اگرچه رمزگذاری قوی اخیراً مرسوم است ، اما وب سایت ها در طی 20 سال گذشته به طور مرتب از رمزنگاری پایان به انتهای قوی استفاده می کنند. از این گذشته ، اگر وب سایت ها نمی توانند بسیار مطمئن شوند ، هیچ شکلی از تجارت آنلاین مانند خرید یا بانکداری امکان پذیر نخواهد بود. پروتکل رمزگذاری مورد استفاده برای این HTTPS است که مخفف HTTP Secure (یا HTTP بالای SSL / TLS) است. این وب سایت توسط هر وب سایت مورد نیاز برای تأمین امنیت کاربران مورد استفاده قرار می گیرد و ستون اصلی بنیادی کلیه امنیت در اینترنت است.

HTTPS همچنین به طور فزاینده ای توسط وب سایتهایی مورد استفاده قرار می گیرد که امنیت برای آنها مهمترین اولویت نیست. این مسئله تا حدود زیادی نگرانی خود راجع به حریم خصوصی اینترنت و مسائل امنیتی در پی افشاگری های گسترده دولت تحت نظارت ادوارد اسنودن.

پروژه هایی مانند ابتکار رمزگذاری EFF ، برنامه رمزگذاری همه جا Symantec و موزیلا تصمیم به مستهجن کردن نتایج جستجوی ایمن غیر HTTPS ، با این حال ، تصویب کلی پروتکل را تسریع کرده اند.

بنابراین HTTPS چه کاری انجام می دهد?

هنگامی که به یک وب سایت HTTP غیر ایمن مراجعه می کنید ، تمام داده ها بدون رمزگذاری منتقل می شوند ، بنابراین هرکسی که تماشا می کند می تواند در حین بازدید از آن وب سایت همه کارهایی را انجام دهد (از جمله مواردی مانند جزئیات معامله شما هنگام انجام پرداخت آنلاین). حتی می توان داده های منتقل شده بین شما و سرور وب را تغییر داد.

با HTTPS ، وقتی برای اولین بار به وب سایت وصل می شوید ، یک تبادل کلید رمزنگاری رخ می دهد و کلیه اقدامات بعدی در وب سایت رمزگذاری می شود و به همین دلیل از چشم کنجکاو پنهان می شود. توجه داشته باشید که هرکسی که تماشا می کند می تواند مشاهده کند که شما از وب سایت خاصی بازدید کرده اید ، اما نمی تواند ببیند چه صفحات فردی را می خوانید یا سایر اطلاعات منتقل شده در آن وب سایت.


به عنوان مثال ، وب سایت ProPrivacy با استفاده از HTTPS امن می شود. با فرض اینکه مدتی از خواندن این صفحه وب استفاده نمی کنید ، ISP می تواند ببیند که از proprivacy.com بازدید کرده اید ، اما نمی توانید ببینید که شما در حال خواندن این مقاله خاص هستید.

اگر از VPN استفاده می کنید ، ارائه دهنده VPN شما می تواند همان اطلاعات را مشاهده کند ، اما یک مورد خوب از IP مشترک استفاده می کند ، بنابراین نمی داند کدام یک از کاربران بسیاری از proprivacy.com بازدید کرده است ، و تمام گزارش های مربوط به به هر حال بازدید کنید.

توجه داشته باشید که HTTPS از رمزگذاری نهایی به انتها استفاده می کند ، بنابراین تمام داده هایی که بین رایانه شما (یا تلفن هوشمند و غیره) عبور می کنند و آن وب سایت رمزگذاری می شوند. این بدان معنی است که می توانید حتی با اتصال به نقاط مهم WiFi عمومی و غیره به وب سایت های HTTPS با خیال راحت دسترسی داشته باشید.

چگونه می دانم وب سایت ایمن است یا خیر?

به راحتی می توان گفت وب سایتی که بازدید می کنید توسط HTTPS امن است:

  1. در کل ، یک نماد قفل قفل قفل شده در سمت چپ فوری نوار URL / جستجو را مشاهده خواهید کرد.
  2. در بیشتر موارد ، آدرس وب با https: // شروع می شود. (وب سایت های نا امن با http: // شروع می شوند ، اما هر دو https: // و http: // اغلب پنهان هستند.)

وب سایت بدون امنیت Firefox - بدون HTTPS

وب سایت نا امن Chrome

در اینجا نمونه هایی از وب سایت های نا امن (Firefox و Chrome) آورده شده است. توجه کنید که آدرس های وب (URL ها) با https شروع نمی شوند: و اینکه هیچ نمادی از قفل قفل در سمت چپ نوار جستجو نمایش داده نمی شود

وب سایت ایمن Firefox

وب سایت ایمن Chrome

امن وب سایت Edge

در اینجا برخی از وب سایتهای امن HTTPS در Firefox ، Chrome و Microsoft Edge قرار دارند. اگرچه همه آنها کمی متفاوت به نظر می رسند ، اما به وضوح می توان یک آیکون قفل بسته را در کنار نوار آدرس در همه آنها مشاهده کرد. توجه داشته باشید که برخلاف بیشتر مرورگرها ، Edge در ابتدای URL https: // را نشان نمی دهد. همچنین متوجه خواهید شد که نماد می تواند سبز یا خاکستری باشد ...

چه تفاوتی بین نمادهای قفل سبز و خاکستری وجود دارد?

اگر نماد قفل نشان داده شود ، وب سایت ایمن است. اگر نماد سبز باشد ، نشان می دهد که وب سایت مرورگر شما را با یک گواهی اعتبار سنجی توسعه یافته (EV) ارائه داده است. اینها برای تأیید صحت گواهی SSL ارائه شده برای دامنه و نام دامنه متعلق به شرکتی است که انتظار دارید صاحب وب سایت باشد.

در تئوری ، باید به وب سایتهایی که یک قفل سبز را نشان می دهند اعتماد بیشتری داشته باشید. اما در عمل ، سیستم اعتبار سنجی می تواند گیج کننده باشد.

نولب

به عنوان مثال ، در انگلستان ، آدرس بانکی آنلاین بانک NatWest (www.nwolb.com) توسط یک شرکت اینترنتی متعلق به آنچه مشاهده کننده گاه به گاه به عنوان یک رقیب در خیابان های بالا - یعنی Royal Bank Scotland - تأمین می شود ، تضمین شده است. مگر اینکه بدانید NatWest متعلق به RBS است ، این امر می تواند باعث عدم اعتماد به گواهینامه شود ، صرف نظر از اینکه مرورگر شما به آن نماد سبز داده است یا خیر..

سردرگمی همچنین می تواند به این دلیل باشد که مرورگرهای مختلف گاهی اوقات برای پذیرش Firefox و Chrome از معیارهای متفاوتی استفاده می کنند ، به عنوان مثال هنگام بازدید از Wikipedia.com یک قفل سبز نشان می دهد ، اما Microsoft Edge نماد خاکستری را نشان می دهد.

به طور کلی ، عقل سلیم باید غالب شود. اگر از Google بازدید می کنید و آدرس اینترنتی www.google.com است ، پس می توانید کاملا مطمئن باشید که دامنه متعلق به Google است ، هر چه از آیکون قفل است.!

نمادهای قفل دیگر

همچنین ممکن است با نمادهای دیگر قفل قفل روبرو شوید که مواردی مانند محتوای مختلط را نشان می دهد (وب سایت فقط به صورت جزئی رمزگذاری شده است و مانع از استراق سمع نمی شود) و گواهی های SSL ضعیف یا منقضی شده است. چنین وب سایتهایی هستند امن نیست.

اطلاعات اضافی

در کلیه مرورگرها می توانید با کلیک بر روی نماد قفل قفل ، اطلاعات دیگری در مورد گواهی SSL استفاده شده برای اعتبارسنجی اتصال HTTPS پیدا کنید..

اطلاعات بیشتر HTTPS

بیشتر مرورگرها اجازه می دهند بیشتر حفاری کنند ، و حتی خود گواهی SSL را مشاهده کنند

چگونه HTTPS واقعاً کار می کند?

نام پروتکل انتقال Hypertext (HTTP) در اصل بیانگر عدم امنیت استاندارد است (این پروتکل برنامه ای است که به صفحات وب اجازه می دهد تا از طریق پیوندها به یکدیگر متصل شوند).

صفحات وب HTTPS با استفاده از رمزگذاری TLS و الگوریتم های تأیید اعتبار توسط سرور وب تعیین می شوند..

جزئیات TLS

بیشتر مرورگرها جزئیاتی درباره رمزنگاری TLS استفاده شده برای اتصالات HTTPS به شما ارائه می دهند. این رمزگذاری است که توسط ProPrivacy استفاده می شود ، همانگونه که در Firefox نشان داده شده است. اطلاعات بیشتر در مورد بسیاری از اصطلاحات استفاده شده را می توان در اینجا یافت

برای مذاکره در مورد اتصال جدید ، HTTPS از زیرساخت کلید کلید X.509 (PKI) ، یک سیستم رمزگذاری کلید نامتقارن استفاده می کند که در آن یک سرور وب یک کلید عمومی ارائه می دهد ، که با استفاده از کلید خصوصی مرورگر رمزگشایی می شود. برای اطمینان از حمله در میانه ، X.509 از گواهینامه های HTTPS استفاده می کند - پرونده های داده کوچک که کلید رمزنگاری عمومی یک وب سایت را به جزئیات یک سازمان وصل می کنند..

یک گواهینامه HTTPS توسط یک مرجع صدور گواهینامه شناخته شده (CA) صادر می شود که مالکیت یک کلید عمومی را توسط موضوع نامگذاری شده از گواهی نامه تأیید می کند - با اصطلاح رمزنگاری به عنوان شخص ثالث قابل اعتماد (TTP) عمل می کند..

اگر یک وب سایت به مرورگر شما گواهی نامه ای را از CA شناخته شده نشان دهد ، مرورگر شما سایت را واقعی معرفی می کند (یک نماد قفل بسته). و همانطور که قبلاً اشاره شد ، گواهینامه های اعتبار سنجی توسعه یافته (EVS) تلاشی برای تقویت اعتماد به این گواهینامه های SSL است.

HTTPS در همه جا

بسیاری از وب سایت ها می توانند بصورت پیش فرض استفاده کنند. در چنین مواردی ، اغلب دسترسی به ایمن به سادگی با پیشوند آدرس وب آنها با https: // (به جای: //) امکان پذیر است. با این حال ، یک راه حل بسیار بهتر استفاده از HTTPS Everywhere است.

این یک برنامه افزودنی مرورگر رایگان و منبع باز است که با همکاری بین و بنیاد الکترونیکی مرزی ساخته شده است. پس از نصب ، HTTPS Everywhere از "فناوری هوشمندانه ای برای بازنویسی درخواست های این سایت ها به HTTPS استفاده می کند."

اگر اتصال HTTPS در دسترس باشد ، برنامه افزودنی سعی خواهد کرد تا شما را از طریق HTTPS ایمن به وب سایت وصل کند ، حتی اگر این کار به صورت پیش فرض انجام نشود. اگر به هیچ وجه اتصال HTTPS در دسترس نباشد ، از طریق HTTP به طور منظم نا امن می شوید.

با HTTPS در همه جا نصب خواهید شد و به بسیاری از وب سایت های دیگر ایمن وصل می شوید و بنابراین ما شدیداً توصیه می کنم نصب آن HTTP همه جا برای Firefox (از جمله Firefox برای Android) ، Chrome و Opera در دسترس است.

مشکلات با HTTPS

گواهی های جعلی SSL

بزرگترین مشکل HTTPS این است که کل سیستم به یک وب اعتماد اعتماد دارد - ما به CA ها اعتماد داریم که فقط برای صدور گواهینامه های SSL برای صاحبان دامنه تأییدشده صادر کنند. با این حال…

حدود 1200 CA وجود دارد که می توانند گواهینامه هایی را برای دامنه هایی امضا کنند که تقریباً توسط هر مرورگر پذیرفته می شوند. اگرچه تبدیل شدن به CA شامل انجام بسیاری از تشریفات (نه تنها کسی که می تواند خود را بعنوان CA تنظیم کند!) ، می تواند توسط دولت ها تکیه داده شود (و بزرگترین آنهاست) ، توسط کلاهبرداران ارعاب می شود ، یا توسط مجرمان هک می شود تا دروغ صادر کنند. گواهینامه ها.

این بدان معنی است که:

  1. با صدها مقام صدور گواهینامه ، فقط یک "تخم مرغ بد" صادر می کند تا گواهینامه های بد بو را به خطر بیاندازد تا کل سیستم به خطر بیفتد.
  2. پس از صدور گواهینامه ، راهی برای ابطال آن گواهینامه وجود ندارد به جز سازنده مرورگر برای صدور بروزرسانی کامل مرورگر.

اگر مرورگر شما از یک وب سایت به خطر بیافتد بازدید کند و آنچه را که مانند گواهی معتبر HTTPS به نظر می رسد ، ارائه شود ، آنچه را که فکر می کند یک اتصال امن است ، آغاز کند و یک قفل قفل را در URL نمایش دهد..

نکته ترسناک این است که فقط یکی از 1200+ CA باید به خطر بیافتد تا مرورگر شما اتصال را بپذیرد. همانطور که این مقاله EFF مشاهده می کند,

خلاصه: روش های زیادی برای شکستن HTTPS / TLS / SSL امروز وجود دارد ، حتی اگر وب سایت ها همه چیز را به درستی انجام دهند. همانطور که در حال حاضر اجرا شده است ، پروتکل های امنیتی وب ممکن است به اندازه کافی خوب باشند تا در برابر مهاجمان با زمان و انگیزه محدود محافظت کنند ، اما برای جهانی که در آن مسابقات ژئوپلیتیکی و تجاری به طور فزاینده ای از طریق حملات علیه امنیت سیستم های رایانه ای انجام می شود ، ناکافی هستند..

پیتر اكرسلی

متأسفانه ، این مشکل به دور از تئوری نیست. متاسفانه ، متاسفانه هیچ راه حل شناخته شده ای وجود ندارد ، اگرچه همراه با EV ، پین کردن کلید عمومی توسط اکثر وب سایت های مدرن در تلاش برای حل این مسئله به کار گرفته شده است..

با پین کردن کلید عمومی ، مرورگر میزبان وب سایت را با گواهی HTTPS یا کلید عمومی مورد انتظار خود مرتبط می کند (این انجمن به میزبان پین شده است) و در صورت ارائه یک گواهی یا کلید غیر منتظره ، از پذیرش اتصال امتناع می ورزد. هشدار.

بنیاد الکترونیکی مرزی (EFF) همچنین یک پروژه رصدخانه SSL را با هدف تحقیق در مورد کلیه گواهینامه های مورد استفاده برای تأمین اینترنت آغاز کرد و از عموم مردم دعوت کرد تا گواهی های آنالیز را برای آن ارسال کنند. تا آنجا که من آگاه هستم ، با این حال ، این پروژه هرگز واقعاً از کار افتاد و سالهاست که از بین نرفته است.

تحلیل ترافیک

محققان نشان داده اند که از تجزیه و تحلیل ترافیک می توان در اتصالات HTTPS استفاده کرد تا صفحات وب شخصی را که توسط یک هدف در وب سایتهای امن HTTPS بازدید می شوند با دقت 89 شناسایی کنند..

اگرچه نگران کننده است ، هرگونه تحلیل چنین می تواند یک حمله بسیار هدفمند علیه یک قربانی خاص باشد.

نتیجه گیری HTTPS

اگرچه کامل نیست (اما چیست؟) ، HTTPS یک اقدام امنیتی خوب برای وب سایت ها است. اگر اینگونه نباشد ، هیچ یک از میلیارد ها معامله مالی و انتقال داده های شخصی که هر روز در اینترنت اتفاق می افتد امکان پذیر نیست و خود اینترنت (و احتمالاً اقتصاد جهانی!) یک شبه فرو می ریزد..

اجرای HTTPS به طور فزاینده ای در وب سایت ها تبدیل به استاندارد می شود ، هم برای حفظ حریم خصوصی و هم بسیار مناسب است (زیرا کار NSA و عملکرد آن را بسیار سخت تر می کند!).

نکته اصلی که باید به خاطر داشته باشید این است که همیشه در هنگام انجام هر کاری که نیاز به امنیت یا حفظ حریم خصوصی در اینترنت داشته باشد ، یک آیکون قفل بسته را بررسی کنید. اگر از اتصال اینترنتی ناامن (مانند کانون عمومی WiFi) استفاده می کنید ، می توانید تا زمانی که فقط به وب سایت های رمزگذاری شده HTTPS مراجعه کنید ، ایمن در وب گشت و گذار کنید..

اگر به هر دلیلی نگران یک وب سایت هستید ، می توانید گواهی SSL آن را بررسی کنید تا ببینید آیا متعلق به صاحبی است که انتظار آن وب سایت را دارید یا خیر..

TL این است که به لطف HTTPS می توانید وب سایت ها را ایمن و خصوصی گشت و گذار کنید ، که برای آرامش خاطر شما بسیار عالی است!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me