توجه : تمامی مطالب این سایت از سایت های دیگر جمع آوری شده است. در صورت مشاهده مطالب مغایر قوانین جمهوری اسلامی ایران یا عدم رضایت مدیر سایت مطالب کپی شده توسط ایدی موجود در بخش تماس با ما بالای سایت یا ساماندهی به ما اطلاع داده تا مطلب و سایت شما کاملا از لیست و سایت حذف شود. به امید ظهور مهدی (ع).

    کاربرد پروتکل https

    1 بازدید

    کاربرد پروتکل https را از سایت پست روزانه دریافت کنید.

    پروتکل امن انتقال ابرمتن

    پروتکل امن انتقال ابرمتن یا HTTPS (به انگلیسی: Hypertext Transfer Protocol Secure) یک پروتکل ارتباطی برای انتقال امن اطلاعات در شبکه‌های کامپیوتری است که به صورت خاص در اینترنت استفاده می‌شود. HTTPS شامل یک ارتباط بر روی پروتکل انتقال ابرمتن است که توسط امنیت لایه انتقال رمزگذاری می‌شود. مهم‌ترین اهداف استفاده از HTTPS اصالت‌سنجی وبگاه، حفاظت از حریم خصوصی و یکپارچگی داده‌های انتقالی است.

    در نسخهٔ رایج پروتکل HTTPS اصالت‌سنجی وبگاه‌ها وجود دارد. این امر جلوی حملات مرد میانی[پانویس ۱] را می‌گیرد. همچنین رمزگذاری ۲طرفه بین کلاینت[پانویس ۲] (یا کارخواه) و سرور[پانویس ۳] (یا کارگزار) از حملات شنود و تغییر بدون اجازه جلوگیری می‌کند.[۱] در عمل، این ویژگی‌ها باعث می‌شود تا این پروتکل بتواند تا حد زیادی امنیت ارتباط کاربران را تأمین نماید.

    در ابتدا از این پروتکل فقط برای انجام تراکنش‌های بانکی، ارسال ای‌میل‌های مهم و کارهای حساس دیگر بر روی وب جهانی استفاده می‌شد اما با گذشت زمان، استفاده از آن بیشتر و بیشتر می‌شود.[۲][۳] امن کردن ارتباطات کاربران، شناسایی وبگاه‌های معتبر و مخفی کردن هویت کاربران از جمله استفاده‌های نوین این پروتکل است.[۴] البته باید توجه داشت که امنیت کامل کاربران تنها در صورتی تأمین می‌شود که تمامی محتویات وبگاه از طریق همین پروتکل منتقل شود. منابعی مانند فایل‌های اسکریپت، کوکی‌ها و غیره نمونه‌هایی هستند که انتقال غیرامن آن‌ها تهدید امنیتی محسوب می‌شود.[۵]

    دید کلی[ویرایش]

    یوآرآی‌های[پانویس ۴] HTTPS ساختاری شبیه آدرس‌های پروتکل انتقال ابرمتن دارند با این تفاوت که آن‌ها با https آغاز می‌شوند. وجود کلمهٔ HTTPS در ابتدای آدرس، به مرورگر نشان می‌دهد که برای اتصال به وبگاه باید از امنیت لایه انتقال[پانویس ۵] استفاده کند.[۶][۷] از آنجا که در این پروتکل حتی اگر یکی از طرفین هم اصالت‌سنجی شده باشد، امنیت برقرار خواهد شد، استفادهٔ آن در وب بسیار مناسب است. در اینترنت معمولاً وبگاه‌ها گواهی اصالت‌سنجی‌شده تهیه می‌کنند. کاربران با بررسی صحت گواهی وبگاه، می‌توانند از هویت وبگاه مطمئن شده و ارتباطی امن و غیرقابل شنود داشته‌باشند.[۸][۹]

    HTTPS بر روی یک شبکه غیر امن، مانند اینترنت، یک بستر امن ایجاد می‌کند.[۱۰] این امر به شرطی که گواهی وبگاه مقصد مورد تأیید و الگوریتم‌های مورد استفاده مناسب باشند، تا حد زیادی جلوی انواع حملات شنود و حملهٔ مرد میانی را می‌گیرد.[۵]

    از آنجایی که HTTPS، پروتکل امنیت لایه انتقال را به‌طور کامل در لایه‌ای در زیر HTTP قرار می‌دهد، تمامی محتویات بستهٔ HTTP رمزگذاری می‌گردد. این اطلاعات شامل نشانی وب[پانویس ۶] (آدرس صفحهٔ مقصد)، پارامترهای ارسالی (مانند نامِ کاربری و کلمهٔ عبور)، سرآیندها و کوکی‌ها می‌شوند. اما از آنجا که لایهٔ TCP/IP[پانویس ۷] به آدرس IP و شمارهٔ درگاه نیازمند است، پروتکل HTTPS نمی‌تواند از آن‌ها محافظت کند. برای مثال در یک ارتباط امن با وبگاه گوگل، هیچ‌کس نمی‌تواند از روی بستهٔ کاربر متوجه محتویات درخواست او شود؛ اما از روی بسته می‌توان به آدرس، شماره درگاه، حجم اطلاعات انتقالی و طول مدت ارتباط دست یافت.[۱]

    مرورگرهای وب با استفاده از مراجع صدور گواهی دیجیتال که به صورت پیش‌فرض در درون آن‌ها نصب شده‌است، می‌توانند صحت یا جعلی بودن گواهی یک وبگاه را تشخیص دهند.[۱۱][۱۲][۱۳] این بدان معنی است که کاربران به صورت پیش‌فرض از طریق مرورگر به شرکت‌های صادرکننده گواهی‌های دیجیتال (مانند شرکت وری‌ساین، مایکروسافت و غیره) اعتماد می‌کنند تا گواهی‌های وبگاه‌های مختلف را برایشان تأیید نمایند؛ بنابراین یک اتصال HTTPS به یک وبگاه امن است اگر و تنها اگر تمام موارد زیر صدق کند:

    استفاده از HTTPS در شبکه‌های عمومی (مانند شبکه‌های وای-فای) بسیار ضروری است. در این شبکه‌ها امکان شنود بسته‌ها به راحتی برای تمام افراد حاضر در شبکه وجود دارد.[۱] همچنین گزارش‌هایی از ارائه دهندگان سرویس شبکه محلی بی‌سیم نشان می‌دهد که این شرکت‌ها از اطلاعات مشتریان خود سوءاستفاده کرده و در بعضی از موارد با استفاده از تغییر در ارتباط، تبلیغات خود یا حتی بدافزارهایی را به سیستم مشتری‌ها منتقل کرده‌اند.[۱۵] بنابراین بهتر است تمامی اطلاعات بر روی این نوع شبکه‌ها توسط پروتکل‌های امن منتقل شود.

    بر اساس آمارهای منتشر شده تا تاریخ ۲ اوت سال ۲۰۱۷ میلادی، از حدود ۱۴۰هزار وبگاه معتبر، ۶۰٪ این پروتکل امن را پیاده‌سازی کرده و از آن استفاده می‌کنند.[۱۶]

    در مرورگرها[ویرایش]

    تقریباً تمامی مرورگرهای وب در صورت دریافت یک گواهی نامعتبر به اشکال مختلف به کاربر هشدار می‌دهند.[۱۳] برخی از مرورگرهای قدیمی‌تر، با نمایش یک جعبه هشدار[پانویس ۸] وضعیت را به کاربر گزارش داده و برای ادامهٔ کار از او اجازه می‌گرفتند. اما مرورگرهای جدیدتر معمولاً با هشدارهای واضح که تمامی صفحه را پر می‌کنند، سعی در مطلع ساختن کاربر از خطرهای احتمالی را دارند. (مانند تصاویر)[۱۷][۱۸] همچنین علامت‌هایی مانند کلید یا سبز یا قرمز شدن نوار آدرس در مرورگرهای مختلف نشانهٔ مورد تأیید یا جعلی بودن گواهی ارائه شده توسط وبگاه است.[۱۹][۲۰] امروزه بسیاری از مرورگرها در صورتی که محتویات صفحه مخلوطی از پروتکل امن و غیر امن HTTP باشد، به کاربر هشدار خواهند داد.[۲۱][۲۲]

    مرورگر فایرفاکس از نسخهٔ ۱۴، براساس اعلام خود، جهت «محافظت از کاربران در برابر زیرساخت‌هایی از شبکه که منجر به جمع‌آوری اطلاعات یا تغییر و سانسور کردن نتایج جستجو می‌شوند» به صورت پیش‌فرض جستجوهای وبگاه گوگل را با پروتکل HTTPS انجام می‌دهد.[۲۳][۲۴]

    بنیاد مرزهای الکترونیکی[پانویس ۱۰] که عقیده دارد «در یک دنیای آرمانی، تمامی درخواست‌های شبکه وب به‌طور پیش‌فرض امن خواهند بود»، اقدام به انتشار افزونه‌ای برای مرورگرهای فایرفاکس، گوگل‌کروم و کرومیوم به نام HTTPS Everywhere (همه‌جا HTTPS) نموده‌است. این افزونه تمامی صفحات ممکن را با استفاده از این پروتکل امن نمایش می‌دهد.[۲۵]

    دید فنی[ویرایش]

    تفاوت‌ها با HTTP[ویرایش]

    بر خلاف نشانی‌های وب[پانویس ۶] HTTP که با «http://» آغاز می‌شوند و به صورت پیش‌فرض از درگاه شمارهٔ ۸۰ استفاده می‌کنند، آدرس‌های HTTPS با «https://» آغاز شده و به صورت پیش‌فرض از شماره درگاه ۴۴۳ استفاده می‌کنند.[۲۶]

    HTTP امن نیست و می‌تواند هدف حمله‌های مرد میانی[پانویس ۱] و شنود[پانویس ۱۱] قرار بگیرد. این حملات به مهاجم اجازه می‌دهد به اطلاعات حساس مانند حساب‌های کاربر دسترسی پیدا کند. HTTPS با این هدف طراحی شده‌است که جلوی چنین حملاتی را بگیرد و از این جهت امن است.[۱] (به استثنای نسخه‌های کنارگذاشته‌شده و قدیمی‌تر آن)

    سرعت پروتکل HTTPS، به ویژه در صفحاتی با محتوای زیاد، معمولاً از پروتکل غیر امن آن کمتر است. ارسال گواهی، تأیید گواهی توسط مرورگر و سربار رمزگذاری بر روی سیستم از مهم‌ترین دلایل این کندی هستند. یک اتصال امن در شروع حدوداً ۱۰٪ کندتر از یک اتصال غیر امن است. اما با استفاده از اتصال پایا این کندی در ادامهٔ ارتباط تقریباً از بین می‌رود.[۲۷]

    لایه‌های شبکه[ویرایش]

    HTTP در بالاترین لایهٔ مدل TCP/IP[پانویس ۷] یعنی لایهٔ کاربرد عمل می‌کند. نسخهٔ امن آن نیز به صورت زیرلایه‌ای در همین لایه فعال می‌شود. HTTPS قبل از رسیدن بستهٔ HTTP به لایهٔ پایینی (لایهٔ انتقال)، آن را رمزگذاری می‌کند (در هنگام دریافت پاسخ، رمزگشایی می‌کند). به صورت ساده، HTTPS پروتکل جدایی نیست، بلکه همان پروتکل HTTP است بر روی امنیت لایه انتقال.[پانویس ۵][۱۰]

    در یک بستهٔ HTTPS همهٔ اطلاعات لایهٔ HTTP ازجمله نشانی وب،[پانویس ۶] سرآیندها، کوکی‌ها و اطلاعات ارسالی رمزگذاری می‌شوند.[۱۰] یک حمله‌کننده پس از نفوذ می‌تواند متوجه آدرس آی‌پی مقصد، مدت زمان ارتباط و میزان اطلاعات ردوبدل‌شده شود. اما هیچ‌چیز از محتویات ارتباط برای او فاش نخواهد شد.[۱]

    نصب بر روی سرور[ویرایش]

    برای اینکه یک سرور وب بتواند اتصالات امن HTTPS را پشتیبانی کند، مدیر سرور[پانویس ۱۲] باید یک گواهی کلید عمومی[پانویس ۱۳] برای آن سرور تهیه کرده و آن را بر روی سرور نصب نماید.[۲۸] این گواهی باید توسط یک مرجع صدور گواهی دیجیتال تأیید شود تا مرورگرها بتوانند بدون اخطار، صفحه را برای کاربر نمایش دهند. مرورگرها به صورت پیش‌فرض به تعدادی از مراجع صدور گواهی اعتماد دارند.

    تهیهٔ یک گواهی دیجیتال معتبر می‌تواند رایگان یا بین ۸ تا ۱‍۵۰۰ دلار در سال هزینه داشته باشد.[۲۹][۳۰][۳۱] البته باید توجه داشت که در بعضی موارد مراجع صدور گواهی رایگان مانند شرکت CACert در مرورگرهای مشهور (مانند فایرفاکس، گوگل کروم و اینترنت اکسپلورر) معتبر شناخته نمی‌شوند.[۲۹]

    مؤسسات و شرکت‌های بزرگ، در صورتی که مسئول نصب و راه‌اندازی مرورگرها در محیط کار خود باشند، می‌توانند با نصب گواهی خودشان بر رور مرورگرها، آن‌ها را در محیط کار تأیید کنند (برای مثال یک وبگاه در شبکهٔ داخلی یک شرکت بزرگ یا دانشگاه). این مؤسسات می‌توانند به راحتی کپی گواهی خود را بر روی مراجع مورد تأیید مرورگرها نیز ثبت کنند.[۳۲]

    یکی دیگر از استفاده‌های سیستم HTTPS و گواهی‌های آن، احراز هویت کاربران برای مشخص نمودن سطح دسترسی آن‌ها در وبگاه است. برای انجام این کار دو راه وجود دارد:

    این گواهی‌ها در درون خود اطلاعاتی مانند نام، نامِ خانوادگی و آدرس ای‌میل کاربر را ذخیره می‌کنند. این اطلاعات با هر بار اتصال به وبگاه، توسط سرور بررسی شده و کاربر بدون نیاز به ورود نام کاربری یا کلیدواژه شناسایی خواهد شد.[۳۳]

    با به وجود آمدن سیاست Perfect Forward Secrecy در پروتکل HTTPS، لو رفتن و دزدیده شدن یک کلید خصوصی منجر به به‌دست آمدن کلیدهای جلسه‌ها و ارتباطات قبلی یا بعدی نمی‌شود.[۳۴] پروتکل تبادل کلید دیفی-هلمن[پانویس ۱۴] و تبادل کلید خم بیضوی دیفی-هلمن[پانویس ۱۵] تنها الگوریتم‌هایی هستند که تاکنون (سال ۲۰۱۳) از این سیاست پیروی می‌کنند. البته این الگوریتم‌ها سربار زیادی را به دلیل رمزنگاری پیچیده بر روی سرور و کلاینت خواهند گذاشت.[۳۵]

    اما این سیاست هنوز گسترده نشده‌است. در حال حاضر تنها ۳۰٪ اتصالات مرورگرهای فایرفاکس، گوگل‌کروم و اپرا از این روش‌ها استفاده می‌کنند. این در حالی است که مرورگر سافاری و اینترنت اکسپلورر هیچ‌گاه از این الگوریتم‌ها استفاده نمی‌کنند.[۳۶] از میان یاهو، مایکروسافت، پی‌پال، اپل، اچ‌پی، دل، گوگل و تعداد بسیاری از شرکت‌های بزرگ اینترنتی، تنها شرکت گوگل از این سیاست برای امنیت وبگاه‌های خود استفاده می‌کند.[۳۷][۳۸]

    یک گواهی ممکن است قبل از این‌که منقضی شود، باطل گردد. دلایلی مانند لو رفتن کلید خصوصی یا دلایل امنیتی دیگر از جمله مواردی است که منجر به این موضوع می‌گردد. نسخه‌های جدید مرورگرهای مشهور مانند گوگل‌کروم، فایرفاکس، اینترنت‌اکسپلورر (از ویندوز ویستا به بعد) پروتکل برخط وضعیت گواهی[پانویس ۱۶] را پیاده‌سازی کرده‌اند. به کمک این پروتکل مرورگرها می‌توانند باطل شدن گواهی‌های دیجیتال پیش از موعد را بررسی کنند. این عمل با ارسال شماره‌سریال گواهی به مرجع آن صورت می‌گیرد.[۳۹]

    محدودیت‌ها و مشکلات[ویرایش]

    پروتکل HTTPS دو حالت مختلف را پشتیبانی می‌کند: حالت ساده[پانویس ۱۷] و حالت متقابل یا دوطرفه.[پانویس ۱۸][۴۰]

    حالت دوطرفه امنیت بیشتری دارد اما برای استفاده از آن علاوه بر سرور، کاربر نیز باید گواهی تهیه کرده و بر روی سیستمِ خود نصب نماید.[۴۰]

    هر کدام از این دو حالت که استفاده شوند، امنیت ارتباط به شدت به پیاده‌سازی و الگوریتم رمزنگاری استفاده‌شده دارد. سیستم‌های مختلف بارها به دلیل مشکلاتی که در پیاده‌سازی آن‌ها وجود دارد، مورد حمله قرار گرفته‌اند.[۴۱][۴۲]

    استفاده از ارتباط امن جلوی خزنده‌های وب را نمی‌گیرد. این خزنده‌ها به راحتی صفحات امن را نیز فهرست می‌کنند. در بسیاری از موارد آدرس صفحات وبگاه تنها از روی حجم درخواست و پاسخ رمزنگاری شده، قابل افشا است.[۴۳] این مسئله می‌تواند به یک مهاجم این امکان را بدهد که به متن رمز شده و رمز نشده دسترسی پیدا کند. این دسترسی می‌تواند امکان حمله متن رمز شده انتخابی[پانویس ۱۹] را فراهم سازد.

    از آنجایی که پروتکل HTTPS در لایهٔ زیرین HTTP فعالیت می‌کند، هیچ اطلاعی از عملکردِ لایه‌های بالاتر ندارد. هر سرور می‌تواند برای هر جفت آدرس IP و شماره درگاه خود یک گواهی به کاربر ارائه نماید.[۴۴] به همین دلیل در بسیاری از موارد نمی‌توان در سرورهایی که میزبانی مجازی مبتنی بر نام ارائه می‌دهند، از پروتکل HTTPS استفاده نمود. با این حال راه‌حلی به نام تشخیص نام سرور[پانویس ۲۰] وجود دارد که نام وبگاه[پانویس ۲۱] را قبل از آغاز رمزگذاری ارسال می‌کند. این قابلیت در مرورگرهای قدیمی پشتیبانی نمی‌شود. مرورگر فایرفاکس از نسخهٔ ۲ به بالا، اپرا از نسخهٔ ۸ به بالا، سافاری از نسخهٔ ۲٫۱ به بالا، گوگل کروم از نسخهٔ ۶ به بالا و اینترنت اکسپلورر ۷ به بالا از این قابلیت پشتیبانی می‌کنند.[۴۵][۴۶]

    حملات صورت گرفته[ویرایش]

    در کنفرانس کلاه‌سیاه در سال ۲۰۰۹ یک حملهٔ پیچیده به نام برهنه‌سازی[پانویس ۲۲] گزارش شد. در این نوع حمله مهاجم با تغییر آدرس از پروتکل "https" به "http" کاربر را گمراه می‌کند. کاربر فکر می‌کند که ارتباط او امن است، در حالی که مهاجم به راحتی می‌تواند حملهٔ مرد میانی[پانویس ۱] را ترتیب دهد.[۴۷] در این نوع حمله از این نکته استفاده می‌شود که اکثر کاربران خودشان قسمت "https://" را در نوار آدرس تایپ نمی‌کنند و معمولاً با کلیک بر روی یک لینک به صفحهٔ امن منتقل می‌شوند.[۴۸]

    در ماه مه سال ۲۰۱۰ طبق تحقیقاتی که تیم تحقیقات مایکروسافت با همکاری دانشگاه هند انجام دادند، مشخص شد که بسیاری از اطلاعات حساسی که از طریق HTTPS منتقل می‌شوند، از طریق روش‌ها و کانال‌های جانبی[پانویس ۲۳] مانند مشاهدهٔ حجم بسته، برای مهاجمین قابل دسترسی هستند. به‌طور مشخص‌تر، محققان نشان دادند که با شنود بر روی ارتباطات امن نرم‌افزارها و وبگاه‌های بیمارستان‌ها، بانک‌ها و جستجوهای وب می‌توانند میزان درآمد، بیماری و نوع آن، داروهای مورد استفاده، عمل‌های جراحی صورت گرفته بر روی فرد و افراد خانوادهٔ او را تشخیص دهند.[۴۹]

    در کنفرانس امنیتی اکوپارتی[پانویس ۲۴] در سال ۲۰۱۱ که در کشور آرژانتین برگزار شد، دو نفر از محققین امنیتی به نام‌های جولیانو ریزو[پانویس ۲۵] و ثای دونگ،[پانویس ۲۶] که از توسعه‌دهندگان مرورگر گوگل‌کروم نیز می‌باشند، حملهٔ جدیدی را بر روی HTTPS گزارش دادند. این حمله که از طریق یک حفرهٔ امنیتی و به کمک تکه‌کد جاوااسکریپت صورت می‌گیرد، می‌تواند به مهاجم این امکان را می‌دهد که متن رمز شده را در یک زمان کوتاه به‌طور کامل رمزگشایی کند. این حمله BEAST نام گرفت که مخفف Browser Exploit Against SSL/TLS است.[۵۰][۵۱] این حمله حتی در وبگاه‌هایی که از پروتکل امنیت انتقال سخت‌گیرانهٔ HTTP[پانویس ۲۷] استفاده می‌کنند قابل اجراست.[۵۲]

    این اشکال بر روی SSL نسخهٔ ۳ به پایین و TLS نسخهٔ ۱ که در زمان گزارش حمله در امنیت لایه انتقال پرکاربرد بودند، وجود دارد. در نسخه‌های بعدی TLS(نسخه‌های ۱٫۱ و ۲) این مشکل برطرف شد. امروزه مرورگرهای مشهور به صورت پیش‌فرض نسخه‌های قدیمی این پروتکل‌ها را غیرفعال می‌کنند تا از این حمله در امان باشند.[۵۱]

    این حمله که مخفف عبارت Compression Ratio Info-leak Made Easy است، در سپتامبر سال ۲۰۱۲ در کنفرانس اکوپارتی[پانویس ۲۴] گزارش شد. در این حمله مهاجم می‌تواند به کوکی‌هایی که از طریق HTTPS و پروتکل اسپیدی[پانویس ۲۸] منتقل می‌شوند، دسترسی پیدا کند. برای جلوگیری از این حمله، کاربران باید پروتکل اسپیدی را در مرورگر خود غیرفعال نمایند.[۵۳]

    این حمله نیز توسط جولیانو ریزو[پانویس ۲۵] و ثای دونگ[پانویس ۲۶] گزارش شد.[۵۳]

    این حمله که آخرین حملهٔ گزارش شده تاکنون می‌باشد، در ماه اوت سال ۲۰۱۳، توسط کارشناسان امنیتی گزارش شده‌است. نام این نوع حمله از مخفف کردن عبارت Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext گرفته شده‌است. BREACH که به مهاجمین اجازهٔ رمزگشایی بسته‌های HTTPS را می‌دهد با عنوان «HTTPS در کمتر از ۳۰ ثانیه هک می‌شود» در رسانه‌ها بازتاب یافت. تمامی وبگاه‌هایی که از فشرده‌سازی HTTP[پانویس ۲۹] استفاده می‌کنند، در برابر این نوع حمله آسیب‌پذیرند. همچنین اشکالی که از آن استفاده شده‌است در تمامی نسخه‌های SSL و TLS وجود دارد.[۵۴][۵۵]

    تا کنون هیچ راه‌حلی برای مقابله با این حمله ارائه نشده‌است.[۵۶]

    در ایران[ویرایش]

    استفاده از پروتکل HTTPS در ایران گاهی دچار مشکل شده و با کاهش سرعت یا قطع دسترسی مواجه می‌شود.[۵۷][۵۸] بسیاری معتقدند که دلایل این اختلالات، مسائل سیاسی و امنیتی است. مسئولین معمولاً این ادعا را رد می‌کنند[۵۸] اما وزیر ارتباطات ایران در تیر ماه سال ۱۳۹۲ برای اولین بار اعلام کرد که دلیل افت سرعت اینترنت در زمان پیش از انتخابات، امنیتی و به دلیل انتخابات ریاست جمهوری ایران بوده‌است. وی این اقدام را راهکار و ابتکاری در جهت مقابله با ورود بیگانگان به فضای مجازی تعریف کرد.[۵۹]

    جعل گواهی گوگل و سرویس‌های آن[ویرایش]

    در ماه اوت سال ۲۰۱۱ میلادی شرکت گوگل اعلام کرد که یکی از گواهی‌های دیجیتال این شرکت که در مرجع دی‌جی‌نوتار[پانویس ۳۰] در کشور هلند ثبت شده‌بود، به سرقت رفته‌است. تحقیقات نشان داد که منبع این سرقت کشور ایران بوده‌است. با انجام این حمله، مهاجمین توانستند در مقیاس‌های بزرگ به ویژه در داخل ایران حمله‌های مرد میانی و فیشینگ ترتیب‌دهند. بسیاری ادعا کردند که آی‌اس‌پی‌های بزرگ در ایران مانند پارس‌آنلاین و خود دولت با استفاده از این گواهی‌های دزدیده شده، از اطلاعات کاربران سوءاستفاده کردند.[۶۰][۶۱]

    قابل ذکر است که گواهی دزدیده شده نه‌تنها مربوط به قسمت جستجوی وبگاه گوگل بود، بلکه در تمامی سرویس‌های گوگل از جمله جی‌میل، گوگل‌پلاس و غیره معتبر شناخته می‌شد. مرورگرهای مشهور با فاصله چند روز از انتشار این خبر، این مرجع را از لیست مراجع مورد تأیید خود حذف کردند. اما این گواهی ۴۰ روز قبل از انتشار این خبر دزدیده شده بود.[۶۰]

    کمپانی دی‌جی‌نوتار بعد از این اتفاق تعطیل شد.[۶۲]

    تاریخچه[ویرایش]

    کمپانی نت‌اسکیپ در سال ۱۹۹۴ میلادی HTTPS را بر پایهٔ اس‌اس‌ال در مرورگر خود(Netscape Navigator) به وجود آورد.[۶۳] ساختار پروتکل به‌وجود آمده (اس‌اس‌ال) به‌گونه‌ای بود که قابلیت قرار گرفتن هر نرم‌افزار و سرویسی بر روی آن وجود داشت[۶۴] با گذشت زمان پروتکل اس‌اس‌ال تغییر کرده و جای خود را به امنیت لایه انتقال داد. در واقع نسخهٔ بعد از نسخهٔ ۳٫۰ پروتکل اس‌اس‌ال، امنیت لایه انتقال نامیده‌شد. به همین دلیل عده‌ای این پروتکل را اس‌اس‌ال نسخهٔ ۳٫۱ نیز می‌نامند.[۶۵] نسخه‌های بعدی پروتکل امنیت لایه انتقال با ایجاد تغییرات بزرگ، راه خود را از اس‌اس‌ال جدا کردند.[۶۶] در نسخهٔ فعلی HTTPS که در ماه مه سال ۲۰۰۰ میلادی در RFC 2818 معرفی شده‌است، امنیت لایه انتقال به‌عنوان جایگزین پروتکل اس‌اس‌ال، در لایهٔ زیرین HTTPS قرار گرفته‌است.

    جستارهای وابسته[ویرایش]

    معادل‌های انگلیسی[ویرایش]

    منابع[ویرایش]

    کاربرد و تفاوت HTTP با HTTPS در چیست؟

    کاربرد و تفاوت HTTP با HTTPS در چیست؟

    تفاوت HTTP چیست؟ هر آدرس اینترنتی که با HTTP آغاز می شود از پروتکل انتقال ابرمتن استفاده می کند. این پروتکل توسط Tim Berners-Lee در اوایل دهه ۱۹۹۰ میلادی ایجاد شد این زمانی بود که اینترنت هنوز دوران طفولیت خود را طی می کرد. HTTP یک پروتکل استاندارد شبکه بود که به مرورگر وب و سرور ها اجازه ارتباط و تبادل اطلاعات را می داد. به HTTP، سیستم بدون وضعیت نیز گفته می شود و این بدان معناست که اتصال بر اساس تقاضا می باشد.

    آشنایی و تفاوت میان دو آدرس اینترنتی HTTP و HTTPS

    وقتی روی یک لینک کلیک می کنید، درخواست اتصال ارسال می شود و مرورگر وب این درخواست را به سرور ارسال می کند که با باز کردن صفحه، به این درخواست پاسخ ارسال می شود. پروتکل HTTP اتصالات سریع تری را به شما ارائه می دهد. HTTP روی ارائه اطلاعات تمرکز می کند اما کمتر به نحوه انتقال این اطلاعات از یک مکان به مکان دیگر اهمیت می دهد. پس این بدان معناست که HTTP می تواند مورد سوء استفاده قرار گیرد و به طور بالقوه تغییر یابد و به اطلاعات فرستنده و گیرنده آسیب بزند.

    منظور از HTTPS چیست؟

    HTTP و HTTPS هر دو از پروتکل انتقال ابرمتن استفاده می کند و هنوز هم ارتباط و انتقال اطلاعات مابین سرور و مرورگر وب انجام می شود. اما HTTPS کمی تفاوت دارد و پیشرفته تر و امن تر است. در انتهای پروتکل HTTPS شاهد کاراکتر S هستیم که از کلمه Secure عبارت Secure Sockets Layer می آید که یک تکنولوژی امنیتی استاندارد است که انتقال رد و بدل شده میان سرور و مرورگر وب را رمزگذاری می کند.

    در صورت استفاده نکردن از HTTPS، هر گونه اطلاعاتی که در سایت وارد می شود مانند نام کاربری، رمزعبور و دیگر اطلاعات مهم و ضروری ارسالی دیگر به سرقت برده می شود و مورد سوء استفاده قرار می گیرد. به همین دلیل توصیه می شود که قبل از وارد کردن هر گونه اطلاعات آدرس سایت را بررسی کنید.

    تفاوت میان وبگاه هایی که با HTTPS آغاز می شوند در چیست؟

    نیاز ما به HTTPS چیست و به چه معنایی دارد؟ HTTP مخفف Hypertext Transfer Protocol می باشد و یک نوع پروتکل انتقال می باشد. این پروتکل امکان ارتباط بین سیستم های مختلف را فراهم می آورد. به طور معمول برای انتفال داده از یک سرور وب به مرورگر و برای مشاهده صفحات وب استفاده می شود. مشکلی که HTTP دارد این است که اطلاعات رمزگذاری نمی شوند و توسط شخص سومی که مابین دو سیستم قرار دارد قابل سرقت می باشد.

    این مشکل را می توان با پروتکل امنی که HTTPS نامیده می شود، حل کرد. HTTPS از گواهینامه SSL که مخفف Secure Sockets Layer می باشد، استفاده می کند که یک اتصال امن رمزگذاری شده بین سرور وب و مرورگر وب ایجاد می کند. بدون پروتکل HTTPS اطلاعات شما ناامن است. این موضوع مخصوصا برای سایت هایی که اطلاعات حساس را رد و بدل می کنند، اهمیت دارد.

    تفاوت HTTP | تفاوت HTTPS

    مزایا در استفاده از HTTPS

    همانطور که قبلا اشاره کردیم، پروتکل HTTPS دارای مزایای بسیاری است:

    کاربران هر سایتی می خواهند که از اطلاعاتشان محافظت شود و داده های آنها به صورت امن منتقل شود، به همین سبب تقاضا ها رو به رشد هستند. طبق تحقیقات انجام شده، ۱۳ درصد از خریداران به علت نگرانی های امنیتی که داشتند، سبد خرید خود را رها کرده اند. بازدید کنندگان سایت می خواهند بدانند که آیا می توانند به سایت شما اعتماد کنند مخصوصا وقتی که اطلاعات مالی خود را وارد می کنند، استفاده از از پروتکل HTTPS یکی از راه هایی است که شما می توانید اعتماد مشتریان خود را جلب کنید.

    تفاوت HTTPS می تواند به سئو سایت شما کمک کند. در سال ۲۰۱۴ گوگل، HTTPS را به عنوان یک عامل مهم در رتبه بندی اعلام کرد. از آن به بعد، شرکت ها و سازمان هایی که پروتکل HTTPS را اجرا کردند مشاهده کردند که بازدید از سایتشان بهبود پیدا کرده است.

    مرورگر ها نیز در تلاش هستند در رابط کاربری خود تغییراتی ایجاد کنند به طوری که سایت های فاقد HTTPS غیرفعال می شوند. به طور مثال گوگل اعلام کرد، گوگل کروم تمام سایت هایی که از HTTP استفاده می کنند را به عنوان سایت ناامن معرفی خواهد کرد. حتی اگر شما در حال حاضر از سایت هایی بازدید کنید که از HTTP استفاده می کنند یک هشدار امنیتی به شما نمایش داده می شود که اعلام می کند اتصال شما امن نیست.

    مراحل تبدیل سایت به HTTPS

    برای تبدیل یک سایت از HTTP به HTTPS باید مراحل زیر را انجام داد:

    وقتی که شما گواهینامه SSL را نصب می کنید در نوار مرورگر شما یک قفل سبز رنگ نمایش داده می شود که بیان می کند در سایت از پروتکل HTTPS استفاده شده است و سایت شما امن می باشد.

    کاربرد https چیست

    کاربرد https چیست

    موضوع مقاله : کاربرد https چيست :

    شرح : HTTPS مخفف عبارت Hypertext Transfer Protocol است که در انتهاي آن حرف S (مخفف Secure) اضافه شده است. اگر آدرس صفحاتي که در اينترنت مرور مي‌کنيد با HTTPS آغاز مي‌شود، اطلاعات آن صفحات به وسيله ي رمزنگاري از ديد سايرين پنهان مي‌ماند. معمولا سايت بانک‌ها و همچنين صفحاتي که اطلاعات کارت بانکي يا رمزهاي عبورتان را در آن‌ها وارد مي‌کنيد، با استفاده از اين پروتکل، رمزنگاري شده‌اند.

    اطلاعات سايت‌هايي که از پروتکل HTTP استفاده مي‌کنند قابل شنود است. به هنگام بازديد سايتي که از پروتکل HTTP استفاده مي‌کند، اگر کسي بين شما و سرور آن سايت باشد، مي‌تواند صفحاتي که مرور مي‌کنيد را مشاهده کند. براي مثال اگر شما در يک کافي‌شاپ و در حال استفاده از اينترنت آن‌جا باشيد، در عمل تمامي صفحاتي که در حال مرورشان هستيد براي کافي‌شاپ، سرويس‌دهنده‌ي اينترنت و همين‌طور دولت يا برخي سازمان‌هاي دولتي، قابل مشاهده هستند.
    به هنگام بازديد يک سايت HTTP، سرور سايت مورد نظر به درخواست مرورگر شما پاسخ داده و اطلاعات سايت را بدون رمزنگاري، براي مرورگرتان ارسال خواهد کرد. اما به هنگام مرور يک سايت HTTPS، سرور سايت مورد نظر، پيش از هر چيز نسبت به تبادل کليدهاي رمزنگاري با مرورگر شما اقدام مي‌کند. با تبادل اين کليدها، اطلاعات در بين مسير، رمزنگاري مي شود و تنها در مبدا و مقصد قابل رمزگشايي مي باشند. بدين‌ترتيب اشخاص، شرکت‌ها و دولت که در بين راه قرار دارند، اطلاعات رمزنگاري‌شده‌اي را مشاهده خواهند کرد که برايشان بي‌معني است.

    جواب کاربران در نظرات پایین سایت

    مهدی : نمیدونم, کاش دوستان در نظرات جواب رو بفرستن.

    میخواهید جواب یا ادامه مطلب را ببینید ؟
    الفرید 1 ماه قبل
    0

    از این چطور استفاده بکنیم ممنون از اطلاع دهیتان

    مهدی 2 سال قبل
    0

    نمیدونم, کاش دوستان در نظرات جواب رو بفرستن.

    برای ارسال نظر کلیک کنید