پروتکل HTTPS به معنای پروتکل انتقال ابرمتن بصورت امن است که از لایه سوکت امن (SSL) استفاده می کند. سایت هایی که از این پروتکل پشتیبانی می کنند امنیت بالاتری برای کاربران خود فراهم می کنند.
اصطلاح SSL از عبارت Secure Socket Layer به معنای “لایه سوکت امن” گرفته شده است. این پروتکل در تاریخ 1996 توسط شرکت Netscape طراحی شده و به سرعت به یک پروتکل برای انتقال دادهها به صورت امن، تبدیل شده است. اسامی دیگر این پروتکل عبارت اند از:
- Https (پروتکل HTTP امن )
- Secure HTTP
- s-HTTP
SSL یک پروتکل استاندارد و امنیتی بر اساس رمزگذاری داده ها است که در آن دادههای رد و بدل شده بین سرویس دهنده (Server) و سرویس گیرنده (Client) توسط کلیدهای خاصی خصوصی و عمومی رمزنگاری شده و در سمت دیگر رمزگشایی (Decrypt) میشود. امنیت در این پروتکل دو طرفه است؛ یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام میگیرد.
سیستم های سرویس دهنده ای که دادههای مهم و حساس مثل اطلاعات کارتهای بانکی، کارتهای شناسایی، رمزهای عبور مهم و … را بین خود و سرویس گیرنده رد و بدل میکنند، از پروتکلهای امنیتی مانند SSL استفاده میکنند.
وب سایتهایی که از پروتکل امن SSL جهت رمزگذاری دادهها استفاده میکنند، معمولاً از طریق پروتکل HTTPS (به جای حالت عادی و غیر امن آن یعنی HTTP) با سرویس گیرندهها ارتباط برقرار میکنند. در بعضی مرورگرها، اینگونه وب سایتها معمولاً با علامت قفل سبز (به معنای ارتباط امن سالم) نشان داده میشوند.
در این پروتکل، همانطور که گفته شد، دادهها بین سرویس دهنده و سرویس گیرنده رمزگذاری میشوند؛ به همین دلیل، دادهها در طول انتقال از کانال غیر امن مانند اینترنت، اینترانت و …، حفاظت شده باقی میمانند. هرچند دسترسی به این دادهها ممکن است، اما به دلیل آنکه رمزگذاری شده اند، برای بدست آوردن دادههای رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست. از این رو، این پروتکل عملاً غیرقابل نفوذ است. البته در دنیای هک و امنیت، چیز غیرممکنی وجود ندارد!
برای مثال، ممکن است طی فرایندهای خاص، بسیار پیچیده و مهندسی شده، حتی بدون داشتن کلید نیز روزی بتوان دادههای اصلی را بدست آورد یا مثلاً ممکن است کلیدهای مورد استفاده در فرایند رمزگذاری و رمزنگاری، از سمت سرویس دهنده پروتکل امن، به سرقت رفته باشند.از سوی دیگر، دادهها فقط و فقط در طول مسیر انتقال از کانال مورد نظر رمزگذاری شده اند؛ یعنی دادههای اصلی، در سمت سرویس دهنده و گیرنده توسط پروتکل SSL رمزنگاری نمیشوند. به همین دلیل، درصورتی که بدافزاری در هر یک از این سمتها قرار بگیرد، میتواند دادههای اصلی را به راحتی بدزدد. البته تاکنون گزارشی از سرقت اطلاعات از طریق کانال امن SSL منتشر نشده است بنابراین میتوان آن را یک پروتکل “واقعاً امن” دانست.
برای اینکه یک سایت پروتکل https را پشتیبانی کند باید مالک سایت گواهینامه SSL برای سایت اجاره کند، اجاره SSL معمولاً بصورت یکساله و توسط ارائه کننده این گواهینامه ها عرضه می شود.