كيف يمكن ل SSL / TLS جعل HTTPS آمنة ؟

يرمز HTTPS إلى HyperText Transfer Protocol Secure وهو الإصدار الآمن من HTTP. هذا هو البروتوكول الأساسي المستخدم لتبادل البيانات بين متصفح الويب وموقع الويب. نظرًا لأن HTTPS هو الإصدار الآمن ، فإنه يضيف التشفير في HTTP من أجل زيادة أمان البيانات التي يتم تبادلها.

دعنا نغطس بشكل أعمق لفهم كيف يتم تأمين البيانات بدقة على الويب.

نظرة عامة على HTTP
HTTP هو البروتوكول الأساسي الذي تستخدمه شبكة الويب العالمية ، ويحدد هذا البروتوكول كيفية تنسيق الرسائل وإرسالها ، والإجراءات التي ينبغي أن تتخذها خوادم الويب والمتصفحات استجابة أو طلبات لأوامر مختلفة.

على سبيل المثال ، عند إدخال عنوان URL في المستعرض الخاص بك ، فإن هذا في الواقع يرسل أمر HTTP إلى خادم الويب لتوجيهه لجلب صفحة الويب المطلوبة ونقلها.

HTTP أيضًا بروتوكول عديم الجنسية لأن كل أمر يتم تنفيذه بشكل مستقل ، دون أي معرفة بالأوامر التي جاءت قبله.

كبروتوكول استجابة للطلب ، يمنح HTTP المستخدمين طريقة للتفاعل مع موارد الويب مثل ملفات HTML عن طريق نقل رسائل النص التشعبي بين العملاء والخوادم. يستخدم عملاء HTTP عمومًا اتصالات بروتوكول التحكم بالإرسال (TCP) للاتصال بالخوادم.

يستخدم HTTP طرق طلب محددة من أجل أداء مهام مختلفة:

• الحصول على: يطلب تمثيل المورد المحدد. الطلبات التي تستخدم هذه الطريقة يجب أن تسترجع البيانات فقط.
• HEAD: يطلب استجابة مماثلة لاستجابة طلب GET ، لكن بدون نص الاستجابة.
• POST: تُستخدم هذه الطريقة لإرسال كيان إلى المورد المحدد ، مما يؤدي غالبًا إلى حدوث تغيير في الحالة أو الآثار الجانبية على الخادم.
• PUT: يستبدل هذا الأسلوب كافة العروض الحالية للمورد الهدف بحمولة الطلب.
• حذف: هذه الطريقة تحذف المورد المحدد.
• TRACE: تقوم هذه الطريقة بإجراء اختبار تكرار حلقة الرسائل على طول المسار إلى المورد الهدف.
• خيارات: يتم استخدام هذه الطريقة لوصف خيارات الاتصال للمورد الهدف.
• اتصال: تنشئ هذه الطريقة نفقًا إلى الخادم المحدد بواسطة المورد الهدف.
• التصحيح: يتم استخدام هذه الطريقة لتطبيق تعديلات جزئية على مورد.

ما هو الفرق بين HTTP و HTTPS؟

الفرق الأكثر أهمية بين البروتوكولين هو شهادة SSL. في الواقع ، HTTPS هو في الأساس بروتوكول HTTP مع أمان إضافي. ومع ذلك ، يمكن أن يكون هذا الأمان الإضافي مهمًا للغاية ، لا سيما بالنسبة لمواقع الويب التي تأخذ بيانات حساسة من مستخدميها ، مثل معلومات بطاقة الائتمان وكلمات المرور.

إذا كيف يعمل HTTPS؟ تقوم شهادة SSL بتشفير المعلومات التي يزودها المستخدمون بالموقع ، والتي تترجم البيانات بشكل أساسي إلى رمز. حتى إذا تمكن شخص ما من سرقة البيانات التي يتم توصيلها بين المرسل والمستلم ، فلن يتمكنوا من فهمها بسبب هذا التشفير.

ولكن بالإضافة إلى إضافة طبقة الأمان الإضافية هذه ، يتم تأمين HTTPS أيضًا عبر بروتوكول TLS (أمان طبقة النقل). يساعد TLS على توفير تكامل البيانات ، مما يساعد على منع نقل البيانات من التلف أو التلف ، والمصادقة ، مما يثبت للمستخدمين أنهم يتصلون بموقع الويب المقصود.

يمكن للمستخدمين تحديد ما إذا كان الموقع يستخدم بروتوكول HTTPS من خلال عنوان الويب. يشير الجزء الأول من عنوان الويب (قبل "www") إلى ما إذا كان الموقع يستخدم بروتوكولات HTTP أو HTTPS.

كيفية SSL / TLS جعلها آمنة؟

واحدة من أهم أجزاء بروتوكول SSL / TLS هي مصافحة SSL / TLS. المصافحة هي حيث يتم تأسيس كل اتصال.

تتكون مصافحة TLS من ثلاث خطوات:

1. إنشاء أجنحة التشفير.
2. مصادقة كل من الخادم والعميل.
3. تبادل مفاتيح الجلسة المتماثلة.

دعنا نتعمق في هذه الخطوات.

إعداد مجموعة التشفير

متصفحات الويب هي العميل الأكثر شيوعًا. وبالمثل ، على جانب الخادم ، تتمتع أنظمة التشغيل الشائعة مثل Windows Server و Apache و NGINX بدعم مختلف تمامًا للميزات. وكل هذا يصبح أكثر تعقيدًا عندما تضيف في تكوينات مخصصة. لذلك ، تتطلب الخطوات الأولى من مصافحة TLS من العميل والخادم مشاركة قدراتهما حتى يتمكنوا من العثور على ميزات التشفير التي يدعمها كل منهما الآخر.

بمجرد موافقة العميل والخادم على أساليب التشفير الدقيقة التي سيستخدمونها. وهذا ما يسمى مجموعة التشفير ثم يرسل الخادم العميل شهادة SSL الخاصة به.

مصادقة كل من الخادم والعميل

يتحقق العميل للتأكد من أن الشهادة "أصلية". هذه خطوة مهمة للغاية. للحصول على اتصال آمن حقًا ، لا يمكنك فقط تشفير بياناتك ، بل عليك أيضًا معرفة أنه يتم إرسالها إلى موقع الويب / المؤسسة الصحيحة. توفر شهادات SSL / TLS تلك المصادقة. لكن الطريقة التي يقومون بها تعتمد على مجموعة الشفرات المستخدمة.

يتم إصدار جميع شهادات طبقة المقابس الآمنة الموثوق بها من قبل المرجع المصدق (CA) ، وهي شركة تمت الموافقة عليها لإصدار شهادات رقمية. يجب أن تتبع هذه المؤسسات إرشادات صارمة للإصدار والتحقق من الصحة بحيث تظل الشهادات التي تصدرها موثوقة. هذا في المقام الأول لضمان أنه يمكنك فقط الحصول على شهادة لموقع أو شركة تمتلكها حقًا. يمكنك التفكير في نوع المرجع المصدق (CA) الذي يشبه كاتب العدل في هذا السياق - يشير توقيعه إلى أن الكيان الموجود في الشهادة هو من يقول أنها كذلك.

أثناء جزء المصادقة من مصافحة TLS ، ينفذ العميل عدة عمليات فحص آمنة مشفرة للتأكد من أن الشهادة المقدمة من الخادم أصلية. يتضمن ذلك التحقق من التوقيع الرقمي والتأكد من أن الشهادة مصدرها مرجع مصدق موثوق به.

خلال هذه المرحلة ، يتحقق العميل أيضًا من أن الخادم يملك المفتاح الخاص المرتبط بالشهادة. يرسل الخادم المفتاح العمومي من خلال شهادة SSL. يُستخدم المفتاح العمومي لتشفير البيانات ويستخدم المفتاح الخاص لفك تشفير البيانات. يُعرف هذا بتشفير المفتاح العمومي "غير المتماثل" نظرًا لأن الوظيفتين يتم تنفيذها بواسطة مفاتيح مختلفة. التشفير هو في اتجاه واحد على نحو فعال.

من خلال نظام تشفير المفتاح العمومي الأكثر شيوعًا ، RSA ، سيقوم العميل بتشفير البيانات العشوائية باستخدام المفتاح العمومي الذي يجب استخدامه لإنشاء مفتاح الجلسة. لن يكون الخادم قادراً على فك تشفير واستخدام هذه البيانات إلا إذا كان لديه المفتاح الخاص ، والذي يوفر دليل على الحيازة.

تبادل مفاتيح الجلسة المتماثلة

يتضمن الجزء الأخير من مصافحة TLS إنشاء "مفتاح الجلسة" ، وهو المفتاح الذي سيتم استخدامه بالفعل للاتصال الآمن.

مفاتيح الجلسة هي "متماثل" ، وهذا يعني أن نفس المفتاح يستخدم للتشفير وفك التشفير. يمكن لهذه المفاتيح تحقيق تشفير قوي بكفاءة أكبر بكثير من المفاتيح غير المتماثلة ، مما يجعلها مناسبة لإرسال البيانات ذهابًا وإيابًا في اتصال HTTPS.

تختلف الطريقة الدقيقة لإنشاء المفتاح استنادًا إلى مجموعة التشفير التي تم اختيارها ، حيث يكون المخططان الأكثر شيوعًا هما RSA و Diffie-Hellman.

لإنهاء المصافحة ، يتيح كل طرف للطرف الآخر معرفة أنه قام بجميع الأعمال الضرورية ، ثم يقوم كلاهما بإجراء مبالغ تدقيق للتأكد من حدوث المصافحة دون أي تلاعب أو ضرر.

تتم مصافحة طبقة المقابس الآمنة بأكملها في بضع مئات من المللي ثانية ، وكل ذلك خلف الكواليس. إنه أول شيء يجب أن يحدث في اتصال HTTPS ، حتى قبل تحميل صفحة الويب.

بمجرد اكتمال مصافحة طبقة مآخذ التوصيل الآمنة (SSL) ، يبدأ اتصال HTTPS المشفر والمصادق عليه وجميع البيانات المرسلة والمستلمة بينك وبين الخادم محمية باستخدام مفتاح الجلسة.

إن مصافحة طبقة مآخذ التوصيل الآمنة (SSL / TLS) هي عملية رائعة ضرورية لإنترنت آمن ، ولكنها تحدث بسرعة وبهدوء وراء الكواليس حيث لا يفكر فيها معظم الناس أبدًا.

آمل أن يكون هذا مفيدا.

نشكرك  للقراءة.