HTTPS یا HTTP امن چیست؟

پروتکل HTTPS به معنای پروتکل انتقال ابرمتن بصورت امن است که از لایه سوکت امن (SSL) استفاده می کند. سایت هایی که از این پروتکل پشتیبانی می کنند امنیت بالاتری برای کاربران خود فراهم می کنند.

اصطلاح SSL از عبارت Secure Socket Layer به معنای “لایه سوکت امن” گرفته شده است. این پروتکل در تاریخ 1996 توسط شرکت Netscape طراحی شده و به سرعت به یک پروتکل برای انتقال داده‌ها به صورت امن، تبدیل شده است. اسامی دیگر این پروتکل عبارت اند از:

1. Https (پروتکل HTTP امن )
2. Secure HTTP
3. s-HTTP

SSL یک پروتکل استاندارد و امنیتی بر اساس رمزگذاری  داده ها است که در آن داده‌های رد و بدل شده بین سرویس دهنده (Server) و سرویس گیرنده (Client) توسط کلیدهای خاصی خصوصی و عمومی رمزنگاری شده و در سمت دیگر رمزگشایی (Decrypt) می‌شود. امنیت در این پروتکل دو طرفه است؛ یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.

سیستم های سرویس دهنده ای که  داده‌های مهم و حساس مثل اطلاعات کارت‌های بانکی، کارت‌های شناسایی، رمزهای عبور مهم و … را بین خود و سرویس گیرنده رد و بدل می‌کنند، از پروتکل‌های امنیتی مانند SSL استفاده می‌کنند.

وب سایت‌هایی که از پروتکل امن SSL جهت رمزگذاری داده‌ها استفاده می‌کنند، معمولاً از طریق پروتکل HTTPS (به جای حالت عادی و غیر امن آن یعنی HTTP) با سرویس گیرنده‌ها ارتباط برقرار می‌کنند. در بعضی مرورگرها، اینگونه وب سایت‌ها معمولاً با علامت قفل سبز (به معنای ارتباط امن سالم) نشان داده می‌شوند.

در این پروتکل، همان‌طور که گفته شد، داده‌ها بین سرویس دهنده و سرویس گیرنده رمزگذاری می‌شوند؛ به همین دلیل، داده‌ها در طول انتقال از کانال غیر امن مانند اینترنت، اینترانت و …، حفاظت شده باقی می‌مانند. هرچند دسترسی به این داده‌ها ممکن است، اما به دلیل آن‌که رمزگذاری شده اند، برای بدست آوردن داده‌های رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی وجود ندارد!

برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز روزی بتوان داده‌های اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.از سوی دیگر، داده‌ها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی داده‌های اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمی‌شوند. به همین دلیل، درصورتی که بدافزاری در هر یک از این سمت‌ها قرار بگیرد، می‌تواند داده‌های اصلی را به راحتی بدزدد. البته تاکنون گزارشی از سرقت اطلاعات از طریق کانال امن SSL منتشر نشده است بنابراین می‌توان آن را یک پروتکل “واقعاً امن” دانست.

برای اینکه یک سایت پروتکل https را پشتیبانی کند باید مالک سایت گواهینامه SSL برای سایت اجاره کند، اجاره SSL معمولاً بصورت یکساله و توسط ارائه کننده این گواهینامه ها عرضه می شود.