بروتوكول نقل النص الفائق الآمن

بروتوكول نقل النص الفائق الآمن (اختصارًا HTTPS)، هو مزيج من بروتوكول نقل النص التشعبي مع خدمة تصميم المواقع تلس / بروتوكول لتوفير الاتصالات المشفرة وتحديد تأمين شبكة خادم الويب. غالبا ما تستخدم الشبكي وصلات لمعاملات الدفع على الشبكة العالمية للمعاملات ونظم المعلومات الحساسة في الشركات. الشبكي لا ينبغي الخلط بينه وبين النص المتشعب الآمنة

بروتوكول نقل النص الفائق الآمن

بداية الفكرة

الفكرة الرئيسية من الشبكي هو إنشاء قناة آمنة عبر شبكة آمنة. وهذا يضمن حماية معقولة من التنصت والهجمات والقراصنة، شريطة أن يتم استخدام الأجنحة الكافية والشفرات والتحقق من هذه الشهادة هو الخادم وموثوق به. المتأصلة في الشبكي يعتمد على الثقة الكبرى الشهادات الآمنة التي تأتي مثبتة مسبقا في برنامج التصفح (وهذا يعادل قائلا «أنا على ثقة السلطة شهادة (مثل فيريساين / مايكروسوفت / الخ.) ليقول لي أن أعطيه الثقة»). وعلى موقع على شبكة الإنترنت يمكن الوثوق بها لذلك الاتصال الشبكي إذا وفقط إذا كانت كافة الإجراءات التالية صحيحا: وتأمل المستخدم التي تنفذ البرامج الخاصة بهم بشكل صحيح متصفح الشبكي مع السلطات الشهادة المثبتة مسبقا بشكل صحيح. المستخدم يثق في السلطة ليشهدوا شهادة فقط للمواقع المشروعة دون أسماء مضللة. ويوفر الموقع شهادة صالحة، وهذا يعني تم التوقيع عليها من قبل سلطة موثوق به. (شهادة غير صالحة يظهر تحذير في معظم برامج التصفح) الشهادة بشكل صحيح يعرف الموقع (على سبيل المثال زيارة الموقع;https://example.com على سبيل المثال وتلقي شهادة من أجل «مثال شركة» وليس أي شيء آخر اما التدخل القفزات على الإنترنت هي جديرة بالثقة، أو المستخدم يثق البروتوكول التشفير طبقة (تلس أو خدمة تصميم المواقع) هي غير قابلة للكسر من قبل المتصنت

لماذا بروتوكول HTTPS

تكمن المشكلة في بروتوكول HTTP، كما في كثير من البروتوكولات المصممة للإنترنت في عدم أخذ الجانب الأمني في الاعتبار، ومن أهم الثغرات الأمنية فيه أن محتويات الصفحات والبيانات المرسلة لها مثل اسم المستخدم وكلمة المرور والبيانات الشخصية التي يتم تعبئتها في النماذج الإلكترونية، يتم إرسالها بطريقة غير مشفرة، وهذا يعني إمكانية التجسس على البيانات المرسلة والمستقبلة من قبل المخترقين بسهولة. المشكلة الثانية هي عدم وجود آلية للتحقق من هوية الموقع الذي يتم التعامل معه، مما يعرض المستخدم لخطر الوقوع ضحية لأساليب الاصطياد الإلكتروني (Phishing) عند الدخول على موقع يشبه تماما الموقع الأصلي (للبنك مثلا) وقد يتشابه معه في جزء من العنوان مع تغيير بسيط في الحروف. يقدم بروتوكول HTTPS (Hypertext Transfer Protocol Secure) الحل لهذه المشاكل وغيرها عن طريق تشفير البيانات المرسلة بين متصفح الإنترنت وبين الموقع، حيث يستخدم بروتوكول SSL/TLS مع بروتوكول HTTP المعتاد. يتم الاتفاق على المفاتيح المستخدمة في التشفير آليا عند بداية الاتصال (أي عند بداية الدخول على الموقع)، ثم يتم استخدام تلك المفاتيح في التشفير. وبالإضافة إلى عملية التشفير، فإن بروتوكول SSL يمكنه التأكد من هوية الموقع عن طريق الشهادة الإلكترونية Digital Certificate التي يقدمها الموقع للمتصفح عند بداية الاتصال، والتي تحتوي على معلومات عن الموقع. يقوم المتصفح بالتأكد من هذه البيانات مثل العنوان وتاريخ صلاحية الشهادة وأن الشهادة لم يتم إلغاؤها. يجب استخدام HTTPS دائما في المواقع التي تتطلب إدخال بيانات مهمة مثل رقم الهوية أورقم بطاقة الائتمان، وكذلك المواقع الخاصة بالبنوك ومواقع الشراء عبر الإنترنت. كما أن أغلب مواقع البريد الإلكتروني تستخدم هذا البروتوكول لحماية مستخدميها. من المهم التأكيد على أن مجرد كون الموقع يستخدم HTTPS لا يكفي، بل يجب التأكد من صحة الشهادة التي يحملها، وأغلب المتصفحات المعروفة تحذر المستخدم عند عدم صلاحية الشهادة أوعند عدم تطابق هوية الموقع مع بيانات الشهادة، وعند ذلك يجب عدم الاستمرار في تصفح الموقع وعدم إدخال بيانات مهمة إليه[1]

الاستخدام في مواقع الويب

اعتبارًا من أبريل عام 2018 ،بدأ 33.2٪ من أفضل 1،000،000 موقع من مواقع Alexa استخدام HTTPS كإعداد افتراضي[2]،أيضا 57.1٪ من مواقع الإنترنت الأكثر شيوعًا والتي يبلغ عددها 137971 لديها تنفيذ آمن من  HTTPS[3][4] و 70٪ من تحميل الصفحات (تم قياسها بواسطة Firefox Telemetry ) تستخدم HTTPS.[5][6]  ومع ذلك ، على الرغم من إصدار TLS 1.3 في عام 2018 ، كان الاعتماد عليه بطيئًا، ولا يزال الكثير منهم على بروتوكول TLS 1.2 الأقدم.[7][8]

تضمينه مع المتصفح

عند الاتصال إلى موقع مع شهادة غير صالحة، فإن المتصفحات القديمة الحالية تعرض علي المستخدم نافذه «هل يريد الاستمرار أم لا».المتصفحات الحديثة تعرض تحذير عبر نافذة بأكملها. تعرض المتصفحات الحديثة أيضا أحدث المعلومات في شريط البحث و تُظهر شهادات التحقق الممتدة (EV) الكيان القانوني ضمن معلومات الشهادة. تعرض معظم المتصفحات أيضًا تحذيرًا للمستخدم عند زيارة موقع يحتوي على مزيج من المحتوى المشفر وغير المشفر. بالإضافة إلى ذلك ، تعرض العديد من فلاتر الويب تحذيرًا أمنيًا عند زيارة مواقع الويب المحظورة.

ترى مؤسسة الحدود الإلكترونية أنه "في عالم مثالي ، كل طلب ويب  يمكن أن يتم تعيينه افتراضيًا ل HTTPS" ، فقد قدمت إضافة تسمى "HTTPS في كل مكان (HTTPS Everywhere) " لـ متصفحات أندرويد :كرومنيوم، فايرفوكس، وجوجل كروم  والتي تمكّن HTTPS افتراضيًا لـ المئات من مواقع الويب الأكثر استخدامًا.[9][10][11][12] تم دعم اجبار متصفحات الويب على تحميل محتويات بوتوكول HTTPS فقط في المتصفح فايرفوكس بدءًا من الإصدار 83 و بدءًا من الإصدار 94  لمتصفح الويب جوجل كروم اصبح  "استخدام الاتصالات الآمنة دائمًا" إذا تم تبديله في إعدادات المتصفح.[13][14][15][16]

الحماية

المقالة الرئيسية : Transport Layer Security § Security

قبل SSL كانت الحماية التي يقدمها بروتوكول HTTPS  معتمد على بنية TLS ، والذي يستخدم عادةً مفاتيح عامة وخاصة طويلة المدى لتوليد مفتاح جلسة قصير المدى ، والذي يتم استخدامه بعد ذلك لتشفير تدفق البيانات بين العميل والخادم. استخدمت شهادات X.509 لمصادقة الخادم وفي بعض الأحيان لمصادقة العميل أيضًا. ونتيجة لذلك ، تعد هيئة الشهادات وشهادات المفاتيح العامة ضرورية للتحقق من العلاقة بين الشهادة ومالكها ، وكذلك لإنشاء الشهادات وتوقيعها وإدارة صلاحيتها. في حين أن هذا يمكن أن يكون أكثر فائدة من التحقق من الهويات عبر الموقع الموثوق (Web Of Trust-WOT) ، فإن عمليات الكشف عن عمليات المراقبة الجماعية لعام 2013 لفتت الانتباه إلى أن هيئات إصدار الشهادات تمثل نقطة ضعف تسمح لهجمات الوسيط (man-at-the-middle).[17][18][19][20]

لكي يكون HTTPS فعالاً ، يجب استضافة الموقع بالكامل عبر HTTPS. إذا تم تحميل بعض محتويات الموقع عبر HTTP (البرامج النصية أو الصور ، على سبيل المثال) ، أو إذا تم تحميل صفحة معينة فقط تحتوي على معلومات حساسة عبر HTTPS مثل صفحة تسجيل الدخول (Log-in) ،  بينما تم تحميل باقي الموقع عبر بروتوكول HTTP العادي ، سيكون المستخدم عرضة للهجمات والمراقبة. بالإضافة إلى ذلك ، يجب أن يتم تمكين السمة الآمنة لملفات تعريف الارتباط(cookies) على موقع يتم تقديمه عبر HTTPS. في موقع يحتوي على معلومات حساسة ، سيتم الكشف عن المستخدم والجلسة في كل مرة يتم فيها الوصول إلى هذا الموقع باستخدام HTTP بدلاً من HTTPS.[21][22]

التاريخ

أنشأت شركة نتسكيب للاتصالات بروتوكول نقل النص التشعبي الآمن في العام 1994 للعمل مع متصفحها للمواقع نتسكيب. كان البروتكول في الأصل يستخدم في التشفير عن طريق ال SSL وهو أي ال SSL تطور ليكون TLS.+

انظر أيضًا

مراجع

  1. ^ rs.ksu.edu.sa/12860.html،"مقال",09/09/2011،د. مصطفى حسن دهشان
  2. ^ ""HTTPS usage statistics on top 1M websites"". StatOperator.com. اطلع عليه بتاريخ on 9 February 2019. Retrieved 20 October 2018.. {{استشهاد ويب}}: تحقق من التاريخ في: |تاريخ الوصول= (مساعدة) والوسيط |مسار أرشيف= بحاجة لـ |تاريخ أرشيف= (مساعدة)
  3. ^ "Archived". from the original on 2 December 2017. Retrieved 20 October 2018. مؤرشف من الأصل في 2021-03-08. اطلع عليه بتاريخ 2023-04-08.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  4. ^ ""Qualys SSL Labs - SSL Pulse"". www.ssllabs.com. 3 April 2018. مؤرشف من الأصل في 2022-12-22. {{استشهاد ويب}}: تحقق من التاريخ في: |تاريخ= (مساعدة)
  5. ^ "Let's Encrypt Stats". LetsEncrypt.org. مؤرشف من الأصل في 2023-01-15.
  6. ^ "Archived". from the original on 19 October 2018. Retrieved 20 October 2018. مؤرشف من الأصل في 2021-03-08. اطلع عليه بتاريخ 2023-04-08.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  7. ^ "TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys". Help Net Security. 6 April 2020. مؤرشف من الأصل في 2023-04-08.
  8. ^ "Archived". from the original on 24 May 2022. Retrieved 23 May 2022. مؤرشف من الأصل في 2022-05-24. اطلع عليه بتاريخ 2023-04-08.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  9. ^ Eckersley, Peter (17 Jun 2010). "Encrypt the Web with the HTTPS Everywhere Firefox Extension". Electronic Frontier Foundation (بEnglish). Archived from the original on 2023-03-26. Retrieved 2023-04-07.
  10. ^ "Archived from the original on 5 June 2011. Retrieved 20 October 2018". web.archive.org. 25 نوفمبر 2018. مؤرشف من الأصل في 2022-01-29. اطلع عليه بتاريخ 2023-04-07.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  11. ^ "httpS Everywhere". Electronic Frontier Foundation (بEnglish). 7 Oct 2011. Archived from the original on 2023-01-17. Retrieved 2023-04-07.
  12. ^ "Archived from the original on 5 June 2011. Retrieved 20 October 2018". مؤرشف من الأصل في 2011-06-05. اطلع عليه بتاريخ 2023-04-07.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  13. ^ ""Manage Chrome safety and security - Android - Google Chrome Help". support.google.com". مؤرشف من الأصل في 2022-12-29.
  14. ^ "Archived from the original on 7 March 2022. Retrieved 7 March 2022". مؤرشف من الأصل في 2022-03-07. اطلع عليه بتاريخ 2023-04-07.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  15. ^ ""Hands on Chrome's HTTPS-First Mode". Techdows. 19 July 2021". مؤرشف من الأصل في 2023-03-26.
  16. ^ "Archived from the original on 7 March 2022. Retrieved 7 March 2022". مؤرشف من الأصل في 2022-03-07. اطلع عليه بتاريخ 2023-04-07.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  17. ^ "Law Enforcement Appliance Subverts SSL". Singel, Ryan (24 March 2010). مؤرشف من الأصل في 2023-03-17.
  18. ^ "Archived". from the original on 17 January 2019. Retrieved 20 October 2018. مؤرشف من الأصل في 2021-03-08. اطلع عليه بتاريخ 2023-04-08.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  19. ^ ""New Research Suggests That Governments May Fake SSL Certificates". Schoen, Seth (24 March 2010). مؤرشف من الأصل في 2023-03-06.
  20. ^ "Archived". من الأصل في 4 يناير 2016. تم الاسترجاع 20 أكتوبر 2018. مؤرشف من الأصل في 2022-01-29. اطلع عليه بتاريخ 2023-04-08.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  21. ^ "How to Deploy HTTPS Correctly". 15 نوفمبر 2010. مؤرشف من الأصل في 2023-04-06.
  22. ^ "Archived". من الأصل في 10 أكتوبر 2018. مؤرشف من الأصل في 8 مارس 2021. اطلع عليه بتاريخ 8 أبريل 2023. {{استشهاد ويب}}: تحقق من التاريخ في: |تاريخ= (مساعدة)صيانة الاستشهاد: BOT: original URL status unknown (link)