تفاوت http با https در چست؟
تحقیق و مقالهکامپیوتر و اینترنت

تفاوت http با https در چست؟

اینترنت جذاب ترین و بزرگترین تکنولوژی ارتباطی که بشر تا کنون ایجاد کرده است. ما کاربران جهانی اینترنت روزانه بیش از صدها صفحه وب با پروتکل http  و https مشاهده می کنیم و بیش از هر چیز در ابتدای آدرس یک سایت این پروتکل ها را مشاهده می کنیم . اما خیلی محدود کاربران تفاوت این دو پروتکل را میداند. خیلی ساده و بدون فکر کردن به آن صفحه وب را باز و بسته می کنند. در این مقاله شما را با چیستی و تفاوت این دو پروتکل وب آشنا خواهیم کرد.

تفاوت پروتکل های HTTP  و HTTPS مربوط به امنیت آنها می باشد. همانطور که در تعریف این دو پروتکل می بینم پروتکل HTTPS پروتکل امن انتقال ابر متن ترجمه شده است. پس از لحاظ امنیت برتر از پروتکل HTTP  است. http از لحاظ امنیتی برای کارهایی که به اطلاعات حساس از جمله حسابهای بانکی و رمزهای مشتریان مربوط می شود اصلا مناسب نیست، از این رو بانک ها و فروشگاههای اینترنتی و در کل سایتهایی که امنیت کاربران برایشان اهمیت زیادی دارد، از پروتکلی دیگر به نام HTTPS یا Hyper Text Transfer Protocol Secure بدین منظور استفاده می کنند. 

تمامی وب سایت های موجود بر روی‌ اینترنت از پروتکل HTTP استفاده می نمایند . با این که پروتکل HTTP  با استفاده از پروتکل های دیگری نظیر IP و TCP ماموریت خود را انجام می دهد ، ولی این پروتکل HTTP است که به عنوان زبان مشترک ارتباطی بین سرویس گیرنده و سرویس دهنده وب به رسمیت شناخته شده و از‌ آن استفاده می گردد . در واقع مرورگر وب صدای خود را با استفاده از پروتکل HTTP به گوش سرویس دهنده وب رسانده و از وی درخواست یک صفحه وب را می نماید.
به منظور انجام یک تراکنش موفقیت آمیز بین سرویس گیرندگان وب ( نظیر IE )  و سرویس دهندگان وب ( نظیر IIS ) ، به اطلاعات زیادی نیاز خواهد بود . پس از handshake پروتکل TCP/IP ، مرورگر اطلاعات گسترده ای را ‌ برای سرویس دهنده وب  ارسال می نماید .

1-https

پروتکل https مانند پروتکل http پروتکلی ست برای استفاده از وب سایت ها اما تفاوت https با http در این است که https میان کلاینت کاربر و سرور وب اطلاعات را  رمز نگاری می کند و این رمز نگاری توسط certificate ای که آن سایت به شما می دهد اتفاق می افتد . اما در صورت استفاده از پروتکل http دیتای تبادل شده ی شما به سرور وب به صورت plain text تبادل شده و اگر شخصی میان کلاینت شما و به ظور مثال مودم خط ارتباطی اینترنتی شما…


پروتکل HTTPS چیست و چه فرقی با HTTP دارد؟

HTTPS پروتکلی است که در بستر آن امکان رمزنگاری (encrypt) اطلاعات فراهم می شود، به لحاظ تخصصی در HTTP پورت ۸۰ مورد استفاده قرار می گیرد، در حالی که در HTTPS این پورت ۴۴۳ است؛ از طرفی همانطور که گفتیم در HTTP داده ها به صورت متن ساده یا plain text هستند اما در HTTPS رمزنگاری داده ها به وسیله SSL انجام می شود.
ssl به چه معناست؟

ssl مخففی است از سرواژه های Secure Sockets Layer و در اصطلاح به سیستم امن و رمزی انتقال داده اطلاق می شود، ssl را ابتدا شرکت Netscape به منظور نقل و انتقال امن و رمزی اطلاعات ایجاد نمود و اکنون تقریبا تمام مرورگرهای استاندارد از جمله فایر فاکس، اینترنت اکسپلورر، اپرا، گوگل کروم و سافاری آن را پشتیبانی می کنند؛ همچنین در این رابطه شرکتهایی وجود دارند که گواهی ssl ارائه می کنند.
شیوه رمزنگاری اطلاعات در ssl به چه صورت است؟

در یک بیان ساده، پس از برقراری اتصال امن، ssl اطلاعات را به وسیله دو کلید رمزنگاری می کند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.

چگونه از استفاده کردن یک سایت از پروتکل امن اطمینان حاصل کنیم؟

چند فاکتور در تعیین معتبر بودن گواهی یک سایت نقش دارند، اول از همه کلید کوچکی است که در مرورگرهای مختلف با کمی اختلاف در مکان و شکل، نشان داده می شود، برخی از مرورگرها در نسخه های جدید خود پس از برقراری یک اتصال امن، نوار آدرس را به رنگ سبز نیز نشان می دهند؛ فاکتور دیگر وجود عبارت https در ابتدای آدرس آن سایت است.
چرا در برخی از سایت ها، مرورگر تقاضای تایید اعتبار می کند؟

بعضا ممکن است با صفحاتی روبرو شده باشید که مرورگر نسبت به منقضی شدن اعتبار گواهی ارتباط امن آن، به شما هشدار دهد، این اتفاق به چند دلیل ممکن است رخ دهد، یکی اینکه گواهی آن سایت واقعا به پایان رسیده و تمدید نشده باشد، دوم اینکه تاریخ سیستم شما از زمان حقیقی، عقب تر یا حتی جلوتر باشد، دلیل سوم هم می تواند به مسائل فنی صفحه و ترکیب اشتباه داده های عادی با داده های رمزنگاری شده مربوط باشد که این عامل به مسائل فنی سایت ارتباط دارد.
چگونه برای سایت خود گواهی ssl تهیه کنیم؟

برای داشتن یک ارتباط امن در بستر HTTPS برای سایت خود، نیاز به گواهی معتبر ssl دارید، این گواهی از طریق نمایندگی ها و سرویس دهنده های هاست نیز قابل خریداری است، علاوه بر این به سروری با قابلیت پشتیانی از ssl و یک ip اختصاصی احتیاج خواهید داشت.

پروتکل امن انتقال ابرمتن یا HTTPS (به انگلیسی: Hypertext Transfer Protocol Secure) یک پروتکل امن برای انتقال اطلاعات در شبکه‌های کامپیوتری می‌باشد که به صورت خاص برای استفاده در اینترنت توسعه یافته است. این استاندارد در واقع به خودی خود یک پروتکل نیست، بلکه با قرار گرفتن HTTP  بر روی پروتکل امنیت لایه انتقا  به‌وجود آمده‌است. به‌این‌ترتیب امنیت موجود در پروتکل امنیت لایهٔ انتقال به ارتباطات HTTP افزوده شده‌است.

داده مربوط به پروتکل لایه application ( در این مورد خاص پروتکل HTTP ) ، پس از هدر TCP/IP قرار می گیرد  . جدول زیر برخی اطلاعات مبادله شده بین سرویس گیرنده و سرویس دهنده وب را نشان می دهد .

 

 

عملکرد

نوع اطلاعات

سرویس گیرنده وب یک درخواست GET را برای سرویس دهنده وب ارسال و از وی درخواست اطلاعاتی را با استفاده از  پروتکل HTTP 1.1 می نماید.
پروتکل HTTP دارای نسخه شماره یک نیز می باشد که امروزه عموما" از نسخه فوق استفاده نمی گردد و در مقابل از نسخه ۱ . ۱ استفاده می شود.

GET /HTTP/1.1

وب سایتی است که سرویس گیرنده قصد ارتباط با آن را دارد .

Host:
 www.google.ca

به سرویس دهنده وب ، نوع  نرم افزار سرویس گیرنده ( در این مورد خاص   Mozilla version 5.0 ) و  نوع سیستم عامل نصب شده بر روی کامپیوتر ( در این مورد خاص Windows version NT 5.1 و یا همان ویندوز XP  ) اعلام می گردد.

User-agent:
 Mozilla/5.0 (Windows; U; Windows NT 5.1;

نوع character set استفاده شده به سرویس دهنده اعلام می گردد ( در این مورد خاص از  en:us  و نسخه شماره  10 . 7 . 1  استفاده شده است ) .

en-US; rv: 1.7.10)

نام مرورگر استفاده شده توسط سرویس گیرنده به سرویس دهنده وب اعلام می گردد ( در این مورد خاص از مرورگر FireFox استفاده شده است ) .

Gecko/20050716 Firefox/1.0.6

سرویس گیرنده به سرویس دهنده وب فرمت  اطلاعاتی را که می تواند دریافت نماید ، اعلام می نماید ( در این مورد خاص هم برای متن و هم برای   application  از فرمت xml استفاده می گردد ) . 

Accept:
 text/xml, application/xml, application/xhtml+xml

سرویس گیرنده  به سرویس دهنده نوع فرمت متن دریافتی را اعلام می نماید ( در این مورد خاص html و یا plain text ) .
همچنین فرمت فایل های گرافیکی ( در این مورد خاص png . و سایر فرمت های متداول ) نیز اعلام می گردد .

 text/html; q=0.9, text/plain; q=0.8, image/png, */*;q=0.5

لیست character set که سرویس گیرنده وب قادر به فهم آنان است،  اعلام می گردد ( در این مورد خاص  ISO-8859 , و یا utf-8  ) .

Accept-Charset:
 ISO-8859-1, utf-8; q=0.7, *;q=0/7

به  سرویس دهنده وب مدت زمان نگهداری  session  اعلام می گردد ( در این مورد خاص ۳۰۰ ثانیه ) .
سرویس گیرندگان می توانند با صراحت پایان یک session را اعلام نمایند . در نسخه شماره ۱ . ۱  پروتکل HTTP ، ارتباط و یا اتصال برقرار شده فعال و یا open باقی خواهد ماند تا زمانی که سرویس گیرنده خاتمه آن را اعلام  و یا مدت زمان حیات آن به اتمام رسیده باشد .
در نسخه شماره یک پروتکل HTTP ، پس از هر درخواست و اتمام تراکنش ، ارتباط ایجاد شده غیرفعال و یا close می گردد .

Keep-Alive:
 300 Connection: keep-alive

cookie  و مقدار مربوطه  به آن اعلام می گردد. کوکی یک متن اسکی فلت می باشد که اطلاعات متفاوتی را در خود نگهداری می نماید .
مدت زمان حیات یک کوکی می تواند موقت ( تا زمانی که مرورگر فعال است ) و یا دائم ( ذخیره بر روی هارد دیسک کامپیوتر  و در یک محدوده زمانی تعریف شده ) باشد .

 Cookie: PREF=ID=01a0822454acb293: LD=en:TM=1121638094�..

 

 User agent نوع مرورگر و سیستم عامل  سرویس گیرنده را مشخص می نماید و این موضوع می تواند  مواد اولیه لازم برای تدارک برخی حملات توسط مهاجمان را تامین نماید .

 

HTTPS برای اطمینان از هویت سیستم‌های درون شبکه، از گواهی‌های X.۵۰۹ استفاده می‌کند. بنابراین وجود مرجع صدور گواهی دیجیتال برای ایجاد گواهی، تشخیص اعتبار، امضا و مدیریت گواهی‌ها ضروری است. البته تحقیقات انجام شده در سال ۲۰۱۳ نشان داد که مسألهٔ وجود مراجع صدور گواهی، خود به عنوان تهدید امنیتی مطرح می‌شود. سوءاستفادهٔ دولت‌ها از گواهی‌های غیر مجاز و انجام حملات مرد میانی از جمله این تهدیدها است.

در نسخهٔ رایج پروتکل HTTPS امکان شناسایی وبگاه‌ها وجود دارد. این امر جلوی حملات مرد میانیرا می‌گیرد. همچنین رمزگذاری ۲طرفه بین کلاینت(یا کارخواه) و سرور (یا کارگذار) از حملات شنود و تغییر بدون اجازه جلوگیری می‌کند. در عمل، این ویژگی‌ها باعث می‌شود تا این پروتکل بتواند تا حد زیادی امنیت ارتباط کاربران را تامین نماید.

در ابتدا از این پروتکل فقط برای انجام تراکنش‌های بانکی، ارسال ای‌میل‌های مهم و کارهای حساس دیگر بر روی وب جهانی استفاده می‌شد اما با گذشت زمان، استفاده از آن بیشتر و بیشتر می‌شود.امن کردن ارتباطات کاربران، شناسایی وبگاه‌های معتبر و مخفی کردن هویت کاربران از جمله استفاده‌های نوین این پروتکل است. البته باید توجه داشت که امنیت کامل کاربران تنها در صورتی تامین می‌شود که تمامی محتویات وبگاه از طریق همین پروتکل منتقل شود. منابعی مانند فایل‌های اسکریپت، کوکی‌ها و غیره نمونه‌هایی هستند که انتقال غیرامن آن‌ها تهدید امنیتی محسوب می‌شود.

بر خلاف نشانی‌های وبHTTP که با «http://» آغاز می‌شوند و به صورت پیش‌فرض از درگاه شمارهٔ ۸۰ استفاده می‌کنند، آدرس‌های HTTPS با «https://» آغاز شده و به صورت پیش‌فرض از شماره درگاه ۴۴۳ استفاده می‌کنند.

HTTP امن نیست و می‌تواند هدف حمله‌های مرد میانی و شنود قرار بگیرد. این حملات به مهاجم اجازه می‌دهد به اطلاعات حساس مانند حساب‌های کاربر دسترسی پیدا کند. HTTPS با این هدف طراحی شده‌است که جلوی چنین حملاتی را بگیرد و از این جهت امن است.(به استثنای نسخه‌های کنارگذاشته‌شده و قدیمی‌تر آن)

سرعت پروتکل HTTPS، به ویژه در صفحاتی با محتوای زیاد، معمولا از پروتکل غیر امن آن کمتر است. ارسال گواهی، تایید گواهی توسط مرورگر و سربار رمزگذاری بر روی سیستم از مهم‌ترین دلایل این کندی هستند. یک اتصال امن در شروع حدودا ۱۰٪ کندتر از یک اتصال غیر امن است. اما با استفاده از اتصال پایا این کندی در ادامهٔ ارتباط تقریبا از بین می‌رود.
لایه‌های شبکه

HTTP در بالاترین لایهٔ مدل TCP/IP[پانویس ۸] یعنی لایهٔ کاربرد عمل می‌کند. نسخهٔ امن آن نیز به صورت زیرلایه‌ای در همین لایه فعال می‌شود. HTTPS قبل از رسیدن بستهٔ HTTP به لایهٔ پایینی (لایهٔ انتقال)، آن را رمزگذاری می‌کند (در هنگام دریافت پاسخ، رمزگشایی می‌کند). به صورت ساده، HTTPS پروتکل جدایی نیست، بلکه همان پروتکل HTTP است بر روی امنیت لایه انتقال

در یک بستهٔ HTTPS همهٔ اطلاعات لایهٔ HTTP ازجمله نشانی وب، سرآیندها، کوکی‌ها و اطلاعات ارسالی رمزگذاری می‌شوند.یک حمله‌کننده پس از نفوذ می‌تواند متوجه آدرس آی‌پی مقصد، مدت زمان ارتباط و میزان اطلاعات ردوبدل‌شده شود. اما هیچ‌چیز از محتویات ارتباط برای او فاش نخواهد شد.
نصب بر روی سرور

برای اینکه یک سرور وب بتواند اتصالات امن HTTPS را پشتیبانی کند، مدیر سرور باید یک گواهی کلید عمومی برای آن سرور تهیه کرده و آن را بر روی سرور نصب نماید.  این گواهی باید توسط یک مرجع صدور گواهی دیجیتال تایید شود تا مرورگرها بتوانند بدون اخطار، صفحه را برای کاربر نمایش دهند. مرورگرها به صورت پیش‌فرض به تعدادی از مراجع صدور گواهی اعتماد دارند.
تهیهٔ گواهی معتبر

تهیهٔ یک گواهی دیجیتال معتبر می‌تواند رایگان و یا بین ۸ تا ۱‍۵۰۰ دلار در سال هزینه داشته باشد. البته باید توجه داشت که در بعضی موارد مراجع صدور گواهی رایگان مانند شرکت CACert در مرورگرهای مشهور (مانند فایرفاکس، گوگل کروم و اینترنت اکسپلورر) معتبر شناخته نمی‌شوند. با این حال شرکت‌هایی مانند StartSSL که گواهی‌های رایگان نیز ارائه می‌دهند، مورد تایید بسیاری از مرورگرها هستند.

مؤسسات و شرکت‌های بزرگ، در صورتی که مسئول نصب و راه‌اندازی مرورگرها در محیط کار خود باشند، می‌توانند با نصب گواهی خودشان بر رور مرورگرها، آن‌ها را در محیط کار تایید کنند(برای مثال یک وبگاه در شبکهٔ داخلی یک شرکت بزرگ و یا دانشگاه). این مؤسسات می‌توانند به راحتی کپی گواهی خود را بر روی مراجع مورد تایید مرورگرها نیز ثبت کنند.
استفاده برای مدیریت دسترسی کاربران

یکی دیگر از استفاده‌های سیستم HTTPS و گواهی‌های آن، احراز هویت کاربران برای مشخص نمودن سطح دسترسی آن‌ها در وب‌گاه است. برای انجام این کار دو راه وجود دارد:

    کاربران از مراجع معتبر صدور گواهی، گواهی تهیه کرده و آن را بر روی سیستم خوب نصب نمایند.
    مدیر وب‌گاه باید به ازای هر کاربر یک گواهی ایجاد و آن را بر روی سیستم کاربر نصب نماید.

این گواهی‌ها در درون خود اطلاعاتی مانند نام، نامِ خانوادگی و آدرس ای‌میل کاربر را ذخیره می‌کنند. این اطلاعات با هر بار اتصال به وب‌گاه، توسط سرور بررسی شده و کاربر بدون نیاز به ورود نام کاربری و یا کلیدواژه شناسایی خواهد شد.
لو رفتن گواهی (کلید خصوصی)

با به وجود آمدن سیاست Perfect Forward Secrecy در پروتکل HTTPS، لو رفتن و دزدیده شدن یک کلید خصوصی منجر به به‌دست آمدن کلیدهای جلسه‌ها و ارتباطات قبلی و یا بعدی نمی‌شود.پروتکل تبادل کلید دیفی-هلمن و تبادل کلید خم بیضوی دیفی-هلمن تنها الگوریتم‌هایی هستند که تا کنون (سال ۲۰۱۳) از این سیاست پیروی می‌کنند. البته این الگوریتم‌ها سرباز زیادی را به دلیل رمزنگاری پیچیده بر روی سرور و کلاینت خواهند گذاشت.

اما این سیاست هنوز گسترده نشده‌است. در حال حاضر تنها ۳۰٪ اتصالات مرورگرهای فایرفاکس، گوگل‌کروم و اپرا از این روش‌ها استفاده می‌کنند. این در حالی است که مرورگر سافاری و اینترنت اکسپلورر هیچ‌گاه از این الگوریتم‌ها استفاده نمی‌کنند. از میان یاهو، مایکروسافت، پی‌پال، اپل، اچ‌پی، دل، گوگل و تعداد بسیاری از شرکت‌های بزرگ اینترنتی، تنها شرکت گوگل از این سیاست برای امنیت وب‌گاه‌های خود استفاده می‌کند.

یک گواهی ممکن است قبل از این‌که منقضی شود، باطل گردد. دلایلی مانند لو رفتن کلید خصوصی و یا دلایل امنیتی دیگر از جمله مواردی است که منجر به این موضوع می‌گردد. نسخه‌های جدید مرورگرهای مشهور مانند گوگل‌کروم، فایرفاکس، اینترنت‌اکسپلورر (از ویندوز ویستا به بعد) پروتکل برخط وضعیت گواهی را پیاده‌سازی کرده‌اند. به کمک این پروتکل مرورگرها می‌توانند باطل شدن گواهی‌های دیجیتال پیش‌ازموعد را بررسی کنند. این عمل با ارسال شماره‎سریال گواهی به مرجع آن صورت می‌گیرد.
محدودیت‌ها و مشکلات

پروتکل HTTPS دو حالت مختلف را پشتیبانی می‌کند: حالت ساده و حالت متقابل یا دوطرفه

حالت دوطرفه امنیت بیشتری دارد اما برای استفاده از آن علاوه بر سرور، کاربر نیز باید گواهی تهیه کرده و بر روی سیستمِ خود نصب نماید.

هر کدام از این دو حالت که استفاده شوند، امنیت ارتباط به شدت به پیاده‌سازی و الگوریتم رمزنگاری استفاده‌شده دارد. سیستم‌های مختلف بارها به دلیل مشکلاتی که در پیاده‌سازی آن‌ها وجود دارد، مورد حمله قرار گرفته‌اند.

استفاده از ارتباط امن جلوی خزنده‌های وب را نمی‌گیرد. این خزنده‌ها به راحتی صفحات امن را نیز فهرست می‌کنند. در بسیاری از موارد آدرس صفحات وب‌گاه تنها از روی حجم درخواست و پاسخ رمزنگاری شده، قابل افشا است. این مساله می‌تواند به یک مهاجم این امکان را بدهد که به متن رمزشده و رمزنشده دسترسی پیدا کند. این دسترسی می‌تواند امکان حمله متن رمزشده انتخابی را فراهم سازد.

از آنجایی که پروتکل HTTPS در لایهٔ زیرین HTTP فعالیت می‌کند، هیچ اطلاعی از عملکردِ لایه‌های بالاتر ندارد. هر سرور می‌تواند برای هر جفت آدرس IP و شماره درگاه خود یک گواهی به کاربر ارائه نماید. به همین دلیل در بسیاری از موارد نمی‌توان در سرورهایی که میزبانی مجازی مبتنی بر نام ارائه می‌دهند، از پروتکل HTTPS استفاده نمود. با این حال راه‌حلی به نام تشخیص نام سرور وجود دارد که نام وبگاه را قبل از آغاز رمزگذازی ارسال می‌کند. این قابلیت در مرورگرهای قدیمی پشتیبانی نمی‌شود. مرورگر فایرفاکس از نسخهٔ ۲ به بالا، اپرا از نسخهٔ ۸ به بالا، سافاری از نسخهٔ ۲٫۱ به بالا، گوگل کروم از نسخهٔ ۶ به بالا و اینترنت اکسپلورر ۷ به بالا از این قابلیت پشتیبانی می‌کنند.
حملات صورت گرفته
برهنه‌سازی

در کنفرانس کلاه‎سیاه در سال ۲۰۰۹ یک حملهٔ پیچیده به نام برهنه‌سازی گزارش شد. در این نوع حمله مهاجم با تغییر آدرس از پروتکل "https" به "http" کاربر را گمراه می‌کند. کاربر فکر می‌کند که ارتباط او امن است، در حالی که مهاجم به راحتی می‌تواند حملهٔ مرد میانی را ترتیب دهد. در این نوع حمله از این نکته استفاده می‌شود که اکثر کاربران خودشان قسمت "https://" را در نوار آدرس تایپ نمی‌کنند و معمولا با کلیک بر روی یک لینک به صفحهٔ امن منتقل می‌شوند.
حملهٔ کانال‌های جانبی

در ماه می سال ۲۰۱۰ طبق تحقیقاتی که تیم تحقیقات مایکروسافت با همکاری دانشگاه هند انجام دادند، مشخص شد که بسیاری از اطلاعات حساسی که از طریق HTTPS منتقل می‌شوند، از طریق روش‌ها و کانال‌های جانبی مانند مشاهدهٔ حجم بسته، برای مهاجمین قابل دسترسی هستند. به طور مشخص‌تر، محققان نشان دادند که با شنود بر روی ارتباطات امن نرم‌افزارها و وب‌گاه‌های بیمارستان‌ها، بانک‌ها و جست‌وجوهای وب می‌توانند میزان درآمد، بیماری و نوع آن، داروهای مورد استفاده، عمل‌های جراحی صورت گرفته بر روی فرد و افراد خانوادهٔ او را تشخیص دهند.
حملهٔ BEAST

در کنفرانس امنیتی اکوپارتی در سال ۲۰۱۱ که در کشور آرژانتین برگزار شد، دو نفر از محققین امنیتی به نام‌های جولیانو ریزو و ثای دونگ ، که از توسعه‌دهندگان مرورگر گوگل‌کروم نیز می‌باشند، حملهٔ جدیدی را بر روی HTTPS گزارش دادند. این حمله که از طریق یک حفرهٔ امنیتی و به کمک تکه‌کد جاوااسکریپت صورت می‌گیرد، می‌تواند به مهاجم این امکان را می‌دهد که متن رمزشده را در یک زمان کوتاه به طور کامل رمزگشایی کند. این حمله BEAST نام گرفت که مخفف Browser Exploit Against SSL/TLS است.  این حمله حتی در وب‌گاه‌هایی که از پروتکل امنیت انتقال سخت‌گیرانهٔ HTTP  استفاده می‌کنند قابل اجراست.

این اشکال بر روی SSL نسخهٔ ۳ به پایین و TLS نسخهٔ ۱ که در زمان گزارش حمله در امنیت لایه انتقال پرکاربرد بودند، وجود دارد. در نسخه‌های بعدی TLS(نسخه‌های ۱٫۱ و ۲) این مشکل برطرف شد. امروزه مرورگرهای مشهور به صورت پیش‌فرض نسخه‌های قدیمی این پروتکل‌ها را غیرفعال می‌کنند تا از این حمله در امان باشند.
حملهٔ CRIME

این حمله که مخفف عبارت Compression Ratio Info-leak Made Easy است، در سپتامبر سال ۲۰۱۲ در کنفرانس اکوپارتی گزارش شد. در این حمله مهاجم می‌تواند به کوکی‌هایی که از طریق HTTPS و پروتکل اسپیدی منتقل می‌شوند، دسترسی پیدا کند. برای جلوگیری از این حمله، کاربران باید پروتکل اسپیدی را در مرورگر خود غیرفعال نمایند.

این حمله نیز توسط جولیانو ریزو و ثای دونگ  گزارش شد.
حملهٔ BREACH

این حمله که آخرین حملهٔ گزارش شده تا کنون می‌باشد، در ماه اوت سال ۲۰۱۳، توسط کارشناسان امنیتی گزارش شده‌است. نام این نوع حمله از مخخف کردن عبارت Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext گرفته شده‌است. BREACH که به مهاجمین اجازهٔ رمزگشایی بسته‌های HTTPS را می‌دهد با عنوان «HTTPS در کمتر از ۳۰ ثانیه هک می‌شود» در رسانه‌ها بازتاب یافت. تمامی وب‌گاه‌هایی که از فشرده‌سازی HTTP  استفاده می‌کنند، در برابر این نوع حمله آسیب‌پذیرند. همچنین اشکالی که از آن استفاده شده‌است در تمامی نسخه‌های SSL و TLS وجود دارد.

تا کنون هیچ راه‌حلی برای مقابله با این حمله ارائه نشده‌است.
در ایران

استفاده از پروتکل HTTPS در ایران گاهی دچار مشکل شده و با کاهش سرعت و یا قطع دسترسی مواجه می‌شود. بسیاری معتقدند که دلایل این اختلالات، مسائل سیاسی و امنتی است. مسئولین معمولا این ادعا را رد می‌کنند اما وزیر ارتباطات ایران در تیر ماه سال ۱۳۹۲ برای اولین بار اعلام کرد که دلیل افت سرعت اینترنت در زمان پیش از انتخابات، امنیتی و به دلیل انتخابات ریاست جمهوری ایران بوده‌است. وی این اقدام را راهکار و ابتکاری در جهت مقابله با ورود بیگانگان به فضای مجازی تعریف کرد.
جعل گواهی گوگل و سرویس‌های آن

در ماه اوت سال ۲۰۱۱ میلادی شرکت گوگل اعلام کرد که یکی از گواهی‌های دیجیتال این شرکت که در مرجع دی‌جی‌نوتار  در کشور هلند ثبت شده‌بود، به سرقت رفته‌است. تحقیقات نشان داد که منبع این سرقت کشور ایران بوده‌است. با انجام این حمله، مهاجمین توانستند در مقیاس‌های بزرگ به ویژه در داخل ایران حمله‌های مرد میانی و فیشینگ ترتیب‌دهند. بسیاری ادعا کردند که آی‌اس‌پی‌های بزرگ در ایران مانند پارس‌آنلاین و خود دولت با استفاده از این گواهی‌های دزدیده شده، از اطلاعات کاربران سوءاستفاه کردند.

قابل ذکر است که گواهی دزدیده شده نه‌تنها مربوط به قسمت جست‌وجوی وب‌گاه گوگل بود، بلکه در تمامی سرویس‌های گوگل از جمله جی‌میل، گوگل‌پلاس و غیره معتبر شناخته می‌شد. مرورگرهای مشهور با فاصله چند روز از انتشار این خبر، این مرجع را از لیست مراجع مورد تایید خود حذف کردند. اما این گواهی ۴۰ روز قبل از انتشار این خبر دزدیده شده بود.

کمپانی دی‌جی‌نوتار بعد از این اتفاق تعطیل شد.
تاریخچه

کمپانی نت‌اسکیپ در سال ۱۹۹۴ میلادی HTTPS را بر پایهٔ اس‌اس‌ال در مرورگر خود(Netscape Navigator) به وجود آورد. ساختار پروتکل به‌وجودآمده (اس‌اس‌ال) به‌گونه‌ای بود که قابلیت قرار گرفتن هر نرم‌افزار و سرویسی بر روی آن وجود داشت. با گذشت زمان پروتکل اس‌اس‌ال تغییر کرده و جای خود را به امنیت لایه انتقال داد. درواقع نسخهٔ بعد از نسخهٔ ۳٫۰ پروتکل اس‌اس‌ال، امنیت لایه انتقال نامیده‌شد. به همین دلیل عده‌ای این پروتکل را اس‌اس‌ال نسخهٔ ۳٫۱ نیز می‌نامند. نسخه‌های بعدی پروتکل امنیت لایه انتقال با ایجاد تغییرات بزرگ، راه خود را از اس‌اس‌ال جدا کردند. در نسخهٔ فعلی HTTPS که در ماه می سال ۲۰۰۰ میلادی در RFC 2818 معرفی شده‌است، امنیت لایه انتقال به‌عنوان جایگزین پروتکل اس‌اس‌ال، در لایهٔ زیرین HTTPS قرار گرفته‌است.

دلیل امنیت بالای پروتکل HTTPS چیست ؟

 

 

 

 


زمانی که شما از طریق پروتکل HTTPS به یک سایت متصل می شوید ، جستجوگر  شما به دنبال آی پی آن سایت گشته و هنگامی که آی پی آن را پیدا کند به آن متصل می شود . اما ایراد آن در این قسمت است که هم ممکن است آن آی پی مربوط به لینک مشابه آن سایت باشد وهم اینکه اطلاعات شما از قبیل اطلاعاتی که وارد می کنید یا رمز عبورهایتان برای ارائه دهندگان سرویس اینترنت قابل مشاهده هستند.
 


اگر مطلب قبلی ما که در مورد استفاده از Wi-Fi های رایگان منتشر کرده بودیم را هم به یاد داشته باشید ، در آن مطلب هم توضیح دادیم که اگر تصمیم گرفتید از اینترنت جایی که با آنجا آشنایی کافی ندارید استفاده کنید بهتر است حتی المقدور از ارتباط های امن استفاده کنید .

اکثر این مشکلات به این دلیل پیش می آیند که این نوع از ارتباط ها رمز گذاری نشده اند و اکثر هکر ها هم از این ویژگی آن سوء استفاده کرده و به حریم افراد تجاوز می کنند . بعد از آن برای رفع این مشکلات پروتکل HTTPS طراحی شد که تا حدی بتواند این مشکلات را برطرف کند . این پروتکل به طور کامل رمز گذاری شده است .
 


اما منظور از رمز گذاری یا encryption چیست ؟ در علم مهندسی اینترنت عمل رمز گذاری به عمیات رمز گذاشتن بین بسته های ارسالی و دریافتی در شبکه گفته می شود . در واقع هنگامی که کاربر یک بسته را برای یک سرور خاص می فرستد آن بسته رمز گذاری شده تا در حین ارسال مشکلی برای آن پیش نیاید و این رمز فقط توسط دریافت کننده قابل فهم است و  متقابلا آن سایت هم هنگامی که بخواهد جواب این بسته را ارسال کند آن را رمز گذاری می کند . در این نوع ارتباط ها تمام ارسال و دریافت ها رمز گذاری شده هستد و همین باعث افزایش ضریب ایمنی آن شده است.
 


اما باز هم با تمام اینها نمی توان به طور قاطع گفت که پروتکل HTTPS  ایمن ترین راه است ولی به طور حتم بهتر و امن تر از HTTP است و تا حدی هم توانسته مشکلات آن را از میان بردارد . در این پروتکل هنگامی که شما بخواهید یک سایت خاص را باز کنید ، HTTPS اول کنترل می کند که آیا سایت درست است و همچنین امنیت آن را هم بررسی می کند و بعد شما را به آنجا لینک می کند .

برچسب ها

آریو اشراقی راد

از بچه ی خون گرم جنوب (خوزستان) - با اشتراک گذاری و معرفی مطالب سایت به دوستان خود در شبکه های اجتماعی ما را حمایت کنید ID تلگرام asdownload-net@

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن