«پروتکل امن انتقال ابرمتن یا Hypertext Transfer Protocol Secure یک پروتکل امن اطلاعاتی برای انتقال اطلاعات حساس در بستر اینترنت است!»
اگر سوال «پروتکل https چیست؟» را از گوگل بپرسید با چنین جوابی مواجه میشوید؛ که خب احتمالا فکر میکنید گوگل دارد به زبان آدمفضاییها با شما صحبت میکند.
واقعیت این است که کامپیوترها هم برای انتقال اطلاعات مسیرهای خودشان را دارند؛ به این مسیرهای اختصاصیپروتکل http میگویند.
کمی سخت شد، نه؟دوست دارید بدانید فرق بین http با https چیست؟ یا آن «s» اضافه که به معنای ssl است، چه کاربردی دارد؟ برای پیدا کردن جواب تمام این سوالها با آریانانت همراه باشید.
در این مقاله میخوانید:
- پروتکل http چیست؟
- پروتکل https چیست و چگونه کار میکند؟
- ssl چیست؟ و چه تفاوتی با tls دارد؟
- داشتن گواهینامه ssl چه مزایایی برای سایت شما دارد؟
- چطور گواهینامه ssl تهیه کنیم؟
- افزونههای کاربردی برای نصب ssl در وردپرس
پروتکل http چیست؟
به نظرتان بعد از اینکه پشت کامپیوترتان مینشینید و شروع به دانلود یک فایل خاص میکنید، چه اتفاقی میافتد؟ کامپیوترتان با مورس به سرور مرکزی علامت میدهد؛ و بعد سرور مرکزی هم مثل فیلم هریپاتر با جغد جواب درخواست کامپیوتر شما (کلاینت) را میدهد؟ معلوم است که نه!
کامپیوترها از طریق کد اطلاعات را رد و بدل میکنند. این کدها چطور از سرور مرکزی به کامپیوتر شما (کلاینت) میرسد؟ یا مثلا وقتی شما یک وبسایت طراحی کردید، فایلها را چطور در آن بارگذاری میکنید که آب از آب تکان نخورد و این فایل به آسانی در دسترس خودتان و سایر کاربران قرار بگیرد؟
تیم برنزلی وقتی حوالی سال ۱۹۹۰ اینترنت را راه انداخت، یک راه ساده برای ارتباط بین سرور (کامپیوتر یا سیستم مرکزی) و سیستم مقابل یا مشتری (مثل همین کامپیوترهای خانگی یا کلاینت) یا ارتباط بین دو کامپیوتر ساده پیشنهاد داد. این مسیر ارتباطی به نام پروتکل http شناخته میشود که حتماً موقع تایپ کردن آدرسهای اینترنتی آن را دیدهاید.
در واقع پروتکل http مثل یک تونل بزرگ است که اطلاعات از طریق آن بین کامپیوترها جابهجا میشود. برای همین وقتی آدرس سایتها را وارد میکنید، اول اسم بزرگراه اطلاعاتی یعنی همین http میآید و بعد به اینترنت میگویید:«اطلاعات را از این بزرگراه رد کن بعد برو به آدرس iranserver»
البته آن اوایل اطلاعات خیلی ساده و فقط در حد متن بودند و صفحات هم با زبان استاندارد html نوشته میشدند؛ ولی بعداً با پیشرفت تکنولوژی، اوضاع کمی پیچیدهتر شد و پای تراکنشهای بانکی یا ردو بدل کردن اطلاعات شخصی مثل سال تولد یا رمز کارتهای بانکی و … به ماجرا باز شد.
ماجرای حمله مرد میانی و تولد پروتکل https
تا اینجا فهمیدیم که اطلاعات بین نرمافزارهای سرور و کلاینت از طریق http جابهجا میشود. خب هکرها هم در این مدت بیکار نبودند و برای این اطلاعات کمین میکردند. چون اطلاعات رمزگذاری نشده بودند، هکرها میتوانستند راحت به آنها دست پیدا کنند یا اگر بخشی از اطلاعات برایشان فایدهای نداشت آنها را دستکاری میکردند و به سیستمهای دیگر میفرستادند.
به این حملهی هکرها اصطلاحا man-in-the-middle attack یا حمله مرد میانی میگفتند.
درست در همینجا که امنیت حساسیت بیشتری پیدا کرده بود، https (یا Hyper Text Transfer Protocol Secure یا پروتکل امن انتقال ابر متن) وارد میدان شد.
https چگونه کار میکند؟
https به جای اینکه اطلاعات را مثل آبشار به سمت سرور بفرستد، آنها را درون یک صندوقچه میگذارد. تازه به همینقدر رمزگذاری هم اکتفا نمیکند و گاهی هر بخش از اطلاعات را در یک صندوق جداگانه قرار میدهد و این وسط برای گمراه کردن بیشتر هکرها لابهلای صندوقهای اطلاعاتی یکی دو صندوق خالی را هم میفرستد تا هکرها در صورت نفوذ به سیستم نتوانند یکجا به تمامی اطلاعات مورد نیازشان دسترسی پیدا کنند.
خب https که فقط یک پروتکل یا تونل ارتباطی است پس این همه فعالیت را چطور انجام میدهد؟ برای فهمیدن بهتر ماجرا بهتر است به بخش بعد بیایید و با مفهوم ssl یا secure socket layer آشنا بشوید.
SSL چیست؟
شاید تا به حال فهمیده باشید که فرق بین http با https چیست؟ بله تمام تفاوت این دو در همان s کوچک است. اما همین s به ظاهر ساده که از کلمه SECURE به معنی «امنیت» گرفته شده است، کلی داستان و ماجرا دارد.
همانطور که گفتیم SSL مخفف secure socket layer یا سوکت امنیت لایهای است. زمانیکه ما با استفاده از پروتکل https اطلاعاتمان را میفرستیم، در واقع اطلاعات به لطف ssl کدگذاری میشوند (همان صندوقچهها)؛ در نتیجه اگر هکری وسط راه این اطلاعات را بردارد، نمیتواند آنها را متوجه شود یا بخشی را به آنها اضافه کند.
در این صورت بعد از بارگذاری مطالب خاص، دیگران چطور مطالب سایت ما را ببیند؟ اصلا چطور در سایت ثبتنام کنند یا اطلاعاتشان را ویرایش کنند؟
بگذارید با یک مثال بحث را روشنتر کنیم؛ فرض کنید شما یک مغازهی بزرگ پر از اجناس مختلف دارید. مشتریها اجازه دارند با یک کارت خاص وارد بشوند و این اجناس را ببینند یا از آنها استفاده کنند (چیزی شبیه به اجازهی استفاده از وبسایت به شکل عمومی)؛ بعضی از آن هم میتوانند اسم و مشخصاتشان را در دفترچهی ویژهای بنویسند تا شما محصولاتی که دوست دارند، برایشان ارسال کنید (ثبت نام در بعضی از سایتها برای خرید اکانت ویژه و …).
خب اگر همه بتوانند به سراغ این دفترچهی خاص بروند و آدرس مشتریها را ببینند چه میشود؟ ممکن است بعضیها از این فرصت استفاده کنند و محصولات خودشان را که شاید بیخطر هم نباشند، به دست مشتریها برسانند.
در این صورت شما از یک قفل ویژه استفاده میکنید و آن دفتر را حسابی مهر و موم میکنید کلیدش را هم در جیب خودتان میگذارید تا دیگران به این اطلاعات دسترسی نداشته باشند (قفل خصوصی).
سیستم رمزگذاری اطلاعات توسط اس اس ال هم چیزی شبیه به همین ماجرای مغازهای است.
به این ترتیب اطلاعات بین سرور و سیستم مشتری با امنیت کامل رد و بدل میشود. شما به راحتی میتوانید اطلاعات بانکیتان را در صفحهی بانک مورد نظر بارگذاری کنید، از یک درگاه امن پول پرداخت کنید یا از مشتریهایتان بخواهید برای کالا و خدمتتان پول را به حساب شما واریز کنند. و خیالتان راحت باشد که پول وارد حسابی که تعریف کردید میشود.
کروم، فایرفاکس، سافاری و … برای اینکه خیال شما را از امن بودن سیستم و استفاده از پروتکل https راحت کنند، در بالای آدرس صفحاتی که گواهینامهی ssl دارند، یک علامت قفل کوچک میگذارند تا دیگر بدون نگرانی اطلاعاتتان را بفرستید.
یک پیشنهاد به درد بخور: پیشنهاد میکنم برای آشنایی بیشتر با SSL و نحوه دریافت آن، به مقاله گواهینامه SSL چیست سر بزنید.
چرا باید از http به https کوچ کنیم؟
مهمترین کاربردهای https و ssl، همان دلایلی هستند که باعث میشوند شما از گواهی SSL و پروتکل Https استفاده کنید.
۱) رتبۀ بهتر در موتورهای جستوجو
گوگل حسابی هوای کاربرهایش را دارد و هر روز تلاش میکند تا تجربهی کاربری بهتری برای آنها رقم بزند. یکی از مواردی که هم برای گوگل و هم برای کاربر مهم است، همین امنیت است. برای این منظور شما باید از یک منبع معتبر گواهینامهی SSL تهیه کنید تا گوگل و کاربرها بدانند سایت شما امنترین جای دنیاست.
اگر رقابت خیلی نزدیک و شدید گوگل دست سایتی را به عنوان نفر اول بالا میبرد که به سراغ پروتکل https رفته است.
۲) تجربۀ کاربری خوب
ssl و https مثل نگهبانهای حرفهای از امنیت و یکپارچگی سایت شما محافظت میکنند و اجازه نمیدهند که هکرها بیاجازه وارد سایتتان بشوند. شاید با خودتان بگویید ما که پرداخت بانکی یا بخش اطلاعاتی خاصی نداریم؛ خب چرا باید گواهینامه ssl دریافت کنیم؟ برای پاسخ خوب است که با یک چشمهی دیگر از هنرنماییهکرها آشنا بشوید.
اگر سایتتان از درگاه https استفاده نکند، هکرها و سارقین اطلاعات میتوانند به راحتی پیامهای اسپم را برای کاربرها ارسال کنند؛ کاربر نمیداند این اسپمها کار هکرهاست، و خب تمام این آزارها را از چشم شما میبیند.
ماجرا وقتی ترسناکتر میشود که کاربرها بخواهند یک فایل خاص را از روی سرور سایتتان دانلود کنند. خب وارد کردن دوتا کد برای نفوذ به کامپیوتر کاربرها برای هکرها مثل آب خوردن است؛ اجازه بدهید دیگر به بخشهای ترسناکتر یعنی ویروسی شدن کامپیوتر کاربرها و سرقت اطلاعات شخصیشان … اشاره نکنیم.
۳) افزایش اعتماد کاربران
شما میخواهید یک خانه بخرید؛ سراغ خانهای میروید که مهندسهای ناظر تاییدش نکردند؟ معلوم است که نه! خب گواهینامهی SSL هم دقیقا همان مهر تایید مهندس ناظر است که پای سایت میخورد.
کاربرها هم با دیدن این گواهینامه با خیال راحت به سایت اعتماد میکنند. از طرف دیگر اگر شما گواهینامهی SSL داشتهباشید به راحتی میتوانید نماد اعتماد دو ستاره را دریافت کنید.
چطور برای وبسایت گواهینامهی SSL تهیه کنیم؟
هنگام تهیه گواهی SSL نکتهی اولی که خوب است به آن توجه کنید، انواع سرویسها و گواهینامههای ssl است؛ سرویسهای ssl متنوع هستند، بعد از انتخاب نوع گواهی، خوب است که با توجه به دامنه و زیردامنههای وبسایتتان متناسبترین سرویس را انتخاب کنید تا بتوانید به راحتی با یک گواهی تمام دامنهها وزیردامنههای تحت اختیارتان را پوشش بدهید.
مورد بعد انتخاب نوع گواهینامه SSL است، که باید با توجه به نوع کاربری سایت نوع آن را مشخص کنید.
انواع گواهینامه اس اس ال
- گواهینامه DV SSL: این گواهی تنها هویت شخص مالک دامنه را بررسی و تایید میکند و دیگر کاری به هویت شرکت یا سازمانی که درخواست دامنه را دادهاست، ندارد.
- گواهینامه OV SSL: این گواهی اصولا برای اشخاص حقوقی و برای شرکتها، بانکها، وزارتخوانهها و … بعد از تایید هویت حقوقی فرد درخواست کننده صادر میشود. برای دریافت این گواهینامه لازم است تمام مدارک درخواستی ترجمه و بعد به شرکت صادرکنندهی گواهینامه ارسال بشود.
- گواهینامه EV SSL: این گواهی را میتوانید از آن نوار سبزرنگی که در بخش آدرس وبسایت خودنمایی میکند؛ شناسایی کنید. گواهینامه ssl ev هم به افراد حقوقی و سازمانهایی مثل وزارتخانهها، بانکها و شرکتها بعد از تایید هویت تعلق میگیرد. با این تفاوت که معمولا شرکتهای بزرگ به سراغ دریافت این نوع گواهینامه میروند.
برای اطلاعات بیشتر راجع به این موضوع به مقاله انواع گواهینامههای ssl سر بزنید.
بعد از انتخاب گواهی و ارسال مدارک باید منتظر دریافت گاهی باشید. مرجله آخر کوچ از http به https نصب گواهی SSL در وبسرور هاست است. این کار باید توسط پشتیبانی هاست سایت انجام بشود.
خبر خوب اینکه شما میتوانید با خرید دامنه از طاها سرور، با یک تیر دو نشان بزنید و یک دامنه با گواهی SSL معتبر خریداری کنید.
افزونههای کاربردی برای نصب SSL در وردپرس
خب حالا که گواهی SSL دریافت کردیم، چه کار کنیم که تمام صفحات سایت با پیشوند https نمایش داده بشوند؟ برای این کار میتوانید از افزونههای زیر کمک بگیرد:
- Really Simple SSL
- One Click SSL
- SSL Insecure Content Fixer
- WP Force SSL
حرف آخر
- http و https پروتکلهای انتقال اطلاعات یا ابرمتنها هستند. تنها تفاوت بین http و https انتقال امن دادهها از طریق https است.
- استفاده از پروتکل https و گواهی SSL باعث بهبود رتبهی سئوی سایت، افزایش اعتماد کاربران و حفظ اطلاعات شخصی و مهم در حریم سایت میشود.
- گواهی SSL در سه نوع ssl ov ، ssl dv و ssl ev صادر میشود. این سه گواهی از نظر پروتکلهای رمزگذاری با یکدیگر تفاوتی ندارند.
- شما میتوانید به راحتی گواهینامه ssl را با توجه به بودجه و نیاز سایتتان از طاها سرور تهیه کنید. همچین اگر هاست شما هم از طاها سرور خریداری شده باشد، تیم پشتیبانی طاها سرور مثل آب خوردن SSL را روی دامنه و هاست شما نصب میکنند.
افزونههایی نظیر Really Simple SSL ، One Click SSL ، WP Force SSL ، SSL Insecure Content Fixer میتوانند در انتقال سایت از http به https بعد از نصب SSL به شما کمک کنند.
هیچ نظری وجود ندارد