در ابتدا باید با مفهوم پروتکل http آشنا شویم و سپس به سراغ https خواهیم رفت. در این مقاله قصد داریم توضیح دهیم که HTTPS چیست و آشنایی با HTTPS به روش کبوتر نامهبر را شرح بدهیم.
مفهوم پروتکل http چیست
پروتکل HTTP یا Hyper Text Transfer Protocol یکی از استانداردهای تعریفشده برای شبکههای اینترنتی است که سابقه بسیار طولانی و قدیمی در اینترنت دارد. با این پروتکل، زیرساخت سایتهای اینترنتی میسر شد. برقرار ارتباط میان سرور(مثلاً سایت گوگل) و کلاینت (برای مثال مرورگر کامپیوتر) و یا به عبارتی بین سرویسدهندگان و سرویسگیرندگان وب، وظیفه این پروتکل است. درواقع پروتکل http یک مسیر است که اطلاعات از طریق آن بین کامپیوترها رد بدل میشود. بهطور مثال وقتی آدرس سایتها را در مرورگر تلفن همراه و یا تبلت وارد میکنید، اول قسمت، نام مسیر انتقال است بنابراین عبارت http میآید و بعدازآن آدرس و نشانی سرور که برای مثال اطلاعات من را به آدرس google.com بفرست.
پروتکل https چگونه متولد شد
با پروتکل HTTP کاربران اینترنت میتوانند اطلاعات تحت وب را مشاهده کنند. اما چون تحت این پروتکل اطلاعات رمزگذاری شده نیست، تبادل اطلاعات در شبکههای کامپیوتری امکان نفوذ و شنود اطلاعات همراه است.
ازجمله حملاتی که پروتکل HTTP را تهدید میکنند Man-in-the-Middle (حمله مردمیانی) میباشد. اطلاعات بین مرورگر کاربر و سرور که بهصورت متن ساده است. در این حملهها اگر فرد یا سیستمی در میان راه این مسیر قرار گیرید اطلاعات بهسادگی قابلمشاهده و استفاده خواهد بود. پس هکرها به هر روشی میتوانند بین مرورگر کاربر و سرور قرار بگیرند و بهراحتی به اطلاعات دسترسی پیدا کنند یا حتی بدتر از آن میتوانند اطلاعات را همتغییر و یا دستکاری کنند. بنابراین موضوع امنیت حساسیت بیشتری پیدا کرد و پروتکل https یا Hyper Text Transfer Protocol Secure یا (پروتکل امن انتقال ابرمتن) ساخته شد.
پروتکل https چیست و چگونه کار میکند
پروتکل https که مخفف Hypertext Transfer Protocol Secure میباشد، پروتکلی است شبه http با این تفاوت که سطح امنیت آن از پروتکل http بیشتر است.در این مقاله توضیح میدهیم HTTPS چیست و آشنایی با HTTPS به روش کبوتر نامهبر را بهطور مفصل شرح میدهیم.
این پروتکل بهجای اینکه اطلاعات را بهصورت متن ساده و بدون کدگذاری به سمت سرور بفرستند، آنها را بهصورت بستههای رمزگذاری شده ارسال میکند تا هکرها در مرحله اول نتوانند به اطلاعات دسترسی پیدا کنند و اگر درنهایت وارد سیستم شدند، یکجا بهتمامی اطلاعات دسترسی پیدا نکنند و درنهایت از اطلاعات در دسترسشان باشد. به دلیل متن رمزگذاری شده،پیدا کردن رمز بسیار سخت و بسیار زمانبر خواهد بود.
ماهیت https درروشی به نام SSL Secure Sockets Layer خلاصهشده است. این پروتکل، از روش رمزنگاری نامتقارن استفاده میکند. در این روش از دو کلید عمومی و خصوصی برای رمزنگاری اطلاعات استفاده میشود. اگر نفوذ گری بین راه این به اطلاعات دسترسی پیدا کند، امکان خواندن اطلاعات را ندارد چونکه اطلاعات کد شده است و فقط ارسالکننده و دریافتکننده میتواند آن را کدگشایی کند.
دلیل استفاده از HTTPS چیست
۱– تأثیر مستقیم در سئوی سایت
گوگل به وبسایتهایی که داری پروتکل https هستند، توجه بیشتری میکند و انتظاری که دور از ذهن نیست، آن است که در آینده نهچندان دور تمامی وبسایتهای https را در جستجوی خود لیست میکند. چون یکی از مواردی که برای گوگل مهم است؛ امنیت سایت میباشد و موتورهای جستجو به دلیل تأمین امنیت بیشتر کاربران خود، اطلاعات در تبادل میان کاربران و سرور سایت، پروتکل https را ارجحیت میدهند.
همچنین آخرین پستهای که درباره گوگل و بینه سازی جستجو متخصصان نوشتهاند، پروتکل https یک عامل مثبت در سئو سایت محسوب میشود و وبسایتهای دارای پروتکل https به دلیل ایجاد لایههای امنیتی، از اولویت بالاتری در لیست و رتبه دهی موتورهای جستجو مثل گوگل دارند.
۲- حس امنیت برای کاربران سایت
پروتکلهای ssl و https مانند نگهبانهای اولیه دروازههای قلعه از امنیت و یکپارچگی سایت شما در برابر اینگونه حملات محافظت میکنند و اجازه نمیدهند که هکرها بهسادگی اطلاعات شما را به دست بیاورند.
اگر هنوز این امکان را برای سایت خود فعال نکردهاید، هکرها میتوانند بهسادگی، پیامهای اسپم را برای کاربران شما بدون آنکه اطلاعی داشته باشید ارسال میکنند و کاربران تصور میکنند که همه این پیامها و حتی مزاحمتها از سمت سایت شما است و این خود یعنی نابود شدن اعتماد کاربران به سایت شما.
برای مطمئن شدن از فعال بودن این پروتکل در سایت، مرورگر شما در کنار آدرس سایت موردنظر یک علامت قفل و یا رنگ سبز وجود دارد که نشاندهنده امنیت سایت شماست. البته این روش در هر مرورگر متفاوت نمایش داده میشود ولی عمدتاً در سمت چپ آدرس سایت این مورد نشان دادهشده است.
بنابراین کاربران با دیدن این نشانه که نماد یک گواهینامه معتبر و مورد تائید است به سایت شما اعتماد میکنند و وارد سایت شما میشوند.
۳– دریافت نماد الکترونیک
برای راهاندازی یک فروشگاه آنلاین و یا هر سایتی که خرید اینترنت در شبکه مالی ایران داشته باشد باید شما قبل از گرفتن درگاه اینترنتی نماد الکترونیک را دریافت کنید. برای دریافت نماد اعتماد الکترونیکی باید حتماً سایت شما از این پروتکل https استفاده کند.
روش فعال کردن HTTPS چیست
خرید گواهینامه SSL و یا دریافت رایگان از ارگانهایی مانند let’s encript
- تنظیم هاست خود با گواهینامه SSL (برای مثال پیکیر بندی SSL برای هاست های direct admin)
- تغییر دادن تمام لینکهای قدیمی داخلی و خارجی وبسایت این بار با https
- تبدیل کردن روشهای ریدایرکت های ۳۰۱ را از http به https
- در صورت استفاده از CDN بهروزرسانی تنظیمات SSL در شبکه توزیع محتوا (CDN)
- اضافه کردن نسخه جدید وبسایت به Google Search Console و Google Analytic
نکته مهم این ست که در دنیای هکرها هیچچیز غیرممکنی وجود ندارد و این روش گرچه بسیار حیاتی و لازم است اما برای تأمین امنیت کامل کافی نیست پس نمیتوان گفت که بهطور قاطع پروتکل https ایمنترین راه است. اصولاً امنیت یک مفهوم کاملاً نسبی است! ولی آنچه واضح است https پروتکل بهتر و امنتر از http است و تا حدی جلوی مشکلات نفوذ man in the middle را گرفته است. پس گام اول را با فعال کردن این پروتکل برای سایت خود بردارید. بهعنوان یک کاربر، حتماً به سایتهایی مراجعه کنید که این پروتکل را فعال داشته باشند. مخصوصاً زمانی که سایت موردنظر اطلاعات مهم شما را میخواهد نگه دارد و یا خرید اینترنتی از آن سایت دارید.
آشنایی با HTTPS به روش کبوتر نامهبر
عملکرد پروتکل HTTPS دقیقاً مشابه کاری است که کبوتر نامهبر انجام میدهد. درواقع هر کاری که در سطح اینترنت انجام میشود، یعنی پیامی ارسال کردید و پیامی هم دریافت کردید. حتی اگر در حال خواند این مقاله روی این سایت هستید هم این کار بهصورت ارسال پیام و دریافت پیغام آن انجام میشود.
روش کبوتر نامهبر چیست
اگر علی قصد دارد یک پیغام برای محمد بفرستد، نامهای را آماده میکند و بهپای کبوتری میبندد و آن را به سمت محمد میفرستند. کبوتر پسازاینکه یک مسیر طولانی را طی میکند، به محمد میرسد و اگر محمد هم پیغامی برای علی داشته باشد، برای علی میفرستد.
حالا فکر کنید اگر در بین مسیر برای کبوتر حادثهای پیش بیاید و یک شخص سومی به نام آقای محمدی که میتواند رمز این نامه را بخواند، نامه را پیدا کند و پس از اطلاع میتواند روی نامه علی دستکاری کند و پیغام را همتغییر دهد. این دقیقاً همان روشی است که HTTP اجرا میکند و هر شخص میتواند پیامها را در سرور بخواند.
علی و محمد هم انتظار دستکاری نامه را از هم ندارند. اگر کمی این دو شخص باهوش باشند، متوجه میشوند که نامه دستکاری شده است، پس باید یک روشی را برای نوشته نامه پیاده کنند که کسی نتواند آن را رمزنگاری کند. آنها از روش مخفی نمودن و رمزنگاری استفاده میکنند. مثلاً رمزنگاری کلیدهای متقارن symmetric key cryptography را انتخاب مینماید و بهجای اینکه حروف اصلی یک جمله را بنویسند، همهی حروف را به سه حرف قبلی شیفت میدهند. مثلاً بهجای حرف D از A استفاده مینمایند. پس اگر علی برای محمد متن secret message را بخواهد ارسال کند باید بهصورت pbzobq jbppxdb ارسال نماید و این نوع رمز سازی هم Caesar cipher نام دارد.
کاربرد روش کبوتر نامه بر یا HTTPS چیست
اگر در مسیر کسی نامه را پیدا کرد این حروف برای او بیمعنا میباشد و باید نحوه رمزگشایی آن را پیدا کند تا بتواند بخوانید. گیرنده و فرستنده نامه یعنی علی و محمد باید در ارتباط با این روش هماهنگ عمل کنند. حالا اگر علی و محمد از قبل یکدیگر را نشناسند باید چه کرد؟
- ابتدا علی یک کبوتر نامهبر برای محمد میفرستد که پیغامی در آن نیست.
- پس اینکه کبوتر رسید، محمد بهجای اینکه نامه بفرستد، یک جعبهای با قفل باز بهپای کبوتر بسته و آن را میفرستند. کلید این قفل هم فقط در دست محمد است.
- علی کبوتر را با جعبهای دریافت میکند و پیغام خود را در جعبه میگذارد و آن را قل مینماید.
- محمد هم نامه را در جعبه دریافت میکند و چون کلید در دست اوست، پیغام را میبیند.
نام این روش رمزنگاری کلید نامتقارن asymmetric key cryptography نام دارد. نامتقارن ازاینجهت نامگرفته است که اگر شما پیامی را رمزنگاری کنید، یعنی جعبه را قفل نمایید، دیگر قادر نیستید آن را رمزگشایی کنید، یعنی قفل را بازنمایید. در این روش به جعبهی کلید عمومی public key و کلیدی که بهوسیلهی آن باز میکنید کلید خصوصی private key گفته میشود.
حالا علی و محمد از کجا متوجه بشوند که پیغام از سمت خود آنها ارسالشده؟ اینجا آلن تورینگ که همه به آن اعتماد دارند و در جنگ جهانی دوم موفق شده است که پیغامهای ارتش هیتر را رمزگشایی کند به کمک آنان میآید. علی پس از نوشتن نامه از آلن میخواهد که نامه آن را امضا کند و او را احراز هویت کند و این قابلیت را برای ارسال امضا به علی بدهد و وقتیکه آلن نامه را امضا کرده محمد هم مطمئن میشود که تقلبی در کار نیست. آلن تورینگ همان مرجع صادرکنندهی گواهینامههای امنیتی SSL میباشد.
حالا که مقاله HTTPS چیست و آشنایی با HTTPS به روش کبوتر نامهبر خواندید، برای ارسال و دریافت پیام از این روش امن بهره ببرید.