تشفير HTTPS: كل ما تحتاج إلى معرفته

محتويات المقالة

HTTPS طريقة آمنة لتصفح الإنترنت دون المساس بمعلوماتك الخاصة. نشارك جميعًا المعلومات السرية عبر الإنترنت كل يوم ، وهذا يعرضنا جميعًا لخطر اختراق البيانات. ومع تزايد عدد المخاطر المحتملة على بياناتنا ، يتجه الناس إلى طرق أكثر أمانًا لتصفح الإنترنت.

يقوم HTTPS بتشفير البيانات بين متصفح الويب الخاص بك والخادم. هذا يجعل الاتصال آمنًا ويمنع الجمع والاستخدام غير المصرح به من قبل أطراف ثالثة. دعنا نتعرف على ما يجعل HTTPS خيارًا أكثر أمانًا للتصفح عبر الإنترنت وكيفية التحقق من الأمان على صفحات الويب التي تزورها.

أساسيات HTTP

إذا كنت تستخدم شبكة لاسلكية ، فيمكن للأجهزة الأخرى الموجودة على الشبكة سماع حزم البيانات الخاصة بك ومعرفة ما تفعله. باستخدام الأجهزة والبرامج المناسبة ، يمكن للقراصنة الوصول بسهولة إلى شبكتك والاستماع إلى أنشطتك.

هناك مخاطر أكبر في اتصال الإنترنت السلكي. يمكن للقراصنة التنصت على اتصالك مباشرة مثل خط الهاتف. هذا هو الحال مع بروتوكول نقل النص التشعبي الأصلي (HTTP). أدرك المطورون هذا الضعف في البروتوكول الحالي وأجروا تعديلات عليه. التعديل الناتج هو بروتوكول نقل نص تشعبي آمن (HTTPS) ويستخدم الآن على نطاق واسع عبر الويب.

يتبع HTTPS و HTTP نفس البروتوكولات الأساسية ، باستثناء أن HTTPS لديه ميزات أمان إضافية. تكون ميزات الأمان هذه في شكل بروتوكول SSL / TLS. يرمز SSL و TLS إلى طبقة المآخذ الآمنة وطبقة النقل الآمنة ، على التوالي. تعمل بروتوكولات الأمان هذه كظرف مغلق لبياناتك أثناء النقل. هذا يساعد على منع الجمع والاستخدام غير المصرح به من قبل مجرمي الإنترنت. اسم آخر لبروتوكول SSL هو TLS ، ويمكن استخدام هذه المصطلحات بالتبادل.

ما هو تشفير HTTPS؟

HTTP هو أحد بروتوكولات الشبكة العديدة التي تسمح لمستخدم الكمبيوتر بالاتصال بموقع ويب. يعتبر البروتوكول على نطاق واسع بمثابة بروتوكول قياسي للطلب والاستجابة. يتم استخدامه لإرسال الرسائل واستلامها بين الخادم والموقع. إذا كان هذا المفهوم مربكًا بعض الشيء ، فلنعد إلى مفهوم البروتوكولات.

البروتوكول هو الإجراء الرسمي أو نظام القواعد الذي يحكم التفاعلات. بتطبيق المفهوم على هذا الموقف ، يحدد HTTP الإجراءات الرسمية أو نظام القواعد التي تحكم المعاملة بين خوادم الويب وأجهزة الكمبيوتر. يستخدم عملاء HTTP بشكل عام اتصالات بروتوكول التحكم في الإرسال (TCP). هذا من أجل إقامة اتصال مع خوادم خارجية.

يعمل HTTPS بنفس طريقة عمل HTTP. الاستثناء الوحيد الملحوظ هو أن البروتوكول هو الإصدار الآمن من HTTP. يتميز بطبقة مضافة من SSL / TLS. هذه هي بروتوكولات التشفير التي تقوم بتشفير البيانات أثناء النقل على الشبكة. يتم تشفير جميع الاتصالات بين متصفح الويب الخاص بك والخادم لمنع المجرمين الإلكترونيين من الحصول على بياناتك أثناء النقل.

كيف يعمل HTTPS؟

يمكن أن يكون تشفير HTTPS عملية معقدة للغاية. لكن سيكون من الأسهل فهمها باستخدام القياس. لنفترض أنك قمت بقفل بعض المعلومات السرية في صندوق باستخدام مفتاح متماثل. ثم تشرع في إرسال هذا المربع ، مع المفتاح ، إلى الخادم. لكن أي شخص قد يستمع إلى المعاملة يمكنه ببساطة أن يأخذ الصندوق ويفتحه بالمفتاح الذي أرسلته . لحل هذه المشكلة ، يرسل الخادم الذي تحاول الاتصال به مربعًا خاصًا. تم قفل هذا الصندوق بمفتاح عام وتم تضمين المفتاح العام في الصندوق.

يمكن بعد ذلك فتح الصندوق بواسطة مجموعة منفصلة من المفاتيح تسمى المفتاح الخاص ، والتي يحتفظ بها الخادم. يرسل لك الخادم المربع الخاص مع المفتاح العام ولكنه يحتفظ بالمفتاح الخاص لأنفسهم. كما ترى من هذه المعاملة ، يستخدم اتصال SSL ثلاث مجموعات من المفاتيح لتأسيس الاتصال . يتضمن ذلك المفاتيح العامة والخاصة والمتماثلة. أي شيء كنت فك تشفير مع المفتاح العمومي لا يمكن إلا أن يكون فك باستخدام المفتاح الخاص، والعكس بالعكس. يمكنك وضع الصندوق الأصلي والمفتاح المتماثل داخل الصندوق الخاص المقدم.

بعد ذلك ، يمكنك قفل صندوق خاص باستخدام المفاتيح العامة المرفقة به ، ثم إعادة المربع إلى الخادم. سيفتح الخادم المربع باستخدام المفاتيح الخاصة التي احتفظ بها. بمجرد حصول كلا الطرفين على نسخ من المفتاح المتماثل ، يمكنهم مشاركة المعلومات. ولكن إذا كان المستعرض الخاص بك سيتصل بنفس الخادم في اليوم التالي ، فسيتم إنشاء مفتاح جلسة جديد . تساعد هذه العملية في الحفاظ على سرعة تبادل البيانات دون المساس بالسلامة.

متى يجب عليك استخدام موقع HTTPS؟

HTTP و HTTPS كلاهما بروتوكولات لتمرير المعلومات بين خوادم الويب والعملاء . لكن النقطة التي نحتاج إلى التركيز عليها هي أن HTTPS اتصال آمن ، بينما HTTP غير آمن. HTTP هو الإصدار القديم من HTTPS الذي سهل على المتسللين سرقة المعلومات عبر الإنترنت. تم تصميم HTTPS بشكل أساسي لمواقع الويب التي تتطلب إدخال معلومات شخصية. لكن في الوقت الحاضر ، تستخدم الكثير من مواقع الويب بروتوكول HTTPS. هذا بغض النظر عما إذا كانوا يطلبون معلوماتك الشخصية أم لا.

في عام 2018 ، أجرت Google تغييرات على سياستها الأمنية وبدأت في مطالبة جميع مواقع الويب ضمن نطاقها بتشفير HTTPS . تبنت السياسة Google للإبلاغ عن مواقع الويب التي لا تحتوي على HTTPS باعتبارها مواقع غير آمنة على Google Chrome ، وهو متصفح الويب الأصلي لموفر النطاق . سيتم أيضًا معاقبة مواقع الويب التي تفشل في الترقية إلى HTTPS بتقييمات منخفضة في بحث Google. ولكن مرة أخرى ، فإن Google Chrome الذي يشير إلى مواقع HTTP على أنها غير آمنة هو مجرد أحد التغييرات التي ستأتي قريبًا. المزيد من التغييرات ومن المتوقع أن توضع في المكان. تهدف هذه إلى حماية خصوصية وأمن المعلومات الحساسة.

تحتوي غالبية مواقع الويب التي نزورها عبر الإنترنت على ميزات تشفير. لكن عددًا صغيرًا لا يزال يحتفظ ببروتوكول اتصال HTTP. وأيضا للمستخدمين للغاية تشجيعهم على اللجوء إلى HTTPS التطبيقات المشفرة لتبادل المعلومات السرية أو شخصيا معلومات تعريفية (PII) . قد يشمل ذلك أي شيء من اسمك وعنوانك ورقم الضمان الاجتماعي ورقم الحساب المصرفي والمزيد . تأكد من أن القنوات التي تستخدمها مشفرة من طرف إلى طرف. هذا لمنع نفسك من الوقوع ضحية لسرقة الهوية والاحتيال.

من يستخدم تشفير HTTPS؟

تقوم معظم الشركات التي تتعامل مع المعلومات الشخصية ، مثل البنوك وشركات بطاقات الائتمان ومواقع التجارة الإلكترونية ، بتأمين مواقعها بشهادات SSL وتشفير HTTPS. تم إلزام هذه المواقع بموجب القانون بتوفير أمان إضافي لعملائها الذين يقدمون معلومات شخصية حساسة من خلال مواقعهم الإلكترونية.

بدأت مواقع الويب الأخرى التي لا تتطلب معلوماتك الشخصية أيضًا في استخدام HTTPS لإبعاد معلوماتك الخاصة عن الشركات التي تحاول توجيه الإعلانات المخصصة بطريقتك. هناك أيضًا من يسعون للحصول على معلومات الطرف الثالث من المواقع التي تزورها. متصفحات الويب المعروفة باستخدام تشفير HTTPS في تعاملاتها تشمل Mozilla Firefox و Google Chrome و Surf Shark و Comodo Dragon.

يجب على أي شخص يرغب في ممارسة ممارسات أمان جيدة عبر الإنترنت أن ينتقل أيضًا إلى مواقع HTTPS نظرًا لأنها أكثر أمانًا من المعيار. تساعد بروتوكولات التشفير ثنائية الاتجاه على حمايتك من البرامج الضارة والكيانات الأخرى التي قد تكون ضارة عبر الإنترنت. تحقق دائمًا من تشفير HTTPS لحظة فتح موقع ويب. ستحتاج أيضًا إلى البحث عن رمز قفل أخضر إما على الجانب الأيمن من شريط العنوان أو في الركن الأيمن السفلي من الصفحة. تخبرك هذه المؤشرات أن الموقع الذي تزوره شرعي وآمن من البرامج الضارة.

للحصول على حماية إضافية ، نوصي بشدة بتثبيت برنامج مكافحة فيروسات متميز بميزات متقدمة. سيكتشف برنامج مكافحة الفيروسات البرامج الضارة التي قد تعرض بياناتك للخطر ويزيلها.

يمكنك أيضًا الاستفادة من VPN ، والتي تنشئ نفقًا مشفرًا للمساعدة بين العميل والخادم. يعمل هذا كطبقة حماية إضافية للمناطق التي لا يغطيها متصفح الويب المشفر. تحقق من هذا الدليل حول كيفية تثبيت VPN .

ما هي شهادة SSL؟

عند تقديمك مع مواقع HTTP و HTTPS ، فمن الطبيعي أن نتساءل ما الفرق بين الاثنين. حسنًا ، شهادة SSL هي أول وأهم فرق. مواقع HTTPS تمتلكها ، بينما مواقع HTTP لا تمتلكها.

شهادات SSL عبارة عن ملفات صغيرة تنشئ ارتباطًا مشفرًا بين خادم الويب والمستعرض. يعمل التشفير على ختم البيانات تمامًا كما تفعل مع وضع المستندات داخل مغلف للحفاظ على سلامتها أثناء النقل. من الناحية المثالية ، يجب أن تظل جميع البيانات التي تمر عبرها خاصة لكلتا القناتين. يحمي التشفير بياناتك من هجمات man-in-the-middle. هذا هو المصطلح المستخدم لأي هجمات يتم إطلاقها أثناء نقل بياناتك.

إلى جانب القدرة على تشفير بياناتك أثناء النقل ، تعمل شهادات SSL أيضًا كوسيلة أساسية لمصادقة صفحة ويب أو خادم. إنه يساعد على طمأنة المستخدم إلى أن موقع الويب آمن ومضمون وأنه يتواصل مع صفحة الويب المقصودة. تلعب شهادات SSL دورًا مهمًا في بناء الثقة بين متصفح الويب والخادم. عادةً ما تصدر سلطات التصديق التابعة لجهات خارجية (CA) هذه الشهادات عند التحقق من توافق السلامة مع معايير الصناعة. من خلال توفير نفق للاتصالات الآمنة ، يعد تشفير SSL مكونًا مثاليًا في تبادل المعلومات السرية والمعاملات المالية الإلكترونية.

يمكن أن يمنح وجود شبكات مشفرة معظم الناس الثقة لمشاركة المعلومات الشخصية من خلال الدردشة المشفرة والبريد الإلكتروني ومنصات المراسلة الفورية. يمكن أن يمنحك أيضًا إحساسًا بالثقة للتخلص من معاملاتك المالية. يمكنك معرفة كيفية استخدام Apple Pay للدفع الآمن غير النقدي عبر الإنترنت.

كيف يعمل SSL؟

يتم إنشاء شهادات SSL باستخدام البنية التحتية للمفتاح العام (PKI) أو تشفير المفتاح العام. تتضمن هذه الطريقة مفتاحين مميزين للتشفير ، كلا من المفاتيح العامة والخاصة. يتم استخدام المفتاح العام لتشفير البيانات التي سيتم إرسالها عبر الشبكة بينما يتم الاحتفاظ بالمفتاح الخاص لفك التشفير. تتم مشاركة المفتاح تلقائيًا مع العملاء الذين يحاولون الوصول إلى موقع الويب ، وعادةً ما يأتي مع شهادة SSL. يتم نشر المفتاح العام تلقائيًا في كل مرة نفتح فيها موقعًا على شبكة الإنترنت ، ولا نلاحظه حتى.

يتم تخزين هذه المفاتيح في الشهادة الرقمية. يمكنك أيضًا رؤية المفتاح العام لموقع ويب من خلال عرض تفاصيل شهادة SSL في متصفحك. دائمًا ما يكون زوج المفاتيح مختلفًا ، لكن اقترانهما فريد. ما نعنيه هو أن المفتاح الخاص فقط يمكنه فك تشفير البيانات التي تم تشفيرها باستخدام المفتاح العام والعكس صحيح. بمجرد أن يتحقق العميل من تطابق المفتاح العام مع المفتاح الخاص ، يتم إنشاء اتصال آمن. يمكن فك تشفير رسالة مشفرة بواسطة المفتاح العام باستخدام المفتاح الخاص والعكس صحيح. نطلق على هذه الوظيفة القابلة للتبديل للمفاتيح الخاصة والعامة “التشفير غير المتماثل”.

وفي الوقت نفسه ، يشار إلى عملية إنشاء اتصال آمن على أنها عملية تأكيد اتصال SSL. هذا ليس مثل المصافحة القديمة التي نعرفها ، وهي تتضمن ثلاث خطوات أساسية. تبدأ العملية عندما يقول العميل “مرحبًا” للخادم ، وبعد ذلك يستجيب الخادم بإرسال شهادة SSL مع المفاتيح الخاصة. ثم يتحقق العميل من أصالة الخادم ، وبعد ذلك يشارك الطرفان مفاتيحهما. يتم إنشاء مفتاح رئيسي في العملية ، ويمكن استخدامه لتشفير وفك تشفير المعلومات بين الخادم والعميل.

كيف يتم التوقيع على شهادات SSL؟

بالنسبة إلى HTTPS على صفحة الويب ، فإن أول شيء ستحتاج إليه هو شهادة SSL. هذه الشهادة هي دليل على وجود اتصال مشفر بين متصفح وخادم أو موقع ويب. لشرح كيفية حدوث شهادة SSL ، لنأخذ شهادة موقع YouTube كمثال. بالنسبة لأولئك الذين لا يعرفون ، اشترت Google موقع YouTube مرة أخرى في عام 2006. يجب أن تمر جميع مواقع الويب التابعة لـ Google عبر هيئة شهادات Google المفوضة رسميًا لهذا الغرض.

لنفترض أن YouTube هو الطرف الطالب ، بينما Google هي المرجع المصدق (CA). سيتعين على أي مؤسسة تريد تشفير موقع ويب باستخدام HTTPS أولاً أن تطلب طلب توقيع شهادة مُعاد توجيهه إلى سلطة تسجيل البنية التحتية للمفتاح العام ، والتي تكون في هذه الحالة Google CA. سيتعين على خادم الويب في YouTube إجراء هذا الطلب باستخدام زوج مفاتيح الخادم وطلب Google CA بشكل أساسي لتوقيع الطلب. بعد تلقي Google للطلب ، سيقومون بالتوقيع عليه باستخدام مفتاحهم الخاص. يمكن لأي شخص لديه المفتاح العام التحقق من أن Google هو الشخص الذي وقع الطلب.

تحتوي معظم المتصفحات بالفعل على قوائم مضمنة بالشهادات الموثوقة الصادرة عن هيئات تصديق معروفة. تتشابه العروض المقدمة من موفري SSL المختلفين في الغالب مع بعضها البعض ، ولكن يمكن أن تختلف قليلاً من حيث محتويات الحزمة وميزاتها. تقدم معظم هيئات إصدار الشهادات شهادات ذات فترة صلاحية تتراوح بين عام إلى خمس سنوات ، على الرغم من أن الحد الأقصى المسموح به قانونيًا لفترة الشهادة هو 825 يومًا فقط أو عامين وثلاثة أشهر.

تتبع المراجع المصدقة نفس بروتوكولات الصناعة الصارمة للتحقق من أمان موقع الويب الخاص بك قبل أن تتمكن من إصدار شهادة SSL. يسمح البعض أيضًا بالتطبيقات المتزامنة من كيان واحد يتعلق بالعديد من الشهادات عبر مجالات متعددة.

هل شهادات SSL آمنة تمامًا؟

شهادات SSL آمنة بشكل عام ، ولكن حتى هذه يمكن اختراقها. انظر إلى ما حدث مع هيئة الشهادات الهولندية DigiNotar في عام 2011. تسلل المتسللون إلى قاعدة بيانات الشركة وأصدروا شهادات SSL صالحة لسلسلة من المجالات البارزة. استغل المتسللون هذه الشهادات لاختراق اتصالات المواطنين الإيرانيين سرا. اكتشفت السلطات الشذوذ وأزال كبار مصنعي المستعرضات Mozilla و Microsoft و Google شهادة جذر DigiNotar من قائمة الجذور الموثوقة.

كان للحادث أيضًا عواقب بعيدة المدى على مواقع الويب الأخرى ، ولم يثقوا في الشهادات التي أصدرتها DigiNotar مسبقًا. رفضت متصفحات الويب الأخرى الشهادات الرقمية الصادرة قبل الحادث ، مما دفع المواقع للحصول على شهادات جديدة. تقدمت الشركة بطلب الإفلاس بعد فترة وجيزة.

إذا أثبتت هذه الحادثة أي شيء ، فهو أن المتسللين سيبذلون جهودًا كبيرة لتحقيق غاياتهم الخاصة. وحتى هيئات منح الشهادات ليست معفاة من القوة التدميرية للجرائم الإلكترونية. ظهر عدد من التقارير على مر السنين حول شهادات SSL التي أنشأتها مواقع الويب سيئة السمعة. أشارت تقارير أخرى إلى أنه حتى وكالة الأمن القومي يمكنها إنشاء شهادات SSL كجزء من عمليات الإيقاع بها. على هذا النحو ، من الواضح أنه أصبح من الصعب على الجمهور التمييز بين المواقع الشرعية والمزيفة تمامًا.

الأفكار النهائية حول تشفير HTTPS

قد يبدو لنا التشفير وحماية البيانات كمفاهيم حديثة. لكن في الواقع ، هذه المفاهيم موجودة منذ آلاف السنين. في الواقع ، ظهرت العديد من الطرق الأساسية للتشفير من اليونان القديمة. أحد الأمثلة على ذلك يسمى شفرة قيصر ، التي سميت على اسم الشخصية التاريخية يوليوس قيصر. وبحسب ما ورد استخدم قيصر التشفير لحماية مراسلاته الخاصة. يعمل هذا عن طريق استبدال كل حرف في النص بآخر من الأبجدية.

لحسن الحظ لجيلنا ، لدينا بالفعل أجهزة كمبيوتر متقدمة لتشفير البيانات بشكل أسرع وبطريقة أكثر تعقيدًا. يعلمنا التاريخ أن الأشخاص العازمين على انتهاك قواعد الخصوصية سيجدون دائمًا طريقة للقيام بذلك. تقوم بروتوكولات اتصال HTTPS حتى الآن بعمل رائع في حماية خصوصية الأشخاص وبياناتهم بعيدًا عن أيدي مجرمي الإنترنت الذين يمكن أن يجعلوا حياتهم بائسة بسبب البيانات التالفة أو المحذوفة أو التي تم فدية.

تعد بروتوكولات اتصال HTTPS واحدة من أهم التطورات في ممارسات الأمن السيبراني التي توصل إليها عمالقة التكنولوجيا. ولكن هناك العديد من ممارسات الأمن السيبراني التي يمكنك تطبيقها في الحياة اليومية. اكتشف المزيد حول ممارسات الأمن السيبراني الأخرى التي يمكنك اتباعها للحفاظ على سلامتك أنت وعائلتك عبر الإنترنت. نحن محظوظون جدًا لامتلاكنا هذه التقنية لحماية بياناتنا.