بروتوكول نقل النص الفائق الآمن
بروتوكول نقل النص الفائق الآمن HTTPS اختصار HTTPS، هو مزيج من بروتوكول نقل النص التشعبي مع خدمة تصميم المواقع تلس / بروتوكول لتوفير الاتصالات المشفرة وتحديد تأمين شبكة خادم الويب. غالبا ما تستخدم الشبكي وصلات لمعاملات الدفع على الشبكة العالمية للمعاملات ونظم المعلومات الحساسة في الشركات. الشبكي لا ينبغي الخلط بينه وبين النص المتشعب الآمنة
جزء من سلسلة مقالات حول |
بروتوكول نقل النص الفائق |
---|
استمرارية الاتصال [الإنجليزية] • الضغط [الإنجليزية] • النسخة الآمنة |
بوابة شبكات الحاسوب |
بداية الفكرة
الفكرة الرئيسية من الشبكي هو إنشاء قناة آمنة عبر شبكة آمنة. وهذا يضمن حماية معقولة من التنصت والهجمات والقراصنة، شريطة أن يتم استخدام الأجنحة الكافية والشفرات والتحقق من هذه الشهادة هو الخادم وموثوق به. المتأصلة في الشبكي يعتمد على الثقة الكبرى الشهادات الآمنة التي تأتي مثبتة مسبقا في برنامج التصفح (وهذا يعادل قائلا «أنا على ثقة السلطة شهادة (مثل فيريساين / مايكروسوفت / الخ.) ليقول لي أن أعطيه الثقة»). وعلى موقع على شبكة الإنترنت يمكن الوثوق بها لذلك الاتصال الشبكي إذا وفقط إذا كانت كافة الإجراءات التالية صحيحا: وتأمل المستخدم التي تنفذ البرامج الخاصة بهم بشكل صحيح متصفح الشبكي مع السلطات الشهادة المثبتة مسبقا بشكل صحيح. المستخدم يثق في السلطة ليشهدوا شهادة فقط للمواقع المشروعة دون أسماء مضللة. ويوفر الموقع شهادة صالحة، وهذا يعني تم التوقيع عليها من قبل سلطة موثوق به. (شهادة غير صالحة يظهر تحذير في معظم برامج التصفح) الشهادة بشكل صحيح يعرف الموقع (على سبيل المثال زيارة الموقع;https://example.com على سبيل المثال وتلقي شهادة من أجل «مثال شركة» وليس أي شيء آخر اما التدخل القفزات على الإنترنت هي جديرة بالثقة، أو المستخدم يثق البروتوكول التشفير طبقة (تلس أو خدمة تصميم المواقع) هي غير قابلة للكسر من قبل المتصنت
لماذا بروتوكول HTTPS
تكمن المشكلة في بروتوكول HTTP، كما في كثير من البروتوكولات المصممة للإنترنت في عدم أخذ الجانب الأمني في الاعتبار، ومن أهم الثغرات الأمنية فيه أن محتويات الصفحات والبيانات المرسلة لها مثل اسم المستخدم وكلمة المرور والبيانات الشخصية التي يتم تعبئتها في النماذج الإلكترونية، يتم إرسالها بطريقة غير مشفرة، وهذا يعني إمكانية التجسس على البيانات المرسلة والمستقبلة من قبل المخترقين بسهولة. المشكلة الثانية هي عدم وجود آلية للتحقق من هوية الموقع الذي يتم التعامل معه، مما يعرض المستخدم لخطر الوقوع ضحية لأساليب الاصطياد الإلكتروني (phishing) عند الدخول على موقع يشبه تماما الموقع الأصلي (للبنك مثلا) وقد يتشابه معه في جزء من العنوان مع تغيير بسيط في الحروف. يقدم بروتوكول HTTPS (Hypertext Transfer Protocol Secure) الحل لهذه المشاكل وغيرها عن طريق تشفير البيانات المرسلة بين متصفح الإنترنت وبين الموقع، حيث يستخدم بروتوكول SSL/TLS مع بروتوكول HTTP المعتاد. يتم الاتفاق على المفاتيح المستخدمة في التشفير آليا عند بداية الاتصال (أي عند بداية الدخول على الموقع)، ثم يتم استخدام تلك المفاتيح في التشفير. وبالإضافة إلى عملية التشفير، فإن بروتوكول SSL يمكنه التأكد من هوية الموقع عن طريق الشهادة الإلكترونية Digital Certificate التي يقدمها الموقع للمتصفح عند بداية الاتصال، والتي تحتوي على معلومات عن الموقع. يقوم المتصفح بالتأكد من هذه البيانات مثل العنوان وتاريخ صلاحية الشهادة وأن الشهادة لم يتم إلغاؤها. يجب استخدام HTTPS دائما في المواقع التي تتطلب إدخال بيانات مهمة مثل رقم الهوية أورقم بطاقة الائتمان، وكذلك المواقع الخاصة بالبنوك ومواقع الشراء عبر الإنترنت. كما أن أغلب مواقع البريد الإلكتروني تستخدم هذا البروتوكول لحماية مستخدميها. من المهم التأكيد على أن مجرد كون الموقع يستخدم HTTPS لا يكفي، بل يجب التأكد من صحة الشهادة التي يحملها، وأغلب المتصفحات المعروفة تحذر المستخدم عند عدم صلاحية الشهادة أوعند عدم تطابق هوية الموقع مع بيانات الشهادة، وعند ذلك يجب عدم الاستمرار في تصفح الموقع وعدم إدخال بيانات مهمة إليه[1]
تضمينه مع المتصفح
عند الاتصال إلى موقع مع شهادة غير صالحة، فإن المتصفحات القديمة الحالية تعرض علي المستخدم نافذه «هل يريد الاستمرار أم لا».المتصفحات الحديثة تعرض تحذير عبر نافذة بأكملها. تعرض المتصفحات الحديثة أيضا أحدث المعلومات
التاريخ
أنشأت شركة نتسكيب للاتصالات بروتوكول نقل النص التشعبي الآمن في العام 1994 للعمل مع متصفحها للمواقع نتسكيب. كان البروتكول في الأصل يستخدم في التشفير عن طريق ال SSL وهو أي ال SSL تطور ليكون TLS.+
انظر أيضًا
مراجع
- rs.ksu.edu.sa/12860.html،"مقال",09/09/2011،د. مصطفى حسن دهشان
- بوابة أمن المعلومات
- بوابة إنترنت
- بوابة اتصال عن بعد
- بوابة برمجيات
- بوابة تقنية المعلومات
- بوابة علم الحاسوب