بروتوكول نقل النص التشعبي الآمن (HTTPS) هو بروتوكول يؤمن الاتصال ونقل البيانات بين متصفح الويب الخاص بالمستخدم وموقع الويب. HTTPS هو الإصدار الآمن من HTTP.
يحمي البروتوكول المستخدمين من عمليات التنصت وهجمات الرجل في الوسط (MitM). كما أنه يحمي المجالات المشروعة من هجمات انتحال نظام أسماء النطاقات (DNS).
يلعب HTTPS دورًا مهمًا في تأمين مواقع الويب التي تتعامل مع البيانات الحساسة أو تنقلها، بما في ذلك البيانات التي يتم التعامل معها بواسطة الخدمات المصرفية عبر الإنترنت وموفري البريد الإلكتروني وتجار التجزئة عبر الإنترنت ومقدمي الرعاية الصحية والمزيد.
ببساطة، يجب أن يستخدم أي موقع ويب يتطلب بيانات اعتماد تسجيل الدخول أو يتضمن معاملات مالية HTTPS لضمان أمان المستخدمين والمعاملات والبيانات.
HTTP مقابل HTTPS.
يمكن للمخترق الضار بسهولة انتحال شخصية اتصال HTTP أو تعديله أو مراقبته. يوفر HTTPS الحماية ضد هذه الثغرات الأمنية عن طريق تشفير جميع التبادلات بين متصفح الويب وخادم الويب.
نتيجة لذلك، يضمن HTTPS عدم قدرة أي شخص على التلاعب بهذه المعاملات، وبالتالي تأمين خصوصية المستخدمين ومنع وقوع المعلومات الحساسة في الأيدي الخطأ.
بروتوكول نقل النص التشعبي الآمن HTTPS ليس بروتوكولًا منفصلاً عن بروتوكول نقل النص التشعبي HTTP. بدلاً من ذلك، فهو متغير يستخدم تشفير طبقة النقل الآمنة (TLS) / طبقة مآخذ التوصيل الآمنة (SSL) عبر HTTP لتأمين الاتصالات.
عندما يتحدث خادم الويب ومتصفح الويب مع بعضهما البعض عبر HTTPS، فإنهم يشاركون في ما يعرف بالمصافحة – تبادل شهادات TLS / SSL – للتحقق من هوية المزود وحماية المستخدم وبياناته.
يبدأ عنوان HTTPS URL بـ https: // بدلاً من http: //. تُظهر معظم متصفحات الويب أن موقع الويب آمن من خلال عرض رمز قفل مغلق على يسار عنوان URL في شريط عنوان المتصفح.
في بعض المتصفحات، يمكن للمستخدمين النقر فوق رمز القفل للتحقق مما إذا كانت الشهادة الرقمية لموقع الويب الذي يدعم HTTPS تتضمن معلومات تعريفية عن مالك موقع الويب، مثل الاسم أو اسم الشركة.
كيف يتفوق HTTPS على HTTP؟
في HTTP، قد يتم اعتراض المعلومات التي يتم مشاركتها عبر موقع ويب أو استنشاقها من قبل أي فاعل سيء يتطفل على الشبكة. هذا محفوف بالمخاطر بشكل خاص إذا كان المستخدم يدخل إلى موقع الويب عبر شبكة غير آمنة، مثل شبكة Wi-Fi العامة.
نظرًا لأن جميع اتصالات HTTP تحدث بنص عادي، فهي معرضة بشدة لهجمات MitM على المسار. يضمن HTTPS أن جميع الاتصالات بين متصفح الويب الخاص بالمستخدم وموقع الويب مشفرة بالكامل.
حتى إذا اعترض المجرمون الإلكترونيون حركة المرور، فإن ما يتلقونه يبدو وكأنه بيانات مشوهة. لا يمكن تحويل هذه البيانات إلى نموذج قابل للقراءة إلا باستخدام أداة فك التشفير المقابلة – أي المفتاح الخاص.
التشفير في بروتوكول نقل النص التشعبي الآمن HTTPS.
يعتمد HTTPS على بروتوكول تشفير TLS، الذي يؤمن الاتصالات بين طرفين. يستخدم TLS بنية أساسية عامة غير متماثلة للتشفير. هذا يعني أنه يستخدم مفتاحين مختلفين:
- المفتاح الخاص. يتم التحكم في هذا وصيانته من قبل مالك موقع الويب ويوجد على خادم الويب. يقوم بفك تشفير المعلومات التي يتم تشفيرها بواسطة المفتاح العام.
- المفتاح العمومي. هذا متاح للمستخدمين الذين يرغبون في التفاعل بشكل آمن مع الخادم عبر متصفح الويب الخاص بهم. لا يمكن فك تشفير المعلومات المشفرة بواسطة المفتاح العام إلا بواسطة المفتاح الخاص.
إقرأ أيضاً… ما هو بروتوكول ( IPv4 )؟ وما هي أهميته؟
كيف يعمل بروتوكول نقل النص التشعبي الآمن HTTPS؟
كما هو مذكور في القسم السابق، يعمل HTTPS عبر SSL / TLS مع تشفير المفتاح العام لتوزيع مفتاح متماثل مشترك لتشفير البيانات والمصادقة. يستخدم المنفذ 443 افتراضيًا، بينما يستخدم HTTP المنفذ 80.
تتطلب جميع عمليات النقل الآمنة المنفذ 443، على الرغم من أن نفس المنفذ يدعم اتصالات HTTP أيضًا. قبل أن يبدأ نقل البيانات في HTTPS، يقرر المتصفح والخادم معلمات الاتصال عن طريق إجراء اتصال SSL / TLS. المصافحة مهمة أيضًا لإنشاء اتصال آمن.
تاليًا كيفية عمل العملية بأكملها:
- يقوم مستعرض العميل وخادم الويب بتبادل رسائل “مرحبًا”.
- يقوم كلا الطرفين بتوصيل معايير التشفير الخاصة بهما مع بعضهما البعض.
- يشارك الخادم شهادته مع المستعرض.
- يتحقق العميل من صلاحية الشهادة.
- يستخدم العميل المفتاح العام لإنشاء مفتاح سري أولي.
- يتم تشفير هذا المفتاح السري باستخدام المفتاح العام ومشاركته مع الخادم.
- يحسب العميل والخادم المفتاح المتماثل بناءً على قيمة المفتاح السري.
- يؤكد كلا الجانبين أنهما قاما بحساب المفتاح السري.
- يستخدم نقل البيانات التشفير المتماثل.
مثال على كيفية عمل HTTPS.
افترض أن أحد العملاء يزور موقعًا للتجارة الإلكترونية لمتاجر التجزئة لشراء عنصر. عندما يكون العميل جاهزًا لتقديم طلب، يتم توجيهه إلى صفحة طلب المنتج. يبدأ عنوان URL لهذه الصفحة بـ https: // وليس http: //.
لتقديم الطلب، يُطلب من العميل إدخال بعض التفاصيل الشخصية (على سبيل المثال، الاسم وعنوان الشحن)، بالإضافة إلى البيانات المالية (على سبيل المثال، رقم بطاقة الائتمان الخاصة به).
يقوم HTTPS بتشفير هذه البيانات للتأكد من أنه لا يمكن اختراقها أو سرقتها من قبل طرف غير مصرح له، مثل المتسلل أو مجرمي الإنترنت. ثم يصل الطلب إلى الخادم حيث تتم معالجته.
بمجرد تقديم الطلب بنجاح، يتلقى المستخدم إقرارًا من الخادم، والذي ينتقل أيضًا في شكل مشفر ويتم عرضه في متصفح الويب الخاص به. يتم فك تشفير هذا الإقرار بواسطة طبقة HTTPS الفرعية للمتصفح.
مزايا بروتوكول نقل النص التشعبي الآمن HTTPS.
يوفر HTTPS مزايا عديدة عبر اتصالات HTTP:
- حماية البيانات والمستخدم. يمنع HTTPS التنصت بين متصفحات الويب وخوادم الويب وينشئ اتصالات آمنة. وبالتالي فهو يحمي خصوصية المستخدم ويحمي المعلومات الحساسة من المتسللين. هذا أمر بالغ الأهمية للمعاملات التي تنطوي على بيانات شخصية أو مالية.
- تحسين تجربة المستخدم. عندما يعرف العملاء أن موقع الويب أصلي ويحمي بياناتهم، فإنه يغرس الثقة. بالإضافة إلى ذلك، يعمل HTTPS على زيادة سرعات نقل البيانات عن طريق تقليل حجم البيانات.
- تحسين محركات البحث (SEO). عادةً ما تحتل مواقع HTTPS مرتبة أعلى في صفحات نتائج محرك البحث، وهي ميزة مهمة للمؤسسات التي تتطلع إلى تعزيز وجودها الرقمي من خلال تحسين محركات البحث.
هل اتصالات HTTPS عرضة للهجمات؟
في حين أن HTTPS أكثر أمانًا من HTTP، فلا أحد منهما محصن ضد الهجمات الإلكترونية. قد تكون اتصالات HTTPS عرضة للأنشطة الضارة التالية:
- تحليل الشفرات أو ضعف البروتوكول. قد يستخدم القائمون بالتهديد تحليل الشفرات أو يستغلون نقاط الضعف المحتملة لخرق اتصال HTTPS.
- الهجمات على جهاز الكمبيوتر العميل. قد يقوم المهاجمون بتثبيت شهادة جذر ضارة في جهاز الكمبيوتر العميل أو المتجر الموثوق به للمستعرض، مما يؤدي إلى اختراق اتصال HTTPS.
- التلاعب بالمرجع المصدق. يمكن للمهاجمين التلاعب بالمرجع المصدق أو اختراقه للحصول على شهادة مخادعة تثق بها المتصفحات الرئيسية عن طريق الخطأ.