مجله دیجی کالا: در حالی که اغلب توجه ها در رابطه با امنیت، به مسایلی روزمره مانند داستان FBI و آیفون رمزنگاری شده یا رمزنگاری دوطرفه در اپلیکیشن Whatsapp جلب شده، هنوز بسیاری از افراد از اهمیت HTTPS آگاهی کافی ندارند. در ادامه این مطلب می خواهیم بگوییم که HTTPS چیست و چرا مهم است.
بد نیست بدانید HTTPS مخفف عبارت Hypertext Transfer Protocol است که در انتهای آن حرف S (مخفف Secure) اضافه شد ...
همه آن چه باید درباره HTTPS بدانید
مجله دیجی کالا: در حالی که اغلب توجه ها در رابطه با امنیت، به مسایلی روزمره مانند داستان FBI و آیفون رمزنگاری شده یا رمزنگاری دوطرفه در اپلیکیشن Whatsapp جلب شده، هنوز بسیاری از افراد از اهمیت HTTPS آگاهی کافی ندارند. در ادامه این مطلب می خواهیم بگوییم که HTTPS چیست و چرا مهم است.
بد نیست بدانید HTTPS مخفف عبارت Hypertext Transfer Protocol است که در انتهای آن حرف S (مخفف Secure) اضافه شده. اگر آدرس صفحاتی که روزانه در اینترنت مرور می کنید با HTTPS آغاز می شود، اطلاعات آن صفحات به واسطه رمزنگاری از دید سایرین پنهان می ماند. معمولا سایت بانک ها و همچنین صفحاتی که اطلاعات کارت بانکی یا رمزهای عبورتان را در آن ها وارد می کنید، با استفاده از این پروتکل، رمزنگاری شده اند.
اطلاعات سایت هایی که از پروتکل HTTP استفاده می کنند قابل قطع شدن و شنود است. به هنگام بازدید سایتی که از پروتکل HTTP استفاده می کند، کسی که بین شما و سرور آن سایت باشد، می تواند صفحاتی که مرور می کنید را مشاهده کند. برای مثال اگر شما در یک کافی شاپ و در حال استفاده از اینترنت آن جا باشید، در عمل تمامی صفحاتی که در حال مرورشان هستید برای کافی شاپ، سرویس دهنده اینترنت و همین طور دولت یا برخی سازمان های دولتی، قابل مشاهده هستند.
کمی عمیق تر نگاه کنیم. به هنگام بازدید یک سایت HTTP، سرور سایت مورد نظر به درخواست مرورگر شما پاسخ می دهد و اطلاعات سایت را بدون رمزنگاری، برای مرورگرتان ارسال می کند. اما به هنگام مرور یک سایت HTTPS، سرور سایت مزبور، پیش از هر چیز نسبت به تبادل کلیدهای رمزنگاری با مرورگر شما اقدام می کند. با تبادل این کلیدها، اطلاعات در بین مسیر، رمزنگاری شده و تنها در مبدا و مقصد قابل رمزگشایی هستند. بدین ترتیب اشخاص، شرکت ها و دولت که در بین راه قرار دارند، اطلاعات رمزنگاری شده ای را مشاهده می کنند که برایشان بی معنی است.
آقای «پیتر اکرسلی» (Peter Eckersley) از موسسه EFF، ارتباطات اینترنتی را به لوله هایی توصیف می کند که اگر در حالت HTTP باشند، شفاف هستند. در این صورت بسیاری از افراد در بین مسیر می توانند محتوایی را که در لوله ها در حال جابجایی است مشاهده کنند. اما اگر از HTTPS برای انتقال استفاده شود، لوله ها همه مات می شوند و فقط کسانی که در ابتدا و انتهای لوله حضور دارند از آنچه در حال حرکت در لوله هاست آگاه خواهند بود.
استقبال مجدد از HTTPS
HTTPS از پروتکلی تحت عنوان SSL یا TSL برای رمزنگاری استفاده می کند که عمر آن بیش از دو دهه است. این پروتکل اولین بار در سال ۱۹۹۴ در مرورگر Netscape Navigator استفاده می شد. با این حال، استفاده از این تکنولوژی در سال های اخیر در حوزه هایی خاص شتاب گرفته است. امروزه برای محافظت از اطلاعات بانکی یا رمزهای عبور از HTTPS استفاده می شود. مدیران سایت ها به تدریج بساط رمزنگاری را در همه صفحات سایت هایی مثل شبکه های اجتماعی تا سایت های دولتی، گسترانده اند.
در حال حاضر به گزارش موزیلا، در بیش از ۴۲ درصد بازدیدهای وب از HTTPS استفاده می شود. این عدد در تابستان گذشته ۳۸ درصد بوده است. به گفته متخصص موسسه EFF، این افزایش بازدید صفحات HTTPS بیشتر به خاطر حفاظت از اطلاعات حساس (مانند رمزهای عبور و اطلاعات بانکی) مورد استفاده قرار گرفته است.
اما صفحات امن در واقع از هویت و حریم شخصی ما به هنگام مرور وب نیز حفاظت می کنند. برای مثال بازدیدکننده ای که سایت ویکی پدیا را برای کسب اطلاعات بیشتر در خصوص بیماری اش مرور و مطالعه می کند، کسی که در محل کارش در سایتی به دنبال شغل جدید می گردد و بسیاری نمونه های دیگر می توانند از جمله مواردی باشند که وجود HTTPS می تواند در صفحاتی که مرور می کنند، حیاتی باشد.
تشخیص هویت
اما کاربرد صفحات HTTPS به رمزنگاری و افزایش محرمانگی ختم نمی شود. در واقع HTTPS کمک می کند مرورگر و کاربر، از صحت سایت اطمینان حاصل کنند. به هنگام بازدید یک سایت که از پروتکل امن استفاده می کند، لازم است سایت مربوطه آدرس خودش را با کلیدهای تبادل شده با مرورگر رمزنگاری کند و نتیجه در مقصد (مرورگر) و پس از رمزگشایی همان آدرس شود. درصورتی که این روند به درستی پیش برود، سایت مزبور اثبات کرده که همان است که درخواست شده. برای این کار، مدیر سایت باید از طریق شرکت هایی مثل Comodo یا Symantec درخواست یک «گواهی امنیتی» بدهد. پس از آن، سایت از یک گواهی امنیتی که در واقع کلید رمزنگاری آن است بهره مند می شود. این کلید در حالت تئوری نمی تواند به وسیله شخص دیگری ساخته شود.
البته سابقه هک این گواهی ها وجود دارد. اما به طور کلی، وظیفه یک گواهی این است که تضمین می کند وقتی مرورگرتان به شما می گوید در سایتی مانند https://google.com است، می توان مطمئن بود که اطلاعاتی که به اشتراک می گذارید قطعا با یکی از سرورهای سایت گوگل -و نه هیچ سرور یا شخص دیگری- به اشتراک گذاشته می شود.
به واسطه استفاده از HTTPS در سایت ها، امکان دست کاری در شبکه داخلی و تغییر مسیر این صفحات نیز برای دیگران به حداقل می رسد. بد نیست بدانید روش های معمول برای فیلترینگ که دولت ها به کار می بندند نیز برای فیلتر کردن صفحات HTTPS کاربرد ندارد. اما مهم تر از مساله سانسور صفحات بدون رمزنگاری، امکان سانسور یا تغییر بخش هایی از محتوا، نمایش تبلیغات در صفحات و موارد دیگر است. به علاوه صفحاتی که از HTTPS استفاده نمی کنند انجام برخی امور را برای هکرها و تزریق کدهای آلوده، ساده می کنند. برای مثال، سال گذشته دولت چین از روشی مشابه برای اضافه کردن اسکریپتی در صفحه اصلی Baidu (موتور جستجوی چینی) استفاده کرد که مرورگر تعداد زیادی از کاربران را تبدیل به ابزاری برای درخواست اطلاعات از نسخه چینی نیویورک تایمز و سایت Github می کرد (نوعی حمله DDoS با کمک کامپیوترهای کاربران). همین مساله منجر به اختلال جدی در سرورهای این دو سایت شد و برای مدتی از دسترس خارج شدند.
از هک ها یاد بگیریم و HTTPS را هر جا که ممکن است استفاده کنیم
به گفته «جاش آز» (Josh Aas) (از مهندسان بنیاد موزیلا)، حملات این چنینی این خودآگاهی را ایجاد می کند که استفاده از صفحات HTTPS تا چه حد ضامن امنیت، هویت و حریم شخصی ما است. آقای آز همچنین بنیان گذار موسسه غیرانتفاعی Let’s Encrypt است. این موسسه که در زمینه HTTPS کار می کند در شش ماه گذشته به استفاده چهار میلیون سایت از HTTPS کمک کرده است.
امروزه خطرات استفاده از اینترنت بدون رمزنگاری بیش از پیش همه را تهدید می کند. در سال ۲۰۱۰ یک برنامه نویس به نام «اریک باتلر» (Eric Butler)، پلاگینی به نام Firesheep عرضه کرد که به کمک آن، امکان شنود ارتباطات ناامن و رمزنگاری نشده در هر شبکه مهیا می شد. این مساله منجر به افزایش نگرانی ها در خصوص نقض حریم شخصی -خصوصا در شبکه های اجتماعی- شد و سایت هایی مانند فیسبوک و توییتر را مجبور به گسترش HTTPS در تمامی صفحات خود کرد.
علاوه بر این موارد، افشاگری های «ادوارد اسنودن»(Edward Snowden) نیز محرز کرد که NSA تا چه حد، مسیر اینترنت را در جهت شنود محتوای رمزنشده منحرف کرده است. اقدام او افراد را نسبت به حفاظت از ارتباطات خود آگاه کرد.
نهایتا با وجود افزایش نگرانی ها و اهمیت استفاده از HTTPS، کماکان راه زیادی تا نقطه مطلوب مانده است. گزارشی از گوگل نشان می دهد، ماه گذشته ۷۹ سایت از هر صد سایت پرترافیک اینترنت هنوز از HTTPS استفاده نمی کنند. همچنین بر اساس گزارش موزیلا، تنها ۴۳۸ هزار سایت از یک میلیون سایت اول دنیا از HTTPS بهره می برند.
«جاش آز»، مهندس بنیاد موزیلا می گوید: «اغلب کاربران هنوز چیزی در مورد HTTPS نمی دانند و شاید حتی بدانند ولی توجه خاصی به اهمیت آن نداشته باشند. اگر بخواهیم از این دسته از افراد حفاظت کنیم، لازم است به سایت ها بقبولانیم که نسبت به استفاده از HTTPS جدی باشند. وقت آن رسیده که این ضرورت را به رکنی اصلی در امنیت اینترنت، تبدیل کنیم.»