در حالیکه اغلب توجهها در رابطه با امنیت، به مسایلی روزمره مانند داستان FBI و آیفون رمزنگاریشده یا رمزنگاری دوطرفه در اپلیکیشن Whatsapp جلب شده، هنوز بسیاری از افراد از اهمیت HTTPS آگاهی کافی ندارند. در ادامهی این مطلب میخواهیم بگوییم که HTTPS چیست و چرا مهم است.
بد نیست بدانید HTTPS مخفف عبارت Hypertext Transfer Protocol است که در انتهای آن حرف S (مخفف Secure) اضافه شده. اگر آدرس صفحاتی که روزانه در اینترنت مرور میکنید با HTTPS آغاز میشود، اطلاعات آن صفحات به واسطهی رمزنگاری از دید سایرین پنهان میماند. معمولا سایت بانکها و همچنین صفحاتی که اطلاعات کارت بانکی یا رمزهای عبورتان را در آنها وارد میکنید، با استفاده از این پروتکل، رمزنگاری شدهاند.
اطلاعات سایتهایی که از پروتکل HTTP استفاده میکنند قابل قطع شدن و شنود است. به هنگام بازدید سایتی که از پروتکل HTTP استفاده میکند، کسی که بین شما و سرور آن سایت باشد، میتواند صفحاتی که مرور میکنید را مشاهده کند. برای مثال اگر شما در یک کافیشاپ و در حال استفاده از اینترنت آنجا باشید، در عمل تمامی صفحاتی که در حال مرورشان هستید برای کافیشاپ، سرویسدهندهی اینترنت و همینطور دولت یا برخی سازمانهای دولتی، قابل مشاهده هستند.
کمی عمیقتر نگاه کنیم. به هنگام بازدید یک سایت HTTP، سرور سایت مورد نظر به درخواست مرورگر شما پاسخ میدهد و اطلاعات سایت را بدون رمزنگاری، برای مرورگرتان ارسال میکند. اما به هنگام مرور یک سایت HTTPS، سرور سایت مزبور، پیش از هر چیز نسبت به تبادل کلیدهای رمزنگاری با مرورگر شما اقدام میکند. با تبادل این کلیدها، اطلاعات در بین مسیر، رمزنگاری شده و تنها در مبدا و مقصد قابل رمزگشایی هستند. بدینترتیب اشخاص، شرکتها و دولت که در بین راه قرار دارند، اطلاعات رمزنگاریشدهای را مشاهده میکنند که برایشان بیمعنی است.
آقای «پیتر اکرسلی» (Peter Eckersley)از موسسهی EFF، ارتباطات اینترنتی را به لولههایی توصیف میکند که اگر در حالت HTTP باشند، شفاف هستند. در این صورت بسیاری از افراد در بین مسیر میتوانند محتوایی را که در لولهها در حال جابجایی است مشاهده کنند. اما اگر از HTTPS برای انتقال استفاده شود، لولهها همه مات میشوند و فقط کسانی که در ابتدا و انتهای لوله حضور دارند از آنچه در حال حرکت در لولههاست آگاه خواهند بود.
استقبال مجدد از HTTPS
HTTPS از پروتکلی تحت عنوان SSL یا TSL برای رمزنگاری استفاده میکند که عمر آن بیش از دو دهه است. این پروتکل اولین بار در سال ۱۹۹۴ در مرورگر Netscape Navigator استفاده میشد. با این حال، استفاده از این تکنولوژی در سالهای اخیر در حوزههایی خاص شتاب گرفته است. امروزه برای محافظت از اطلاعات بانکی یا رمزهای عبور از HTTPS استفاده میشود. مدیران سایتها بهتدریج بساط رمزنگاری را در همهی صفحات سایتهایی مثل شبکههای اجتماعی تا سایتهای دولتی، گستراندهاند.
در حال حاضر به گزارش موزیلا، در بیش از ۴۲ درصد بازدیدهای وب از HTTPS استفاده میشود. این عدد در تابستان گذشته ۳۸ درصد بوده است. به گفتهی متخصص موسسهی EFF، این افزایش بازدید صفحات HTTPS بیشتر بهخاطر حفاظت از اطلاعات حساس (مانند رمزهای عبور و اطلاعات بانکی) مورد استفاده قرار گرفته است.
اما صفحات امن در واقع از هویت و حریم شخصی ما به هنگام مرور وب نیز حفاظت میکنند. برای مثال بازدیدکنندهای که سایت ویکیپدیا را برای کسب اطلاعات بیشتر در خصوص بیماریاش مرور و مطالعه میکند، کسی که در محل کارش در سایتی به دنبال شغل جدید میگردد و بسیاری نمونههای دیگر میتوانند از جمله مواردی باشند که وجود HTTPS میتواند در صفحاتی که مرور میکنند، حیاتی باشد.
تشخیص هویت
اما کاربرد صفحات HTTPS به رمزنگاری و افزایش محرمانگی ختم نمیشود. در واقع HTTPS کمک میکند مرورگر و کاربر، از صحت سایت اطمینان حاصل کنند. به هنگام بازدید یک سایت که از پروتکل امن استفاده میکند، لازم است سایت مربوطه آدرس خودش را با کلیدهای تبادل شده با مرورگر رمزنگاری کند و نتیجه در مقصد (مرورگر) و پس از رمزگشایی همان آدرس شود. درصورتیکه این روند بهدرستی پیش برود، سایت مزبور اثبات کرده که همان است که درخواست شده. برای این کار، مدیر سایت باید از طریق شرکتهایی مثل Comodo یا Symantec درخواست یک «گواهی امنیتی» بدهد. پس از آن، سایت از یک گواهی امنیتی که در واقع کلید رمزنگاری آن است بهرهمند میشود. این کلید در حالت تئوری نمیتواند بهوسیلهی شخص دیگری ساخته شود.
البته سابقهی هک این گواهیها وجود دارد. اما بهطور کلی، وظیفهی یک گواهی این است که تضمین میکند وقتی مرورگرتان به شما میگوید در سایتی مانند https://google.com است، میتوان مطمئن بود که اطلاعاتی که به اشتراک میگذارید قطعا با یکی از سرورهای سایت گوگل -و نه هیچ سرور یا شخص دیگری- به اشتراک گذاشته میشود.
به واسطهی استفاده از HTTPS در سایتها، امکان دستکاری در شبکهی داخلی و تغییر مسیر این صفحات نیز برای دیگران به حداقل میرسد. بد نیست بدانید روشهای معمول برای فیلترینگ که دولتها بهکار میبندند نیز برای فیلتر کردن صفحات HTTPS کاربرد ندارد. اما مهمتر از مسالهی سانسور صفحات بدون رمزنگاری، امکان سانسور یا تغییر بخشهایی از محتوا، نمایش تبلیغات در صفحات و موارد دیگر است. بهعلاوه صفحاتی که از HTTPS استفاده نمیکنند انجام برخی امور را برای هکرها و تزریق کدهای آلوده، ساده میکنند. برای مثال، سال گذشته دولت چین از روشی مشابه برای اضافه کردن اسکریپتی در صفحهی اصلی Baidu (موتور جستجوی چینی) استفاده کرد که مرورگر تعداد زیادی از کاربران را تبدیل به ابزاری برای درخواست اطلاعات از نسخهی چینی نیویورک تایمز و سایت Github میکرد (نوعی حمله DDoS با کمک کامپیوترهای کاربران). همین مساله منجر به اختلال جدی در سرورهای این دو سایت شد و برای مدتی از دسترس خارج شدند.
از هکها یاد بگیریم و HTTPS را هر جا که ممکن است استفاده کنیم
به گفتهی «جاش آز» (Josh Aas) (از مهندسان بنیاد موزیلا)، حملات اینچنینی این خودآگاهی را ایجاد میکند که استفاده از صفحات HTTPS تا چه حد ضامن امنیت، هویت و حریم شخصی ما است. آقای آز همچنین بنیانگذار موسسهی غیرانتفاعی Let’s Encrypt است. این موسسه که در زمینهی HTTPS کار میکند در شش ماه گذشته به استفادهی چهار میلیون سایت از HTTPS کمک کرده است.
امروزه خطرات استفاده از اینترنت بدون رمزنگاری بیشازپیش همه را تهدید میکند. در سال ۲۰۱۰ یک برنامهنویس به نام «اریک باتلر» (Eric Butler)، پلاگینی به نام Firesheep عرضه کرد که به کمک آن، امکان شنود ارتباطات ناامن و رمزنگاری نشده در هر شبکه مهیا میشد. این مساله منجر به افزایش نگرانیها در خصوص نقض حریم شخصی -خصوصا در شبکههای اجتماعی- شد و سایتهایی مانند فیسبوک و توییتر را مجبور به گسترش HTTPS در تمامی صفحات خود کرد.
علاوه بر این موارد، افشاگریهای «ادوارد اسنودن» (Edward Snowden) نیز محرز کرد که NSA تا چه حد، مسیر اینترنت را در جهت شنود محتوای رمزنشده منحرف کرده است. اقدام او افراد را نسبت به حفاظت از ارتباطات خود آگاه کرد.
نهایتا با وجود افزایش نگرانیها و اهمیت استفاده از HTTPS، کماکان راه زیادی تا نقطهی مطلوب مانده است. گزارشی از گوگل نشان میدهد، ماه گذشته ۷۹ سایت از هر صد سایت پرترافیک اینترنت هنوز از HTTPS استفاده نمیکنند. همچنین بر اساس گزارش موزیلا، تنها ۴۳۸ هزار سایت از یک میلیون سایت اول دنیا از HTTPS بهره میبرند.
«جاش آز»، مهندس بنیاد موزیلا میگوید: «اغلب کاربران هنوز چیزی در مورد HTTPS نمیدانند و شاید حتی بدانند ولی توجه خاصی به اهمیت آن نداشته باشند. اگر بخواهیم از این دسته از افراد حفاظت کنیم، لازم است به سایتها بقبولانیم که نسبت به استفاده از HTTPS جدی باشند. وقت آن رسیده که این ضرورت را به رکنی اصلی در امنیت اینترنت، تبدیل کنیم.»
منبع : دیجی مگ