الحماية | 7 دقائق للقراءة

ما هو بروتوكول HTTPS ؟ وكيف يعمل ؟

في عام 1990 ، ولد الإنترنت كما نعرفه اليوم منذ البداية ، استخدم بروتوكول (HTTP) لنقل المعلومات حول العالم. هذا هو السبب في أن بداية عناوين الويب تبدأ بـ HTTP.

HTTP العادي غير آمن لأنه ينقل المعلومات في نص عادي. وهذا يعني أن أي شخص يعترض حركة المرور يمكنه قراءته. وهذا لا يشمل فقط المخترق الذي يراقب شبكة الواي فاي الخاصة بك ، ولكن مزود خدمة الإنترنت (ISP) أيضًا. 

ما هو HTTPS ؟

ولكن سرعان ما قرر الناس أنهم يريدون استخدام الإنترنت للحصول على بيانات حساسة (مثل أرقام بطاقات الائتمان) ، لذلك كان علينا إيجاد طريقة لجعل HTTP آمنًا بحيث لا يستطيع أحد رؤية رقم بطاقتك الائتمانية أثناء النتقاله بين المتصفح والخادم (Server) . لذلك في عام 1994 ، قامت شركة Netscape Communications بتحسين HTTP ببعض التشفير. وبشكل جوهري ، قاموا بعمل حفل زفاف بين Secure Socket Layer المعرف ب SSL و بروتوكول HTTP , لينتج عن ذلك بروتوكول جديد يدير حركة نقل البيانات عبر الويب.

أصبح هذا يعرف باسم "HTTP عبر SSL" أو "HTTP Secure". ويعرف أيضاً باسم HTTPS. اليوم ، أكثر من 50٪ من جميع مواقع الويب تستخدم بروتوكول HTTPS. وقد تزايد هذا الرقم بشكل كبير في السنوات القليلة الماضية منذ أن كشف إدوارد سنودن أن وكالة الأمن القومي تتجسس على حركة مرور الإنترنت للجميع. الهدف النهائي  كما ذكر الكثيرون ، هي ترحيل الإنترنت بالكامل إلى بيئة HTTPS تمامًا ، حيث يتم تشفير جميع زيارات موقع الويب افتراضيًا.

لم علينا تشفير الانترنت كاملاً باستخدام HTTPS ؟

توفر HTTPS الخصوصية والأمان على حد سواء . وهذا ما يمنع المتطفلين من قراءة بياناتك أو إدخال الشفرات الخاصة بهم في جلسات الويب (التي تمنع بواسطة HTTPS بشكل افتراضي) ، ولكن الخصوصية هي الوجه الآخر للعملة. نحن نعلم أن مزودي خدمات الإنترنت ، والحكومات وشركات جمع البيانات الكبيرة يحبون فقط التجسس على حركة المرور لدينا وتخزينها لسبب لا يعرفه الا الله وحده. بالتأكيد ، قد لا تعتقد ان الأمر مهم بالنسبة لك. أي إلى أن تتصفح معلومات عن حالة طبية شخصية أو نصيحة بشأن تسريع موقعك على الويب.من الذي قد يهتم بذلك أصلاً؟ لكن في الواقع هذه المعلومات مفيدة دائما لشخص ما , وهذا هو سبب اختيار العديد من مواقع الويب لتشفير حركة المرور الخاصة بك على الرغم من أنك لا ترسل معلومات حساسة. نحن نعتقد ببساطة أن سلوكنا عبر الإنترنت يجب أن يظل خاصًا بقدر الإمكان.

كيف يعمل بروتوكول HTTPS ؟

تحافظ HTTPS على سرية معلوماتك من خلال تشفيرها أثناء تنقلها بين المتصفح وخادم موقع الويب. هذا يضمن أن أي شخص يستمع إلى المحادثة لا يمكنه قراءة أي شيء. يمكن أن يشمل ذلك مزود خدمة الإنترنت (ISP) أو مخترقًا أو أي شخص آخر يدير موقعه بينك وبين خادم الويب.

في الاساس , انت بحاجة لثلاث أشياء لتشفير البيانات عبر HTTPS :

1- النص الذي تريد تشفيره

2- مفتاح التشفير الخاص ب SSL وهو رمز طويل من الأحرف العشوائية

3- الخوارزمية اللازمة للتشفير , وهذا ما يوفره بروتوكول HTTPS

 

كل ما عليك هو تنصيب الخوارزمية وتحديد مفتاح التشفير. و هذا نهاية دورك في العملية ،تتم عملية التشفير والمخرجات تكون نص مشفر لا يبدو أن أي انسان طبيعي يمكنه فهمه . لفك تشفير النص المشفر على الطرف الآخر ، يمكنك فقط عكس العملية باستخدام نفس المفتاح وتعكس التشفير ، واستعادة الشكل الأصلي للبيانات. إن سرية مفتاح التشفير الذي يجعل العملية بأكملها تعمل. يجب أن يكون لدى المستلمين المعنيين للبيانات فقط ، وإلا يتم هزيمة الغرض. عندما تستخدم نفس مفتاح التشفير على كلا الطرفين ، يطلق عليه اسم التشفير المتناظر. هذا ما تستخدمه شبكة WiFi المنزلية. لديك مفتاح واحد فقط ، أو "كلمة مرور" ، والذي تقوم بتوصيله بكل من الموجه اللاسلكي وجهاز الكمبيوتر المحمول الخاص بك.بهذه البساطة.

يبدو الأمر جميلاً لحد الآن , لكن تكمن المشكلة في الاتصالات التي تحدث بشكل عام على الانترنت , ما سبق شرحه هو كيفية تطبيق مفتاح التشفير بين جهازين يملكان نفس المفتاح , لكن على الشبكة العامة لا يمكنك تطبيق مبدأ التشفير المتناظر , لانك ببساطة لا يمكنك توزيع مفتاح التشفير على جميع مستخدمي موقعك , بهذه الطريقة تكون قد دمرت عملية التشفير من أساسها , وهنا يأتي دور تقنية التشفير غير المتناظر.

والتشفير الغير منتاظر  يعني أنك تستخدم مفتاحين مختلفين ، أحدهما للتشفير والآخر لفك تشفيره. كما نطلق على هذا المفتاح العام "تشفير المفتاح العام" لأنه الطريقة التي نؤسس بها اتصالات آمنة على الإنترنت العام.

تزويج مفاتيح تشفير SSL

لفهم التشفير غير المتماثل ، تحتاج إلى معرفة كيف يمكن لمفتاحين منفصلين تشفير وفك تشفير نفس البيانات. كما تبين ، إنها مجرد مشكلة في الرياضيات بأعداد كبيرة جدًا. إنها تتطلب عملية رياضية خاصة باستخدام أعداد أولية كبيرة جدا وحساب معياري ، من بين أمور أخرى. التفاصيل الفنية هي خارج نطاق هذه المقالة ولكن هذا هو كيف يعمل من الناحية المفاهيمية. عادة (ليس دائما) يتم حساب كل من المفاتيح العامة والخاصة معا في نفس الوقت ، في نفس العملية الرياضية. هذا يعني أنهم مرتبطون بشدة بالرياضيات. وبسبب هذه العلاقة ، يمكن استخدامها لتشفير / فك تشفير البيانات نفسها. وهذا أيضًا هو السبب وراء عدم عمل المفاتيح العامة والخاصة من الأزواج المختلفة معًا. يحتوي كل خادم ويب على مجموعة فريدة خاصة به ، مما يجعل اتصالك بموقع الويب فريدًا من مواقع أخرى. ومع ذلك ، يمكن أن تذهب العملية اتجاه واحد فقط. عند استخدام أحد المفاتيح (سواء عام أو خاص) لتشفير بعض البيانات ، يمكن استخدام المفتاح الآخر فقط لفك تشفيره. هذه هي الطريقة التي تعمل بها الرياضيات بشكل ملائم. لذلك لا يهم من لديه المفتاح العام لأنه لا قيمة له بمجرد تشفير البيانات. يمكن فك تشفيرها فقط باستخدام المفتاح الخاص ، الذي يتم تخزينه سراً على خادم الويب.

ما الذي لا يمكن ل HTTPS عمله ؟

من السهل توقع الميزات الاعجازية لبروتوكول HTTPS لكن هل يمكنك توقع ما لا يستطيع عمله ؟ اليك القائمة...

 

إخفاء أسماء مواقع الويب التي تزورها وذلك لأن الاسم (يعرف بـ "المجال") للموقع الإلكتروني يتم إرساله باستخدام DNS (خدمة اسم المجال) ، التي لا تكون داخل نفق HTTPS. يتم إرساله قبل إجراء الاتصال الآمن. يمكن لأي مخترق في المنتصف رؤية اسم موقع الويب الذي ستذهب إليه  ،ولكن لا يمكنه قراءة أي محتوى فعلي يتم نقله ذهابًا وإيابًا.

حمايتك من زيارة المواقع الخطيرة 

لا يضمن HTTPS أن موقع الويب نفسه آمن. لا يعني مجرد الاتصال بأمان أنك لا تتصل بموقع ويب يديره أشخاص سيئون. يعمل فريق تطوير البروتوكول على إصلاح هذه المشكلة مع "المراجع المصدقة الموثوق بها" ولكن النظام ليس مثاليًا حتى الآن .

اخفاء هوية المتصفح

لا يستطيع HTTPS اخفاء هويتك الفعلية , لانه لا بد من توفر عنوان  IP مع الطلب , ولن يتم تشفير عنوان ال IP لانه في هذه الحالة لن تستطيع التواصل مع الشبكة باستخدام عنوان مشفر.

حمايتك من الفيروسات

HTTPS ليس فلتر للبيانات , من الممكن ان تتلقى فيروسات خلال زيارتك لموقع مشفر بهذا البروتوكول ان كان الخادم مصاباً بالفيروسات او كنت على موقع يوزع برامج أو ملفات مصابة بالفيروسات , لكن يمكنه حمايتك من أي شخص في الوسط , بين المتصفح الذي هو أنت فعلياً والخادم , ويمنع اي شخص في الوسط من ادخال أي فيروسات الى الاتصال .

حماية جهازك من الاختراق

لا يحمي HTTPS البيانات إلا أثناء انتقالها بين جهاز الكمبيوتر وخادم الويب. لا تقدم أي حماية لجهاز الكمبيوتر الخاص بك أو الخادم  أنفسهم. وهذا يعني أيضًا أنه في حالة وجود برامج ضارة تقوم بمراقبة حركة المرور على أحد طرفي الاتصال ، يمكنها قراءة حركة المرور قبل وبعد تشفيرها داخل تدفق HTTPS.

في الأساس ، يحمي HTTPS معلوماتك فقط أثناء تدفقها عبر الأسلاك. لا يمكن أن تحمي جهاز الكمبيوتر الخاص بك أو هويتك أو تخفي المواقع التي تزورها. HTTPS هو جزء واحد فقط من الإنترنت أكثر أمانًا. إذا كنت تبحث عن مزيد من الخصوصية ، فستكون خدمة VPN هي الخطوة التالية.

 

في النهاية , نستطيع الوصول الى تعريف مختصر لبروتوكول HTTPS وهو بروتوكول منبثق من اندماج تقنية SSL مع بروتوكول HTTP يحمي البيانات اثناء انتقالها من المتصفح الى الخادم , وهو يعتبر حالياً معياراً أساسياً للويب الآمن .