟
بخاطر حرکت وبسایتها به سمت HTTPS، تمام استانداردهای جدید طراحی وب برای بارگزاری سریعتر نیاز به رمزنگاری HTTPS دارند. HTTP/2 یک نسخه جدید از پروتکل HTTP است که توسط تمامی مرورگرهای بزرگ پشتیبانی میشود. این نسخه، فشردهسازی و دیگر ویژگیهایی را که باعث میشود صفحات سریعتر لود شوند به وبگردی شما اضافه میکند. همه مرورگرها برای استفاده از این ویژگیهای جدید پروتکل HTTP/2 نیاز به سایتهایی دارند که از رمزنگاری HTTPS استفاده کرده باشند. دیوایسهای جدید نیز سختافزار اختصاصی برای پردازش AES دارند که HTTP به آن نیاز دارد. در نتیجه، HTTPS باید از HTTP سریعتر باشد.
بخاطر حرکت وبسایتها به سمت HTTPS، تمام استانداردهای جدید طراحی وب برای بارگزاری سریعتر نیاز به رمزنگاری HTTPS دارند. HTTP/2 یک نسخه جدید از پروتکل HTTP است که توسط تمامی مرورگرهای بزرگ پشتیبانی میشود. این نسخه، فشردهسازی و دیگر ویژگیهایی را که باعث میشود صفحات سریعتر لود شوند به وبگردی شما اضافه میکند. همه مرورگرها برای استفاده از این ویژگیهای جدید پروتکل HTTP/2 نیاز به سایتهایی دارند که از رمزنگاری HTTPS استفاده کرده باشند. دیوایسهای جدید نیز سختافزار اختصاصی برای پردازش AES دارند که HTTP به آن نیاز دارد. در نتیجه، HTTPS باید از HTTP سریعتر باشد.
هرچه مرورگرها HTTPS را با ویژگیهای جدید جذابتر میکنند، گوگل با پنالتی وبسایتهایی که از HTTP استفاده میکنند، آن را برایمان منفورتر میکند. گوگل برنامه دارد وبسایتهایی را که از HTTP استفاده میکنند، نا امن نشان دهد و آنهایی را که از HTTPS استفاده میکنند، در رتبههای صفحات نتایج خود قرار دهد. این کار انگیزهای قوی برای مهاجرت وبسایتها به HTTPS فراهم میکند.
چگونه متوجه شویم به وبسایتی با گواهی HTTPS متصل شدیم؟
اگر آدرس اینترنتی نوار بالای مرورگرتان با https:// آغاز شده باشد، میتوانیم بگوییم شما به وبسایت با گواهی SSL یا همان HTTPS متصل شدهاید. همچنین آیکون قفلی میبینید که اگر اطلاعات بیشتری درباره امینت وبسایت بدانید، میتوانید به روی آن کلیک کنید.
اگر آدرس اینترنتی نوار بالای مرورگرتان با https:// آغاز شده باشد، میتوانیم بگوییم شما به وبسایت با گواهی SSL یا همان HTTPS متصل شدهاید. همچنین آیکون قفلی میبینید که اگر اطلاعات بیشتری درباره امینت وبسایت بدانید، میتوانید به روی آن کلیک کنید.
شاید ظاهر این گواهینامه در مرورگرهای مختلف، تفاوت داشته باشد، اما https:// و آیکون قفل بطور مشترک در همه مرورگرها وجود دارد. برخی مرورگرها، https:// را مخفی میکنند و شما فقط آیکون قفل را در کنار آدرس میبینید. با این حال، اگر داخل آدرس کلیک یا تپ کنید، https:// را به عنوان قسمتی از آدرس اینترنتی میبینید.
اگر از طریق شبکهای ناشناس به سایت بانکی خود وصل شدهاید، مطمئن شوید که سایت بانک از گواهی HTTPS استفاه میکند و آدرس بانک نیز درست است. با اینکه این روش به شما کمک میکند سایتهای متخلف را بشناسید، اما راهحل کاملی نیست. اگر HTTPS را ندیدید، احتمالا به یک سایت متخلف در شبکهای آسیبدیده وصل شدهاید.
مراقب ترفندهای فیشینگ باشید
وجود HTTPS به خودی خود تضمینکننده امنیت و مشروعبودن یک وبسایت نیست. بعضی از فیشرهای حرفهای میدانند کاربران به دنبال HTTPS و علامت قفل هستند و خب، ازروشهایی برای پوشاندن لباس مبدل به سایتهایشان استفاده میکنند تا کاربر را فریب دهند. پس شما باید همیشه مراقب باشید. روی لینک ایمیلهای فیشینگ کلیک نکنید زیرا ممکن است به یک وبسایت فیشینگ که حرفهای طراحی شده است، هدایت شوید. اسکمرها هم میتوانند برای سرورهای خود گواهی SSL یا HTTPS بگیرند. روی کاغذ، آنها فقط وبسایتهایی را که مالکیتشان به آنها تعلق ندارد، نمیتوانند جعل کنند. ممکن است آدرسهایی شبیه این را دیده باشید: https://google.com.3526347346435.com. در این مورد، شما هنگام اتصال گواهی HTTPS را میبینید اما در واقع به ساب دومین سایتی با آدرس 3526347346435.com وصل شدهاید نه گوگل.
وجود HTTPS به خودی خود تضمینکننده امنیت و مشروعبودن یک وبسایت نیست. بعضی از فیشرهای حرفهای میدانند کاربران به دنبال HTTPS و علامت قفل هستند و خب، ازروشهایی برای پوشاندن لباس مبدل به سایتهایشان استفاده میکنند تا کاربر را فریب دهند. پس شما باید همیشه مراقب باشید. روی لینک ایمیلهای فیشینگ کلیک نکنید زیرا ممکن است به یک وبسایت فیشینگ که حرفهای طراحی شده است، هدایت شوید. اسکمرها هم میتوانند برای سرورهای خود گواهی SSL یا HTTPS بگیرند. روی کاغذ، آنها فقط وبسایتهایی را که مالکیتشان به آنها تعلق ندارد، نمیتوانند جعل کنند. ممکن است آدرسهایی شبیه این را دیده باشید: https://google.com.3526347346435.com. در این مورد، شما هنگام اتصال گواهی HTTPS را میبینید اما در واقع به ساب دومین سایتی با آدرس 3526347346435.com وصل شدهاید نه گوگل.
برخی اسکمرها شاید فاوآیکون سایت خود را به نماد قفل تغییر دهند تا به این صورت شما را گول بزنند. علاوه گواهی HTTPS، مراقب حقههای اینچنینی هم باشید تا اطلاعاتتان به سرقت نرود.
امن سرور
امن سرور