تبلیغات
عشقه دو حرفی - پروتکل HTTPS چیست؟

HTTPS، پروتکل امن انتقال اطلاعات ابر متن هاست که برای انتقال اطلاعات رمز گذاری شده میان کامپیوترها از راه اینترنت به کار می رود.

 HTTPS همان HTTP است که از یک SSL استفاده می کند. SSL پروتکل رمز گذاری است که در وب سروری که از HTTPS استفاده می کند به کار گرفته می شود. یکی از دلایل مهم استفاده از HTTPS انجام خرید آن لاین و مبادله اطلاعات خصوصی از طریق اینترنت است.

 

SSL چیست؟

پروتکل (SSL (Socket Secure Layer ، یک استاندارد وب برای کدکردن اطلاعات بین کاربر و وب سایت است. اطلاعاتی که توسط یک اتصال SSL مبادله می شوند بصورت کد شده ارسال می شوند و بدین ترتیب اطلاعات مبادله شده از دزدیده شدن یا استراق سمع محافظت می شوند. SSL برای شرکتها و مشتریان این امکان را فراهم می کند که بتوانند با اطمینان اطلاعات خصوصی شان را مانند شماره کارت اعتباری، به یک وب سایت بطور محرمانه ارسال کنند. برای برقراری یک اتصال SSL به Web Server Certificateها نیاز می باشد.
 

SSL چگونه عمل می کند؟

زمانیکه اطلاعاتی ما بین یک سرویس دهنده و یک کاربر از روی شبکه اینترنت انتقال میابد این اطلاعات بصورت تمام متنی (Clear Text) است. این اطلاعات می تواند شامل یک نام کاربری ورمز عبور , شماره کارت (Sniffing) باشد و در بین راه به راحتی قابل دزدیده شدن کارت اعتباری , یک ایمیل و یا رمزحساب بانکی فرد باشد , که اگر دیگران آن را در اختیار داشته باشند می تواند پیش آمدهای بسیار ناگواری را در پی داشته باشد. اما زمانیکه سرویس دهنده مجهز به گواهینامه SSL باشد این اطلاعات از روی پورت استاندارد ۸۰ و پروتکل Http به پورت استاندارد ۴۴۳ و پروتکل Https منتقل می شود. این پروتکل باعث می شود که اطلاعاتی که ما بین کاربر و سرویس دهنده در حال رد و بدل شدن است رمزگذاری شود و حتی در صورت دستبرد در میان راه قابل خواندن نیست.به همین دلیل امنیت از طریق گواهی نامه امنیتی ۱۰۰% تضمین می شود و کاربران پایگاه اینترنتی شما اعم از فروشگاه ها و یا سایتهای تجارت الکترونیک با آسودگی خاطر می توانند از خدمات شما بهره مند گردند.

 

در شرایطی نیاز به پروتکل (Protocol) دیگری برای رد و بدل کردن اطلاعات است، مثلا اگر کاربر بخواهد به سایت یک بانک یا موسسات دیگر که نیاز به رد و بدل کردن اطلاعات به صورت رمزگذاری شده باشد از پروتکل دیگری بنام HTTPS استفاده می‌شود. این پروتکل که Secure HTTP نام دارد، تمام اطلاعات رد و بدل شده بین کاربر و سایت (سرور سایت) را بصورت رمزگذاری شده رد و بدل می‌کند، تا اطلاعات رد و بدل شده بین کاربر و سرور مربوطه برای دیگران قابل خواندن نباشد. با استفاده از این روش قبل از ارسال اطلاعات، داده‌ها رمزگذاری می‌شوند و سپس به سایت مربوطه ارسال می‌شوند. اطلاعات ارسالی کاربر پس از رسیدن به سایت رمز گشایی می‌شود و مجددا اگر نیاز به پاسخ به کاربر باشد باز هم اطلاعات به صورت رمزگذاری بازگشت داده می‌شود و تا زمانی که در قسمت آدرس نت براوزر شما علامت (HTTPS) مورد استفاده قرار گرفته باشد تمام اطلاعات رد و بدل شده بصورت رمزگذاری شده رد و بدل خواهد شد.
به همین خاطر هم هست که هرگاه بخواهیم سایتی را با این مشخصات باز کنیم نت براوزر با نمایش Certificate (گواهینامه) سایت مربوطه از ما سوال می‌کند که آیا به این گواهینامه اعتماد داریم یا نه.
شما می توانید برای بررسی گواهینامه سایت مربوطه، با تقه زدن روی دکمه View Certificate مشخصات گواهینامه را مشاهده کنید. تصویر مشخصات را اینجا ببینید.

 


برای استفاده صحیح از پروتکل (HTTPS) نیاز به یک Certificate (گواهینامه) هست. این گواهینامه‌ها را سایت‌ها با پرداخت پول به شرکت‌های شناخته شده و معتبر تهیه می‌کنند و در نتیجه شرکتی که این گواهینامه را صادر کرده باید شناخته شده باشد در غیر این صورت نمی‌توان به گواهینامه آن اعتماد کرد.

نمونه‌هایی از این گونه شرکت‌های صادر کننده گواهینامه:
http://www.verisign.com
http://www.globalsign.net/digital_certificate/index.cfm
http://certs.ipsca.com/?gclid=CIzWgO…FSYSQgodrC_5aw
در مقابل این گونه گواهینامه‌ها، گواهینامه‌های دیگری هم وجود دارند که سایت ها خود درست می‌کنند و با اینکه یک شرکت معتبر این گواهینامه را صادر نکرده باز هم اطلاعات بصورت رمزگذاری رد و بدل می‌شود. نکته اساسی در اینجا این است که کاربر باید خود تصمیم بگیرد که آیا اطلاعاتی که می‌خواهد رد و بدل کند تا چه اندازه حساس است و اینکه آیا حتما نیاز به یک گواهینامه معتبر است یا اینکه یک گواهینامه معمولی بدون پشتوانه معتبر هم کفایت می‌کند. مثلا در شرایطی یک کاربر می خواهد فقط برای مطالعه یک وبلاگ از این گواهینامه استفاده کند در نتیجه ممکن است اطلاعات رد و بدل شده تا این اندازه حساس نباشد که نیاز به یک گواهینامه شناخته شده معتبر از یک شرکت معتبر بین‌المللی باشد
.
در شرایطی که یک گواهینامه معتبر در دسترس نباشد، می‌توان با استفاده از گواهینامه‌های خود ساخته یک شرایط حداقلی را فراهم کرد. . ممکن است دوستان بپرسند که خوب این چه خاصیتی دارد، وقتی که نمی‌توان به گواهینامه اعتماد کرد!؟ در پاسخ باید گفت که اطلاعاتی که از این طریق رد و بدل می‌شود با اینکه معتبر نیست، ولی حداقل رمزگذاری شده و اگر خواننده به یک سایت و نویسنده آن اعتماد دارد می‌تواند به گواهینامه‌ای هم که آن سایت استفاده می‌کند اعتماد کند و با استفاده از این روش حداقل از دسترسی هکرها به این اطلاعات جلوگیری کند.

مهمترین تفاوت میان //:http با //:https

امنیت و حفظ اطلاعات مربوط به شماست. HTTP مخفف شده HyperText Transport Protocol است که به زبان ساده یک پروتکل (یک زبان) جهت رد و بدل اطلاعات میان سرور و کاربر است.

لغت S است که تفاوت میان HTTP و HTTPS را ایجاد می کند.

لغت S مخفف کمله Secure به معنی امن است.
در موقع ورود به وب سایت ها، به طور معمول عبارت //:
http در جلوی آدرس سایت ظاهر می شود. این بدین معناست که شما در حال بررسی سایت با استفاده از زبان معمول غیر امن هستید.

به زبان دیگر یعنی ممکن است شخص سومی (در اینجا شخص هر چیزی معنی می دهد، مانند برنامه کامپیوتری – هکر – …) در حال ثبت اطلاعات ارسال رد و بدل شده شما با وب سایتی که در آن حضور دارید، باشد.

در صورت پر کردن فرمی در وب سایت، شخصی ممکن است به اطلاعات وارد شده بوسیله شما دسترسی پیدا کند.

به این دلیل است که هرگز نباید اطلاعات کارت های اعتباری اینترنتی خود را از پروتکل //:http در سایت وارد کنید.

اما در صورت شروع شدن نام وب سایت با //:https، این بدین معناست که کامپیوتر شما در حال رد و بدل کردن اطلاعات با سایت با زبانی است که شخص دیگری قادر به استفاده از آن نیست

در اینجا چند نکته قابل تامل است؛

الف)  در //:https اطلاعات ابتدا به کد تبدیل شده و به سرور ارسال می گردد. سپس این کد در سرور رمز گشایی شده و به زبان قابل فهم بر می گردد. این کار مقداری زمان بر بوده و بنابراین سرع //:https از سرعت //:http کمتر است.
ب) تعداد از شرکت های امنیتی مانند
Verisign و Goddady این سرویس را ارائه می دهند که جهت تبدیل اطلاعات سروری که شما به آن متصل شده اید به این سرور ها مراجعه می کند.
پ) بعد از وارد شدن با پروتکل //:
https، اطلاعاتی در رابطه با امنیت اعمال شده در سایت و گروه ارائه دهنده این امنیت نمایش داده می شود. این اطلاعات معمولا (در اکثر مرورگر ها) بصورت قفلی در پایین صفحه موجود بوده و بعد از کلیک بر روی آن این اطلاعات را مشاهده خواهید کرد.
ث) در هنگام ورود به این سایت ها حمتاً به اطلاعات امنیتی توجه کنید. ممکن است امنیت در کار نبوده و همه اینها با برنامه نویسی ساده ای برای شما نمایش داده شود.
ج) جهت داشتن //:
https هزینه ای ماهانه باید پرداخت گردد که بر اساس سرعت آن (۱۲۸kb یا ۲۶۵kb یا …) متفاوت است. هر چه سرعت بیشتر، صاحب سرور باید هزینه بیشتری پرداخت کند.
چ) چون اطلاعات بصورت کد رد و بدل می شود نرم افزار ف ی ل ت ر ی ن گ قادر به خواندن اطلاعات خواسته شده توسط کاربر نداشته و ف ی ل ت ر ی بر آن اعمال نمی کند.
ح) پروتکل //:https
معمولاً برای بانک ها، ایجاد حساب کاربری و ورود کاربری به پورتال ها – سرویس دهنده ها پیغام الکترونیکی – ..، خرید اینترنتی و فروشگاه های اینترنتی، ورود به صفحات با اطلاعات سری و مهم و غیره استفاده می شود.
در صورت نیاز به وارد کردن اطلاعات مهم مانند اطلاعات کارت های اعتباری، ابتدا به ابتدای آدرس اینترنتی صفحه توجه کرده و در صورت شروع شدن با //:
https آنها را وارد کنید.



تاریخ : جمعه 16 فروردین 1392 | 03:47 ب.ظ | نویسنده : mahnaz tabakh | نظرات