ما هو HTTPS؟ – ما تحتاج إلى معرفته

على الرغم من أن التشفير القوي أصبح مؤخرًا مؤخرًا ، إلا أن مواقع الويب تستخدم بشكل روتيني التشفير القوي من البداية إلى النهاية على مدار العشرين عامًا الماضية. بعد كل شيء ، إذا لم يكن من الممكن جعل مواقع الويب آمنة للغاية ، فلن يكون هناك شكل من أشكال التجارة عبر الإنترنت مثل التسوق أو الخدمات المصرفية. بروتوكول التشفير المستخدم لهذا هو HTTPS ، والذي يشير إلى HTTP Secure (أو HTTP عبر SSL / TLS). يتم استخدامه من قبل أي موقع ويب يحتاج إلى تأمين المستخدمين وهو العمود الفقري الأساسي لجميع أنواع الأمن على الإنترنت.

يتم أيضًا استخدام HTTPS بشكل متزايد بواسطة مواقع الويب التي لا يمثل الأمان فيها أولوية رئيسية. هذا إلى حد كبير القلق المتزايد بشأن قضايا الخصوصية والأمن العامة على الإنترنت في أعقاب الكشف عن المراقبة الحكومية الجماعية إدوارد سنودن.

مشاريع مثل مبادرة EFF’s Let’s Encrypt ، وبرنامج تشفير Symantec's Everywhere وبرنامج Mozilla الذي يختار خفض قيمة نتائج البحث المضمونة بخلاف HTTPS ، قد أدى إلى تسريع التبني العام للبروتوكول.

فماذا تفعل HTTPS?

عند زيارة موقع HTTP غير آمن ، يتم نقل جميع البيانات دون تشفير ، لذلك يمكن لأي شخص يراقب مشاهدة كل ما تفعله أثناء زيارة هذا الموقع (بما في ذلك أشياء مثل تفاصيل معاملتك عند إجراء المدفوعات عبر الإنترنت). حتى أنه من الممكن تغيير البيانات المنقولة بينك وبين خادم الويب.

باستخدام HTTPS ، يحدث تبادل مفاتيح التشفير عند الاتصال لأول مرة بموقع الويب ، ويتم تشفير جميع الإجراءات اللاحقة على موقع الويب ، وبالتالي فهي مخفية عن أعين المتطفلين. لاحظ أن أي شخص يشاهد يمكنه أن يرى أنك زرت موقع ويب معين ، لكن لا يمكنه رؤية الصفحات الفردية التي تقرأها أو أي بيانات أخرى يتم نقلها أثناء وجوده على هذا الموقع..

على سبيل المثال ، يتم تأمين موقع ProPrivacy باستخدام HTTPS. على افتراض أنك لا تستخدم بعض الوقت في قراءة صفحة الويب هذه ، يمكن لمزود خدمة الإنترنت الخاص بك أن يرى أنك قمت بزيارة proprivacy.com ، ولكن لا يمكنك أن ترى أنك تقرأ هذه المقالة بالذات.

إذا كنت تستخدم VPN ، فبإمكان موفر VPN رؤية نفس المعلومات ، ولكن سيستخدم أحدها عناوين IP مشتركة حتى لا يعرف أي من المستخدمين العديدين قاموا بزيارة proprivacy.com ، وسيتجاهل جميع السجلات المتعلقة بـ زيارة على أي حال.

لاحظ أن HTTPS يستخدم التشفير من طرف إلى طرف ، بحيث يتم تشفير جميع البيانات التي تمر بين جهاز الكمبيوتر الخاص بك (أو الهاتف الذكي ، وما إلى ذلك) وموقع الويب هذا. هذا يعني أنه يمكنك الوصول بأمان إلى مواقع HTTPS حتى عند الاتصال بنقاط واي فاي عامة غير آمنة وما شابه.

كيف أعرف ما إذا كان موقع الويب آمنًا أم لا?

من السهل معرفة ما إذا كان موقع الويب الذي تزوره مؤمنًا بواسطة HTTPS:

  1. في الإجمال ، سترى أيقونة قفل مقفل على يسار شريط عنوان URL / البحث الرئيسي.
  2. في معظم الحالات ، سيبدأ عنوان الويب بـ https: //. (تبدأ المواقع غير الآمنة بـ http: // ، ولكن غالبًا ما يكون كل من https: // و http: // مخفيًا.)

موقع غير آمن فايرفوكس - لا HTTPS

موقع غير آمن على Chrome

فيما يلي أمثلة على مواقع الويب غير الآمنة (Firefox و Chrome). لاحظ أن عناوين الويب (عناوين URL) لا تبدأ بـ https: وأنه لا يتم عرض أيقونة قفل على يسار شريط البحث

موقع آمن فايرفوكس

موقع آمن كروم

المضمون حافة الموقع

فيما يلي بعض مواقع HTTPS الآمنة في Firefox و Chrome و Microsoft Edge. على الرغم من أنها تبدو مختلفة بعض الشيء ، إلا أننا نرى بوضوح أيقونة قفل مغلقة بجوار شريط العناوين في كل منها. لاحظ أنه على عكس معظم المتصفحات ، لا يعرض Edge https: // في بداية عنوان URL. ستلاحظ أيضًا أن الرمز يمكن أن يكون أخضر أو ​​رمادي ...

ما هو الفرق بين أيقونات قفل الأخضر والرمادي?

إذا تم عرض رمز القفل ، فإن موقع الويب آمن. ومع ذلك ، إذا كانت الأيقونة باللون الأخضر ، فإنها تشير إلى أن موقع الويب قد قدم للمستعرض الخاص بك شهادة التحقق من الصحة الموسعة (EV). هذه تهدف إلى التحقق من صحة شهادة طبقة المقابس الآمنة المقدمة للنطاق وأن اسم المجال ملك للشركة التي تتوقع امتلاكها للموقع..

من الناحية النظرية ، إذن ، يجب أن تكون لديك ثقة أكبر في مواقع الويب التي تعرض قفلًا أخضر. في الممارسة العملية ، ومع ذلك ، يمكن أن يكون نظام التحقق من الصحة مربكا.

nwolb

على سبيل المثال ، في المملكة المتحدة ، يتم تأمين عنوان الخدمات المصرفية عبر الإنترنت الخاص بـ NatWest bank (www.nwolb.com) عن طريق EV ينتمي إلى ما قد يفكر به المراقب العادي كمنافس في الشارع - Royal Bank of Scotland. ما لم تكن تعلم أن NatWest مملوكة لشركة RBS ، فقد يؤدي ذلك إلى عدم الثقة في الشهادة ، بغض النظر عما إذا كان المستعرض قد أعطاها رمزًا أخضر.

يمكن أن يحدث الارتباك أيضًا بسبب حقيقة أن المتصفحات المختلفة تستخدم أحيانًا معايير مختلفة لقبول Firefox و Chrome ، على سبيل المثال ، عرض قفل أخضر عند زيارة Wikipedia.com ، ولكن Microsoft Edge يعرض رمزًا رماديًا.

بشكل عام ، ينبغي أن يسود الحس السليم. إذا كنت تزور Google وعنوان URL هو www.google.com ، فيمكنك أن تكون متأكدًا تمامًا من أن المجال يخص Google ، أيا كان رمز القفل!

أيقونات قفل أخرى

قد تواجه أيضًا رموز قفل أخرى تدل على أشياء مثل المحتوى المختلط (موقع الويب مشفر جزئيًا فقط ولا يمنع التنصت) وشهادات طبقة المقابس الآمنة أو المنتهية الصلاحية. هذه المواقع هي غير امن.

معلومة اضافية

في جميع المتصفحات ، يمكنك العثور على معلومات إضافية حول شهادة SSL المستخدمة للتحقق من صحة اتصال HTTPS من خلال النقر على أيقونة القفل.

HTTPS مزيد من المعلومات

تسمح معظم المتصفحات بالتنقيب أكثر ، وحتى مشاهدة شهادة SSL نفسها

كيف HTTPS العمل في الواقع?

يشير اسم بروتوكول نقل النص التشعبي (HTTP) بشكل أساسي إلى المعيار غير الآمن (وهو بروتوكول التطبيق الذي يسمح لصفحات الويب بالاتصال ببعضها البعض عبر الارتباطات التشعبية).

يتم تأمين صفحات الويب HTTPS باستخدام تشفير TLS ، مع تحديد خوارزميات المصادقة والمصادقة عليها بواسطة خادم الويب.

تفاصيل TLS

ستعطيك معظم المتصفحات تفاصيل حول تشفير TLS المستخدم لاتصالات HTTPS. هذا هو التشفير الذي تستخدمه ProPrivacy ، كما هو معروض في Firefox. يمكن العثور على مزيد من المعلومات حول العديد من المصطلحات المستخدمة هنا

للتفاوض على اتصال جديد ، تستخدم HTTPS X.509 البنية التحتية للمفاتيح العمومية (PKI) ، وهو نظام تشفير المفتاح غير المتماثل حيث يعرض خادم الويب مفتاحًا عامًا ، يتم فك تشفيره باستخدام المفتاح الخاص للمتصفح. من أجل ضمان ضد هجوم الرجل في الوسط ، يستخدم X.509 شهادات HTTPS - ملفات بيانات صغيرة تربط رقمياً مفتاح التشفير العمومي لموقع الويب بتفاصيل المؤسسة.

يتم إصدار شهادة HTTPS من قبل المرجع المصدق المعتمد (CA) الذي يشهد ملكية مفتاح عمومي بواسطة الموضوع المحدد للشهادة - العمل وفقًا لشروط التشفير كطرف ثالث موثوق به (TTP).

إذا كان موقع ويب يعرض شهادة على متصفحك من مرجع مصدق معترف به ، فسيحدد متصفحك الموقع الأصلي (يعرض رمز قفل مغلق). وكما ذكر سابقًا ، تعد شهادات التحقق من الصحة الموسعة (EVs) محاولة لتحسين الثقة في شهادات طبقة المقابس الآمنة هذه.

HTTPS في كل مكان

يمكن أن تستخدم العديد من مواقع الويب ولكن لا تستخدمها افتراضيًا. في مثل هذا ، غالباً ما يكون من الممكن الوصول إليهم بشكل آمن ببساطة عن طريق بادئة عنوان الويب الخاص بهم مع https: // (بدلاً من: //). الحل الأفضل هو استخدام HTTPS Everywhere.

هذا امتداد متصفح مجاني ومفتوح المصدر تم تطويره من خلال التعاون بين مؤسسة الحدود الإلكترونية. بمجرد التثبيت ، يستخدم HTTPS Everywhere "تقنية ذكية لإعادة كتابة الطلبات إلى هذه المواقع إلى HTTPS."

إذا كان اتصال HTTPS متاحًا ، فسيحاول الملحق توصيلك بأمان إلى الموقع عبر HTTPS ، حتى إذا لم يتم تنفيذ ذلك افتراضيًا. إذا لم يتوفر اتصال HTTPS على الإطلاق ، فسوف تتصل عبر HTTP غير آمن بشكل منتظم.

مع تثبيت HTTPS Everywhere ، ستقوم بالاتصال بالعديد من مواقع الويب بشكل آمن ، وبالتالي فإننا نوصي بشدة تثبيته. يتوفر HTTP Everywhere لمتصفح Firefox (بما في ذلك Firefox لنظام Android) و Chrome و Opera.

مشاكل مع HTTPS

شهادات SSL وهمية

المشكلة الأكبر في HTTPS هي أن النظام بأكمله يعتمد على شبكة من الثقة - نحن نثق في شهادات إصدار الشهادات (CA) لإصدار شهادات طبقة المقابس الآمنة (SSL) فقط لمالكي النطاقات التي تم التحقق منها. ومع ذلك…

يوجد حوالي 1200 مرجع مصدق يمكنه تسجيل شهادات للمجالات التي سيتم قبولها من قِبل أي مستعرض تقريبًا. على الرغم من أن التحول إلى شهادة مرجعية ينطوي على الخضوع للعديد من الإجراءات (لا يمكن لأي شخص فقط إعداد نفسه باعتباره مرجعًا مصدقًا!) ، إلا أنه (يمكن أن تتكئ عليه) الحكومات (المشكلة الكبرى) ، أو يتم ترهيبها من قبل المحتالين أو اختراقهم من قبل المجرمين لإصدار كاذبة شهادات.

هذا يعني ذاك:

  1. مع وجود مئات من المراجع المصدقة للشهادات ، يتطلب الأمر إصدار "بيضة سيئة" واحدة فقط لإصدار شهادات مراوغة من أجل تسوية النظام بأكمله
  2. بمجرد إصدار الشهادة ، لا توجد طريقة لإلغاء تلك الشهادة باستثناء قيام صانع المتصفح بإصدار تحديث كامل للمتصفح.

إذا قام المستعرض الخاص بك بزيارة موقع ويب مخترق وتم تقديمه مع ما يشبه شهادة HTTPS صالحة ، فسيبدأ تشغيل ما يعتقد أنه اتصال آمن وسيعرض قفلًا في عنوان URL.

الشيء المخيف هو أن واحدًا فقط من أكثر من 1200 مرجع مصدق يحتاج إلى اختراق لمتصفحك يقبل الاتصال. كما يلاحظ هذا المقال EFF,

باختصار: هناك العديد من الطرق لكسر HTTPS / TLS / SSL اليوم ، حتى عندما تفعل مواقع الويب كل شيء بشكل صحيح. كما هو مطبق حاليًا ، قد تكون بروتوكولات الأمان الخاصة بالويب جيدة بما يكفي للحماية من المهاجمين بوقت محدود ودوافع محدودة ، لكنها غير كافية لعالم يتم فيه بشكل متزايد تنفيذ المسابقات الجيوسياسية والتجارية من خلال الهجمات ضد أمن أنظمة الكمبيوتر.

بيتر ايكرسلي

لسوء الحظ ، هذه المشكلة أبعد ما تكون عن النظرية. لسوء الحظ ، لا توجد حلول معترف بها بشكل عام ، على الرغم من EVs ، يتم استخدام تثبيت المفتاح العمومي بواسطة معظم مواقع الويب الحديثة في محاولة لمعالجة المشكلة.

عند تثبيت المفتاح العمومي ، يقوم المستعرض بربط مضيف موقع الويب بشهادة HTTPS المتوقعة أو المفتاح العمومي (يتم ربط هذا الارتباط بالمضيف) ، وإذا رفض تقديم شهادة أو مفتاح غير متوقع ، فسوف يرفض قبول الاتصال ويصدرك مع تحذير.

كما بدأت مؤسسة Electronic Frontier Foundation (EFF) مشروع مرصد SSL بهدف التحقق من جميع الشهادات المستخدمة لتأمين الإنترنت ، ودعوة الجمهور إلى إرسال شهادات للتحليل. على حد علمي ، ومع ذلك ، فإن هذا المشروع لم ينفجر حقًا ولم يهدأ منذ سنوات.

تحليل حركة المرور

أظهر الباحثون أنه يمكن استخدام تحليل حركة المرور على اتصالات HTTPS لتحديد صفحات الويب الفردية التي يزورها هدف على مواقع الويب الآمنة HTTPS بدقة 89.

على الرغم من القلق ، فإن أي تحليل من هذا القبيل سيشكل هجومًا مستهدفًا جدًا على ضحية محددة.

استنتاج HTTPS

على الرغم من عدم كونه مثالياً (ولكن ما هو؟) ، فإن HTTPS هو مقياس أمان جيد للمواقع. إذا لم يكن الأمر كذلك ، فلن يكون بالإمكان تحقيق أي من مليارات المعاملات المالية وعمليات نقل البيانات الشخصية التي تحدث يوميًا على الإنترنت ، وسوف ينهار الإنترنت نفسه (وربما الاقتصاد العالمي!) بين عشية وضحاها..

أصبح تطبيق HTTPS بشكل متزايد معيارًا على مواقع الويب أمرًا رائعًا لكلا الخصوصية وللخصوصية (لأنه يجعل مهمة وكالة الأمن القومي وأمثالها أصعب بكثير!).

الشيء الرئيسي الذي يجب تذكره هو البحث دائمًا عن رمز قفل مغلق عند القيام بأي شيء يتطلب أمانًا أو خصوصية على الإنترنت. إذا كنت تستخدم اتصال إنترنت غير آمن (مثل نقطة اتصال واي فاي عامة) ، فلا يزال بإمكانك تصفح الويب بأمان طالما أنك تزور مواقع HTTPS المشفرة فقط.

إذا كنت قلقًا بشأن أي موقع ويب لأي سبب من الأسباب ، يمكنك التحقق من شهادة طبقة المقابس الآمنة الخاصة به لمعرفة ما إذا كان ينتمي إلى المالك الذي تتوقعه من هذا الموقع.

TL هو أنه بفضل HTTPS ، يمكنك تصفح المواقع بشكل آمن وخاص ، وهو أمر رائع لراحة البال!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me