اینترنت جذاب ترین و بزرگترین تکنولوژی ارتباطی که بشر تا کنون ایجاد کرده است. ما کاربران جهانی اینترنت روزانه بیش از صدها صفحه وب با پروتکل http و https مشاهده می کنیم و بیش از هر چیز در ابتدای آدرس یک سایت این پروتکل ها را مشاهده می کنیم . اما خیلی محدود کاربران تفاوت این دو پروتکل را میداند. خیلی ساده و بدون فکر کردن به آن صفحه وب را باز و بسته می کنند. در این مقاله شما را با چیستی و تفاوت این دو پروتکل وب آشنا خواهیم کرد.
تفاوت پروتکل های HTTP و HTTPS مربوط به امنیت آنها می باشد. همانطور که در تعریف این دو پروتکل می بینم پروتکل HTTPS پروتکل امن انتقال ابر متن ترجمه شده است. پس از لحاظ امنیت برتر از پروتکل HTTP است. http از لحاظ امنیتی برای کارهایی که به اطلاعات حساس از جمله حسابهای بانکی و رمزهای مشتریان مربوط می شود اصلا مناسب نیست، از این رو بانک ها و فروشگاههای اینترنتی و در کل سایتهایی که امنیت کاربران برایشان اهمیت زیادی دارد، از پروتکلی دیگر به نام HTTPS یا Hyper Text Transfer Protocol Secure بدین منظور استفاده می کنند.
تمامی وب سايت های موجود بر روی اينترنت از پروتكل HTTP استفاده می نمايند . با اين كه پروتكل HTTP با استفاده از پروتكل های ديگری نظير IP و TCP ماموريت خود را انجام می دهد ، ولی اين پروتكل HTTP است كه به عنوان زبان مشترك ارتباطی بين سرويس گيرنده و سرويس دهنده وب به رسميت شناخته شده و از آن استفاده می گردد . در واقع مرورگر وب صدای خود را با استفاده از پروتكل HTTP به گوش سرويس دهنده وب رسانده و از وی درخواست يك صفحه وب را می نمايد.
به منظور انجام يك تراكنش موفقيت آميز بين سرويس گيرندگان وب ( نظير IE ) و سرويس دهندگان وب ( نظير IIS ) ، به اطلاعات زيادی نياز خواهد بود . پس از handshake پروتكل TCP/IP ، مرورگر اطلاعات گسترده ای را برای سرويس دهنده وب ارسال می نمايد .
پروتکل https مانند پروتکل http پروتکلی ست برای استفاده از وب سایت ها اما تفاوت https با http در این است که https میان کلاینت کاربر و سرور وب اطلاعات را رمز نگاری می کند و این رمز نگاری توسط certificate ای که آن سایت به شما می دهد اتفاق می افتد . اما در صورت استفاده از پروتکل http دیتای تبادل شده ی شما به سرور وب به صورت plain text تبادل شده و اگر شخصی میان کلاینت شما و به ظور مثال مودم خط ارتباطی اینترنتی شما…
پروتکل HTTPS چیست و چه فرقی با HTTP دارد؟
HTTPS پروتکلی است که در بستر آن امکان رمزنگاری (encrypt) اطلاعات فراهم می شود، به لحاظ تخصصی در HTTP پورت 80 مورد استفاده قرار می گیرد، در حالی که در HTTPS این پورت 443 است؛ از طرفی همانطور که گفتیم در HTTP داده ها به صورت متن ساده یا plain text هستند اما در HTTPS رمزنگاری داده ها به وسیله SSL انجام می شود.
ssl به چه معناست؟
ssl مخففی است از سرواژه های Secure Sockets Layer و در اصطلاح به سیستم امن و رمزی انتقال داده اطلاق می شود، ssl را ابتدا شرکت Netscape به منظور نقل و انتقال امن و رمزی اطلاعات ایجاد نمود و اکنون تقریبا تمام مرورگرهای استاندارد از جمله فایر فاکس، اینترنت اکسپلورر، اپرا، گوگل کروم و سافاری آن را پشتیبانی می کنند؛ همچنین در این رابطه شرکتهایی وجود دارند که گواهی ssl ارائه می کنند.
شیوه رمزنگاری اطلاعات در ssl به چه صورت است؟
در یک بیان ساده، پس از برقراری اتصال امن، ssl اطلاعات را به وسیله دو کلید رمزنگاری می کند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.
چگونه از استفاده کردن یک سایت از پروتکل امن اطمینان حاصل کنیم؟
چند فاکتور در تعیین معتبر بودن گواهی یک سایت نقش دارند، اول از همه کلید کوچکی است که در مرورگرهای مختلف با کمی اختلاف در مکان و شکل، نشان داده می شود، برخی از مرورگرها در نسخه های جدید خود پس از برقراری یک اتصال امن، نوار آدرس را به رنگ سبز نیز نشان می دهند؛ فاکتور دیگر وجود عبارت https در ابتدای آدرس آن سایت است.
چرا در برخی از سایت ها، مرورگر تقاضای تایید اعتبار می کند؟
بعضا ممکن است با صفحاتی روبرو شده باشید که مرورگر نسبت به منقضی شدن اعتبار گواهی ارتباط امن آن، به شما هشدار دهد، این اتفاق به چند دلیل ممکن است رخ دهد، یکی اینکه گواهی آن سایت واقعا به پایان رسیده و تمدید نشده باشد، دوم اینکه تاریخ سیستم شما از زمان حقیقی، عقب تر یا حتی جلوتر باشد، دلیل سوم هم می تواند به مسائل فنی صفحه و ترکیب اشتباه داده های عادی با داده های رمزنگاری شده مربوط باشد که این عامل به مسائل فنی سایت ارتباط دارد.
چگونه برای سایت خود گواهی ssl تهیه کنیم؟
برای داشتن یک ارتباط امن در بستر HTTPS برای سایت خود، نیاز به گواهی معتبر ssl دارید، این گواهی از طریق نمایندگی ها و سرویس دهنده های هاست نیز قابل خریداری است، علاوه بر این به سروری با قابلیت پشتیانی از ssl و یک ip اختصاصی احتیاج خواهید داشت.
پروتکل امن انتقال ابرمتن یا HTTPS (به انگلیسی: Hypertext Transfer Protocol Secure) یک پروتکل امن برای انتقال اطلاعات در شبکههای کامپیوتری میباشد که به صورت خاص برای استفاده در اینترنت توسعه یافته است. این استاندارد در واقع به خودی خود یک پروتکل نیست، بلکه با قرار گرفتن HTTP بر روی پروتکل امنیت لایه انتقا بهوجود آمدهاست. بهاینترتیب امنیت موجود در پروتکل امنیت لایهٔ انتقال به ارتباطات HTTP افزوده شدهاست.
داده مربوط به پروتكل لايه application ( در اين مورد خاص پروتكل HTTP ) ، پس از هدر TCP/IP قرار می گيرد . جدول زير برخی اطلاعات مبادله شده بين سرويس گيرنده و سرويس دهنده وب را نشان می دهد .
عملكرد |
نوع اطلاعات |
سرويس گيرنده وب يك درخواست GET را برای سرويس دهنده وب ارسال و از وی درخواست اطلاعاتی را با استفاده از پروتكل HTTP 1.1 می نمايد. |
GET /HTTP/1.1 |
وب سايتی است كه سرويس گيرنده قصد ارتباط با آن را دارد . |
Host: |
به سرويس دهنده وب ، نوع نرم افزار سرويس گيرنده ( در اين مورد خاص Mozilla version 5.0 ) و نوع سيستم عامل نصب شده بر روی كامپيوتر ( در اين مورد خاص Windows version NT 5.1 و يا همان ويندوز XP ) اعلام می گردد. |
User-agent: |
نوع character set استفاده شده به سرويس دهنده اعلام می گردد ( در اين مورد خاص از en:us و نسخه شماره 10 . 7 . 1 استفاده شده است ) . |
en-US; rv: 1.7.10) |
نام مرورگر استفاده شده توسط سرويس گيرنده به سرويس دهنده وب اعلام می گردد ( در اين مورد خاص از مرورگر FireFox استفاده شده است ) . |
Gecko/20050716 Firefox/1.0.6 |
سرويس گيرنده به سرويس دهنده وب فرمت اطلاعاتی را كه می تواند دريافت نمايد ، اعلام می نمايد ( در اين مورد خاص هم برای متن و هم برای application از فرمت xml استفاده می گردد ) . |
Accept: |
سرويس گيرنده به سرويس دهنده نوع فرمت متن دريافتی را اعلام می نمايد ( در اين مورد خاص html و يا plain text ) . |
text/html; q=0.9, text/plain; q=0.8, image/png, */*;q=0.5 |
ليست character set كه سرويس گيرنده وب قادر به فهم آنان است، اعلام می گردد ( در اين مورد خاص ISO-8859 , و يا utf-8 ) . |
Accept-Charset: |
به سرويس دهنده وب مدت زمان نگهداری session اعلام می گردد ( در اين مورد خاص 300 ثانيه ) . |
Keep-Alive: |
cookie و مقدار مربوطه به آن اعلام می گردد. كوكی يك متن اسكی فلت می باشد كه اطلاعات متفاوتی را در خود نگهداری می نمايد . |
Cookie: PREF=ID=01a0822454acb293: LD=en:TM=1121638094�.. |
User agent نوع مرورگر و سيستم عامل سرويس گيرنده را مشخص می نمايد و اين موضوع می تواند مواد اوليه لازم برای تدارك برخی حملات توسط مهاجمان را تامين نمايد .
HTTPS برای اطمینان از هویت سیستمهای درون شبکه، از گواهیهای X.۵۰۹ استفاده میکند. بنابراین وجود مرجع صدور گواهی دیجیتال برای ایجاد گواهی، تشخیص اعتبار، امضا و مدیریت گواهیها ضروری است. البته تحقیقات انجام شده در سال ۲۰۱۳ نشان داد که مسألهٔ وجود مراجع صدور گواهی، خود به عنوان تهدید امنیتی مطرح میشود. سوءاستفادهٔ دولتها از گواهیهای غیر مجاز و انجام حملات مرد میانی از جمله این تهدیدها است.
در نسخهٔ رایج پروتکل HTTPS امکان شناسایی وبگاهها وجود دارد. این امر جلوی حملات مرد میانیرا میگیرد. همچنین رمزگذاری ۲طرفه بین کلاینت(یا کارخواه) و سرور (یا کارگذار) از حملات شنود و تغییر بدون اجازه جلوگیری میکند. در عمل، این ویژگیها باعث میشود تا این پروتکل بتواند تا حد زیادی امنیت ارتباط کاربران را تامین نماید.
در ابتدا از این پروتکل فقط برای انجام تراکنشهای بانکی، ارسال ایمیلهای مهم و کارهای حساس دیگر بر روی وب جهانی استفاده میشد اما با گذشت زمان، استفاده از آن بیشتر و بیشتر میشود.امن کردن ارتباطات کاربران، شناسایی وبگاههای معتبر و مخفی کردن هویت کاربران از جمله استفادههای نوین این پروتکل است. البته باید توجه داشت که امنیت کامل کاربران تنها در صورتی تامین میشود که تمامی محتویات وبگاه از طریق همین پروتکل منتقل شود. منابعی مانند فایلهای اسکریپت، کوکیها و غیره نمونههایی هستند که انتقال غیرامن آنها تهدید امنیتی محسوب میشود.
بر خلاف نشانیهای وبHTTP که با «http://» آغاز میشوند و به صورت پیشفرض از درگاه شمارهٔ ۸۰ استفاده میکنند، آدرسهای HTTPS با «https://» آغاز شده و به صورت پیشفرض از شماره درگاه ۴۴۳ استفاده میکنند.
HTTP امن نیست و میتواند هدف حملههای مرد میانی و شنود قرار بگیرد. این حملات به مهاجم اجازه میدهد به اطلاعات حساس مانند حسابهای کاربر دسترسی پیدا کند. HTTPS با این هدف طراحی شدهاست که جلوی چنین حملاتی را بگیرد و از این جهت امن است.(به استثنای نسخههای کنارگذاشتهشده و قدیمیتر آن)
سرعت پروتکل HTTPS، به ویژه در صفحاتی با محتوای زیاد، معمولا از پروتکل غیر امن آن کمتر است. ارسال گواهی، تایید گواهی توسط مرورگر و سربار رمزگذاری بر روی سیستم از مهمترین دلایل این کندی هستند. یک اتصال امن در شروع حدودا ۱۰٪ کندتر از یک اتصال غیر امن است. اما با استفاده از اتصال پایا این کندی در ادامهٔ ارتباط تقریبا از بین میرود.
لایههای شبکه
HTTP در بالاترین لایهٔ مدل TCP/IP[پانویس ۸] یعنی لایهٔ کاربرد عمل میکند. نسخهٔ امن آن نیز به صورت زیرلایهای در همین لایه فعال میشود. HTTPS قبل از رسیدن بستهٔ HTTP به لایهٔ پایینی (لایهٔ انتقال)، آن را رمزگذاری میکند (در هنگام دریافت پاسخ، رمزگشایی میکند). به صورت ساده، HTTPS پروتکل جدایی نیست، بلکه همان پروتکل HTTP است بر روی امنیت لایه انتقال
در یک بستهٔ HTTPS همهٔ اطلاعات لایهٔ HTTP ازجمله نشانی وب، سرآیندها، کوکیها و اطلاعات ارسالی رمزگذاری میشوند.یک حملهکننده پس از نفوذ میتواند متوجه آدرس آیپی مقصد، مدت زمان ارتباط و میزان اطلاعات ردوبدلشده شود. اما هیچچیز از محتویات ارتباط برای او فاش نخواهد شد.
نصب بر روی سرور
برای اینکه یک سرور وب بتواند اتصالات امن HTTPS را پشتیبانی کند، مدیر سرور باید یک گواهی کلید عمومی برای آن سرور تهیه کرده و آن را بر روی سرور نصب نماید. این گواهی باید توسط یک مرجع صدور گواهی دیجیتال تایید شود تا مرورگرها بتوانند بدون اخطار، صفحه را برای کاربر نمایش دهند. مرورگرها به صورت پیشفرض به تعدادی از مراجع صدور گواهی اعتماد دارند.
تهیهٔ گواهی معتبر
تهیهٔ یک گواهی دیجیتال معتبر میتواند رایگان و یا بین ۸ تا ۱۵۰۰ دلار در سال هزینه داشته باشد. البته باید توجه داشت که در بعضی موارد مراجع صدور گواهی رایگان مانند شرکت CACert در مرورگرهای مشهور (مانند فایرفاکس، گوگل کروم و اینترنت اکسپلورر) معتبر شناخته نمیشوند. با این حال شرکتهایی مانند StartSSL که گواهیهای رایگان نیز ارائه میدهند، مورد تایید بسیاری از مرورگرها هستند.
مؤسسات و شرکتهای بزرگ، در صورتی که مسئول نصب و راهاندازی مرورگرها در محیط کار خود باشند، میتوانند با نصب گواهی خودشان بر رور مرورگرها، آنها را در محیط کار تایید کنند(برای مثال یک وبگاه در شبکهٔ داخلی یک شرکت بزرگ و یا دانشگاه). این مؤسسات میتوانند به راحتی کپی گواهی خود را بر روی مراجع مورد تایید مرورگرها نیز ثبت کنند.
استفاده برای مدیریت دسترسی کاربران
یکی دیگر از استفادههای سیستم HTTPS و گواهیهای آن، احراز هویت کاربران برای مشخص نمودن سطح دسترسی آنها در وبگاه است. برای انجام این کار دو راه وجود دارد:
کاربران از مراجع معتبر صدور گواهی، گواهی تهیه کرده و آن را بر روی سیستم خوب نصب نمایند.
مدیر وبگاه باید به ازای هر کاربر یک گواهی ایجاد و آن را بر روی سیستم کاربر نصب نماید.
این گواهیها در درون خود اطلاعاتی مانند نام، نامِ خانوادگی و آدرس ایمیل کاربر را ذخیره میکنند. این اطلاعات با هر بار اتصال به وبگاه، توسط سرور بررسی شده و کاربر بدون نیاز به ورود نام کاربری و یا کلیدواژه شناسایی خواهد شد.
لو رفتن گواهی (کلید خصوصی)
با به وجود آمدن سیاست Perfect Forward Secrecy در پروتکل HTTPS، لو رفتن و دزدیده شدن یک کلید خصوصی منجر به بهدست آمدن کلیدهای جلسهها و ارتباطات قبلی و یا بعدی نمیشود.پروتکل تبادل کلید دیفی-هلمن و تبادل کلید خم بیضوی دیفی-هلمن تنها الگوریتمهایی هستند که تا کنون (سال ۲۰۱۳) از این سیاست پیروی میکنند. البته این الگوریتمها سرباز زیادی را به دلیل رمزنگاری پیچیده بر روی سرور و کلاینت خواهند گذاشت.
اما این سیاست هنوز گسترده نشدهاست. در حال حاضر تنها ۳۰٪ اتصالات مرورگرهای فایرفاکس، گوگلکروم و اپرا از این روشها استفاده میکنند. این در حالی است که مرورگر سافاری و اینترنت اکسپلورر هیچگاه از این الگوریتمها استفاده نمیکنند. از میان یاهو، مایکروسافت، پیپال، اپل، اچپی، دل، گوگل و تعداد بسیاری از شرکتهای بزرگ اینترنتی، تنها شرکت گوگل از این سیاست برای امنیت وبگاههای خود استفاده میکند.
یک گواهی ممکن است قبل از اینکه منقضی شود، باطل گردد. دلایلی مانند لو رفتن کلید خصوصی و یا دلایل امنیتی دیگر از جمله مواردی است که منجر به این موضوع میگردد. نسخههای جدید مرورگرهای مشهور مانند گوگلکروم، فایرفاکس، اینترنتاکسپلورر (از ویندوز ویستا به بعد) پروتکل برخط وضعیت گواهی را پیادهسازی کردهاند. به کمک این پروتکل مرورگرها میتوانند باطل شدن گواهیهای دیجیتال پیشازموعد را بررسی کنند. این عمل با ارسال شمارهسریال گواهی به مرجع آن صورت میگیرد.
محدودیتها و مشکلات
پروتکل HTTPS دو حالت مختلف را پشتیبانی میکند: حالت ساده و حالت متقابل یا دوطرفه
حالت دوطرفه امنیت بیشتری دارد اما برای استفاده از آن علاوه بر سرور، کاربر نیز باید گواهی تهیه کرده و بر روی سیستمِ خود نصب نماید.
هر کدام از این دو حالت که استفاده شوند، امنیت ارتباط به شدت به پیادهسازی و الگوریتم رمزنگاری استفادهشده دارد. سیستمهای مختلف بارها به دلیل مشکلاتی که در پیادهسازی آنها وجود دارد، مورد حمله قرار گرفتهاند.
استفاده از ارتباط امن جلوی خزندههای وب را نمیگیرد. این خزندهها به راحتی صفحات امن را نیز فهرست میکنند. در بسیاری از موارد آدرس صفحات وبگاه تنها از روی حجم درخواست و پاسخ رمزنگاری شده، قابل افشا است. این مساله میتواند به یک مهاجم این امکان را بدهد که به متن رمزشده و رمزنشده دسترسی پیدا کند. این دسترسی میتواند امکان حمله متن رمزشده انتخابی را فراهم سازد.
از آنجایی که پروتکل HTTPS در لایهٔ زیرین HTTP فعالیت میکند، هیچ اطلاعی از عملکردِ لایههای بالاتر ندارد. هر سرور میتواند برای هر جفت آدرس IP و شماره درگاه خود یک گواهی به کاربر ارائه نماید. به همین دلیل در بسیاری از موارد نمیتوان در سرورهایی که میزبانی مجازی مبتنی بر نام ارائه میدهند، از پروتکل HTTPS استفاده نمود. با این حال راهحلی به نام تشخیص نام سرور وجود دارد که نام وبگاه را قبل از آغاز رمزگذازی ارسال میکند. این قابلیت در مرورگرهای قدیمی پشتیبانی نمیشود. مرورگر فایرفاکس از نسخهٔ ۲ به بالا، اپرا از نسخهٔ ۸ به بالا، سافاری از نسخهٔ ۲٫۱ به بالا، گوگل کروم از نسخهٔ ۶ به بالا و اینترنت اکسپلورر ۷ به بالا از این قابلیت پشتیبانی میکنند.
حملات صورت گرفته
برهنهسازی
در کنفرانس کلاهسیاه در سال ۲۰۰۹ یک حملهٔ پیچیده به نام برهنهسازی گزارش شد. در این نوع حمله مهاجم با تغییر آدرس از پروتکل "https" به "http" کاربر را گمراه میکند. کاربر فکر میکند که ارتباط او امن است، در حالی که مهاجم به راحتی میتواند حملهٔ مرد میانی را ترتیب دهد. در این نوع حمله از این نکته استفاده میشود که اکثر کاربران خودشان قسمت "https://" را در نوار آدرس تایپ نمیکنند و معمولا با کلیک بر روی یک لینک به صفحهٔ امن منتقل میشوند.
حملهٔ کانالهای جانبی
در ماه می سال ۲۰۱۰ طبق تحقیقاتی که تیم تحقیقات مایکروسافت با همکاری دانشگاه هند انجام دادند، مشخص شد که بسیاری از اطلاعات حساسی که از طریق HTTPS منتقل میشوند، از طریق روشها و کانالهای جانبی مانند مشاهدهٔ حجم بسته، برای مهاجمین قابل دسترسی هستند. به طور مشخصتر، محققان نشان دادند که با شنود بر روی ارتباطات امن نرمافزارها و وبگاههای بیمارستانها، بانکها و جستوجوهای وب میتوانند میزان درآمد، بیماری و نوع آن، داروهای مورد استفاده، عملهای جراحی صورت گرفته بر روی فرد و افراد خانوادهٔ او را تشخیص دهند.
حملهٔ BEAST
در کنفرانس امنیتی اکوپارتی در سال ۲۰۱۱ که در کشور آرژانتین برگزار شد، دو نفر از محققین امنیتی به نامهای جولیانو ریزو و ثای دونگ ، که از توسعهدهندگان مرورگر گوگلکروم نیز میباشند، حملهٔ جدیدی را بر روی HTTPS گزارش دادند. این حمله که از طریق یک حفرهٔ امنیتی و به کمک تکهکد جاوااسکریپت صورت میگیرد، میتواند به مهاجم این امکان را میدهد که متن رمزشده را در یک زمان کوتاه به طور کامل رمزگشایی کند. این حمله BEAST نام گرفت که مخفف Browser Exploit Against SSL/TLS است. این حمله حتی در وبگاههایی که از پروتکل امنیت انتقال سختگیرانهٔ HTTP استفاده میکنند قابل اجراست.
این اشکال بر روی SSL نسخهٔ ۳ به پایین و TLS نسخهٔ ۱ که در زمان گزارش حمله در امنیت لایه انتقال پرکاربرد بودند، وجود دارد. در نسخههای بعدی TLS(نسخههای ۱٫۱ و ۲) این مشکل برطرف شد. امروزه مرورگرهای مشهور به صورت پیشفرض نسخههای قدیمی این پروتکلها را غیرفعال میکنند تا از این حمله در امان باشند.
حملهٔ CRIME
این حمله که مخفف عبارت Compression Ratio Info-leak Made Easy است، در سپتامبر سال ۲۰۱۲ در کنفرانس اکوپارتی گزارش شد. در این حمله مهاجم میتواند به کوکیهایی که از طریق HTTPS و پروتکل اسپیدی منتقل میشوند، دسترسی پیدا کند. برای جلوگیری از این حمله، کاربران باید پروتکل اسپیدی را در مرورگر خود غیرفعال نمایند.
این حمله نیز توسط جولیانو ریزو و ثای دونگ گزارش شد.
حملهٔ BREACH
این حمله که آخرین حملهٔ گزارش شده تا کنون میباشد، در ماه اوت سال ۲۰۱۳، توسط کارشناسان امنیتی گزارش شدهاست. نام این نوع حمله از مخخف کردن عبارت Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext گرفته شدهاست. BREACH که به مهاجمین اجازهٔ رمزگشایی بستههای HTTPS را میدهد با عنوان «HTTPS در کمتر از ۳۰ ثانیه هک میشود» در رسانهها بازتاب یافت. تمامی وبگاههایی که از فشردهسازی HTTP استفاده میکنند، در برابر این نوع حمله آسیبپذیرند. همچنین اشکالی که از آن استفاده شدهاست در تمامی نسخههای SSL و TLS وجود دارد.
تا کنون هیچ راهحلی برای مقابله با این حمله ارائه نشدهاست.
در ایران
استفاده از پروتکل HTTPS در ایران گاهی دچار مشکل شده و با کاهش سرعت و یا قطع دسترسی مواجه میشود. بسیاری معتقدند که دلایل این اختلالات، مسائل سیاسی و امنتی است. مسئولین معمولا این ادعا را رد میکنند اما وزیر ارتباطات ایران در تیر ماه سال ۱۳۹۲ برای اولین بار اعلام کرد که دلیل افت سرعت اینترنت در زمان پیش از انتخابات، امنیتی و به دلیل انتخابات ریاست جمهوری ایران بودهاست. وی این اقدام را راهکار و ابتکاری در جهت مقابله با ورود بیگانگان به فضای مجازی تعریف کرد.
جعل گواهی گوگل و سرویسهای آن
در ماه اوت سال ۲۰۱۱ میلادی شرکت گوگل اعلام کرد که یکی از گواهیهای دیجیتال این شرکت که در مرجع دیجینوتار در کشور هلند ثبت شدهبود، به سرقت رفتهاست. تحقیقات نشان داد که منبع این سرقت کشور ایران بودهاست. با انجام این حمله، مهاجمین توانستند در مقیاسهای بزرگ به ویژه در داخل ایران حملههای مرد میانی و فیشینگ ترتیبدهند. بسیاری ادعا کردند که آیاسپیهای بزرگ در ایران مانند پارسآنلاین و خود دولت با استفاده از این گواهیهای دزدیده شده، از اطلاعات کاربران سوءاستفاه کردند.
قابل ذکر است که گواهی دزدیده شده نهتنها مربوط به قسمت جستوجوی وبگاه گوگل بود، بلکه در تمامی سرویسهای گوگل از جمله جیمیل، گوگلپلاس و غیره معتبر شناخته میشد. مرورگرهای مشهور با فاصله چند روز از انتشار این خبر، این مرجع را از لیست مراجع مورد تایید خود حذف کردند. اما این گواهی ۴۰ روز قبل از انتشار این خبر دزدیده شده بود.
کمپانی دیجینوتار بعد از این اتفاق تعطیل شد.
تاریخچه
کمپانی نتاسکیپ در سال ۱۹۹۴ میلادی HTTPS را بر پایهٔ اساسال در مرورگر خود(Netscape Navigator) به وجود آورد. ساختار پروتکل بهوجودآمده (اساسال) بهگونهای بود که قابلیت قرار گرفتن هر نرمافزار و سرویسی بر روی آن وجود داشت. با گذشت زمان پروتکل اساسال تغییر کرده و جای خود را به امنیت لایه انتقال داد. درواقع نسخهٔ بعد از نسخهٔ ۳٫۰ پروتکل اساسال، امنیت لایه انتقال نامیدهشد. به همین دلیل عدهای این پروتکل را اساسال نسخهٔ ۳٫۱ نیز مینامند. نسخههای بعدی پروتکل امنیت لایه انتقال با ایجاد تغییرات بزرگ، راه خود را از اساسال جدا کردند. در نسخهٔ فعلی HTTPS که در ماه می سال ۲۰۰۰ میلادی در RFC 2818 معرفی شدهاست، امنیت لایه انتقال بهعنوان جایگزین پروتکل اساسال، در لایهٔ زیرین HTTPS قرار گرفتهاست.
دلیل امنیت بالای پروتکل HTTPS چیست ؟
زمانی که شما از طریق پروتکل HTTPS به یک سایت متصل می شوید ، جستجوگر شما به دنبال آی پی آن سایت گشته و هنگامی که آی پی آن را پیدا کند به آن متصل می شود . اما ایراد آن در این قسمت است که هم ممکن است آن آی پی مربوط به لینک مشابه آن سایت باشد وهم اینکه اطلاعات شما از قبیل اطلاعاتی که وارد می کنید یا رمز عبورهایتان برای ارائه دهندگان سرویس اینترنت قابل مشاهده هستند.
اگر مطلب قبلی ما که در مورد استفاده از Wi-Fi های رایگان منتشر کرده بودیم را هم به یاد داشته باشید ، در آن مطلب هم توضیح دادیم که اگر تصمیم گرفتید از اینترنت جایی که با آنجا آشنایی کافی ندارید استفاده کنید بهتر است حتی المقدور از ارتباط های امن استفاده کنید .
اکثر این مشکلات به این دلیل پیش می آیند که این نوع از ارتباط ها رمز گذاری نشده اند و اکثر هکر ها هم از این ویژگی آن سوء استفاده کرده و به حریم افراد تجاوز می کنند . بعد از آن برای رفع این مشکلات پروتکل HTTPS طراحی شد که تا حدی بتواند این مشکلات را برطرف کند . این پروتکل به طور کامل رمز گذاری شده است .
اما منظور از رمز گذاری یا encryption چیست ؟ در علم مهندسی اینترنت عمل رمز گذاری به عمیات رمز گذاشتن بین بسته های ارسالی و دریافتی در شبکه گفته می شود . در واقع هنگامی که کاربر یک بسته را برای یک سرور خاص می فرستد آن بسته رمز گذاری شده تا در حین ارسال مشکلی برای آن پیش نیاید و این رمز فقط توسط دریافت کننده قابل فهم است و متقابلا آن سایت هم هنگامی که بخواهد جواب این بسته را ارسال کند آن را رمز گذاری می کند . در این نوع ارتباط ها تمام ارسال و دریافت ها رمز گذاری شده هستد و همین باعث افزایش ضریب ایمنی آن شده است.
اما باز هم با تمام اینها نمی توان به طور قاطع گفت که پروتکل HTTPS ایمن ترین راه است ولی به طور حتم بهتر و امن تر از HTTP است و تا حدی هم توانسته مشکلات آن را از میان بردارد . در این پروتکل هنگامی که شما بخواهید یک سایت خاص را باز کنید ، HTTPS اول کنترل می کند که آیا سایت درست است و همچنین امنیت آن را هم بررسی می کند و بعد شما را به آنجا لینک می کند .