بروتوكول Https

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

لا يمكن الحديث عن بروتوكول Https بدون الحديث عن قريبه أو سالفه بروتوكول Http. لكن قبل ذلك, ماذا تعني كلمة بروتوكول؟ في عالم شبكات الحاسوب والإنترنت تستخدم كلمة بروتوكول Protocol لوصف الطريقة التي يتخاطب بها حاسبان متصلان على الشبكة. هناك بروتوكولات عديدة مختلفة كل منها صمم ليتناسب مع الخدمة على الإنترنت. فهناك بروتوكول pop3 لجلب البريد الالكتروني الوارد. وهناك smpt لإرسال البريد الاكتروني, imap لتصفح صناديق البريد الالكتروني، وftp لنقل الملفات وغيرها.

بروتوكول http, هو البروتوكول المستخدم لنقل محتوى صفحات الإنترنت من الموقع حيث توجد الصفحة إلى متصفح الإنترنت على الجهاز الذي طلب الصفحة. في كل مرة نقوم فيها بتصفح موقع على الإنترنت يقوم المتصفح باستخدام بروتوكول http بطلب محتويات الصفحة من الموقع, يقوم الموقع بتقديم هذه المحتويات, ويقوم المتصفح في النهاية بإعلام الموقع بوصول كل المعلومات. المعلومات المنقولة باستخدام بروتوكول http غير مشفرة. أي يمكن لشخص موجود على طريق المعلومات المنتقلة من حاسب A إلى حاسب B باستخدام البروتوكول http أن يتنصت عليها على الرغم من أنها غير موجه له. أي أن استخدام بروتوكول http يعرض خصوصية المستخدم للانتهاك.

هذا الموضوع قد لا يكون ذو أهمية إذا كان الغرض من التصفح, الحصول على معلومة ما من الإنترنت لا علاقة لها بالسياسة مثلا. لكن الموضوع يصبح ذو أهمية قصوى إذا أراد المتصفح الدخول إلى حساب الكتروني له على موقع من المواقع كحساب بريده الإلكتروني على موقع gmail مثلا. ففي هذه الحالة استخدام بروتوكول http يعني نقل محتويات حساب البريد الالكتروني عبر الإنترنت بدون تشفير معرضة المعلومات لأن تكون عرضة للكشف لجهات غير مخولة بالوصول لها. جاء بروتوكول https حلا لهذه المسألة. بروتوكول https هو في الحقيقة بروتوكول http مغلف ببروتوكول آخر هو بروتوكول SSL/TLS. ويختلف بذلك بروتوكول https عن بروتوكول http في أنه يقوم بتشفير المعلومات المنتقلة بين الحاسب الأول والحاسب الثاني.

تقوم المتصفحات بشكل أوتوماتيكي بإظهار علامة قفل عند عنوان الموقع إن كان البرتوكول المستخدم هو بروتوكول Https وكان الاتصال آمنا. كما هو موضح في الصورة:

Https salamatech.org.png

بالإضافة لتشفير المعلومات المتبادلة بين المتصفح ومخدم الصفحة التي يريد المستخدم بتصفحها, يساعد بروتوكول Https في الحماية أو الوقاية من اصطياد كلمات السرّ Passwords Phishing لذلك ننصح قراء هذه المقالة بالمتابعة وقراءة المقالة المتعلقة باصطياد كلمات السرّ Password Phishing والتي توضح دور بروتوكول Https في حماية المستخدم من الوقوع في الفخ.

أيضا فإن استخدام بروتوكول https من عدمه في تطبيقات المحادثة يجعلنا نفضل تطبيقات على غيرها. فنحن ننصح بتجنب استخدام التطبيقات التي لا تستخدم بروتوكول https كبرنامج gtalk. في حين يعتبر google chat عبر صفحة gmail آمنا لأنه يستخدم تشفير بروتوكول https كذلك الأمر في فيسبوك ميسينجر Facebook Messenger لكن فقط في حالة كان العنوان المستخدم لتصفح فيسبوك هو: https://www.facebook.com.

ماذا يفعل بروتوكول Https

يقوم البرتوكول بتشفير: - التفاصيل الواقعة بعد عنوان الموقع في عنوان الصفحة التي يتصفحها المستخدم. - محتوى الصفحة - أي معلومات يرسلها المتصفح إلى الموقع أو بالعكس مثل كلمة السرّ، اسم المستخدم عند تسجيل الدخول.

وتوضح الصورة أدناه المعلومات التي يقوم بروتوكول Https بتشفيرها:

Https infograph.png

إضافة Https Everywhere

تجبر إضافة Https Everywhere المتصفّح على استخدام بروتوكول Https إذا كان ذلك متاحا على الصفحات التي يقوم المستخدم بتصفحها.. لكن في حال لم يكن متاحا فلا حول للإضافة ولا قوة. لذلك على المستخدم أن يبقى يقظا لما يفعله ومدركا للمخاطر التي ترافق استخدامه لبروتوكول http وعدم استخدام https. فالمستخدم هو المسؤول أولا وأخيرا عن أمنه أثناء استخدام الانترنت.

==التحقق من SSl Certificate لموقع ما

يمكنكم التحقق من حالة شهادة SSL أو SSL Certificate لموقع ما عبر الموقع: https://www.ssllabs.com/ssltest/analyze.html. عبر وضع اسم الموقع في خانة الإدخال ثم بعد الضغط على زر البدء، يقوم الموقع بإجراء عدة فحوص للشهادة أوتوماتيكيا تظهر نتائجها تباعا وفي النهاية يقوم بإظهار تقرير مفصل عن حالة الشهادة معطيا إياها درجة جودة أفضلها A+.

Ssllabs ssltest analyse salamatechwiki.png

بالنسبة للمجموعات والمؤسسات

يجب على المسؤولين عن أمن المعلومات ضمن الفريق أن يتأكدوا من أن: - جميع أعضاء الفريق يعرفون الفرق بين بروتوكولي Http وHttps من ناحية أمن المعلومات. - جميع أعضاء الفريق قد قاموا بتحميل وتنصيب إضافة Https Everywhere في متصفحاتهم.

بالنسبة لمدراء المواقع

إذا كنتم تملكون موقعا أو تدير أحد المواقع. عليكم التأكد أن موقعكم يدعم بروتوكول Https في حال رغبتم بمنع إمكانية انتحال شخصية موقعكم من قبل موقع خبيث كما يحصل في محاولات اصطياد كلمات السرّ. وأيضا في حال رغبتكم بحماية زواركم من إمكانية تنصت مزود الخدمة على الصفحات التي يزورونها ويتصفحونها لديك. وأيضا في حال كان موقعكم يتطلب تسجيل الدخول.

يمكنك دعم البروتوكول عبر الحصول على شهادة إس إل إل SSL Certificate من جهة مخولة Certification Authority تصادق على صحة ملكيتك للموقع. وتقوم بتمرير زوج من المفاتيح Key Pair مفتاح سري Secret Key ومفتاح عام Public Key يتوجب عليك تنصيبها على المخدم بحيث يقوم مخدمكم بتقديم الشهادة للمتصفح الذي يعاين الموقع.

هناك شركات عديدة تبيع شهادات SSL Certificates التي تختلف فيما بينها حسب نوع المصادقة وحسب المدة الزمنية وحسب التأمين المرتبط بالشهادة. يمكنكم معاينة الأسعار ومقارنتها هنا: https://www.sslshopper.com/

خدمة Let's Encrypt

Letsencrypt.png

Let's Encrypt خدمة مجانية تقدم شهادات SSL بالمجان وبشكل مؤتمت للمواقع بشرط أن يكون طالب الشهادة مديرا للموقع. ما يتيح لمدراء المواقع الراغبين بتقديم بروتوكول https لزوارهم، خيارا سهل الاستخدام ومجاني.

تنقّل في الكتيب eBook Navigation

الاتصال بالانترنت Connecting to the Internet

خدمات الانترنت Internet Services

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

خدمة Let's Encrypt لتفعيل Https على موقعكم

بروتوكول SSL/TLS

Https Everywhere

فايرفوكس Firefox

كروم Chrome

اصطياد كلمات السرّ Passwords Phishing

Facebook Security Settings

مراجع References

https://www.eff.org/https-everywhere

مقارنة لأسعار الشهادات من موقع sslshopper.com