بروتوكول Https

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

لا يمكن الحديث عن بروتوكول إتش تي تي بي إيس https بدون الحديث عن قريبه أو سالفه بروتوكول إتش تي تي بي http.


لكن قبل ذلك, ماذا تعني كلمة بروتوكول؟


في عالم الإنترنت كلمة بروتوكول تستخدم لوصف الطريقة التي يتخاطب بها حاسبان متصلان على الشبكة. هناك بروتوكولات عديدة مختلفة كل منها صمم ليتناسب مع الخدمة على الإنترنت. فهناك بروتوكول pop3 لجلب البريد الالكتروني الوارد. وهناك smpt لإرسال البريد الاكتروني, وFTP لنقل الملفات وغيرها.


بروتوكول http, هو البروتوكول المستخدم لنقل محتوى صفحات الإنترنت من الموقع حيث توجد الصفحة إلى متصفح الإنترنت على الجهاز الذي طلب الصفحة. في كل مرة نقوم فيها بتصفح موقع على الإنترنت يقوم المتصفح باستخدام بروتوكول http بطلب محتويات الصفحة من الموقع, يقوم الموقع بتقديم هذه المحتويات, ويقوم المتصفح في النهاية بإعلام الموقع بوصول كل المعلومات.


المعلومات المنقولة باستخدام بروتوكول http غير مشفرة. أي يمكن لشخص موجود على طريق المعلومات المنتقلة من حاسب A إلى حاسب B باستخدام البروتوكول http أن يتنصت عليها على الرغم من أنها غير موجه له. أي أن استخدام بروتوكول http يعرض خصوصية المستخدم للانتهاك.


هذا الموضوع قد لا يكون ذو أهمية إذا كان الغرض من التصفح, الحصول على معلومة ما من الإنترنت لا علاقة لها بالسياسة مثلا. لكن الموضوع يصبح ذو أهمية قصوى إذا أراد المتصفح الدخول إلى حساب الكتروني له على موقع من المواقع كحساب بريده الإلكتروني على موقع gmail مثلا. ففي هذه الحالة استخدام بروتوكول http يعني نقل محتويات حساب البريد الالكتروني عبر الإنترنت بدون تشفير معرضة المعلومات لأن تكون عرضة للكشف لجهات غير مخولة بالوصول لها. جاء بروتوكول https حلا لهذه المسألة. أو إذا رغب المستخدم بالتبضع عبر الانترنت مستخدما رقم بطاقة الاعتماد السري الخاص به ما يعني نقل هذا الرقم بشكل غير مشفر عبر الانترنت.


بروتوكول https هو في الحقيقة بروتوكول http مغلف ببروتوكول آخر هو بروتوكول SSL/TLS. ويختلف بذلك بروتوكول https عن بروتوكول http في أنه يقوم بتشفير المعلومات المنتقلة بين الحاسب الأول والحاسب الثاني.


بالعودة إلى مثال البريد الالكتروني يعني ذلك تشفير معلومات محتوى صفحة البريد الالكتروني قبل نقلها إلى حاسب المستخدم وفك تشفيرها في طرف المستخدم لعرضها بالشكل الواضع على شاشة المستخدم. لذلك عند تصفح المواقع تأكد من استخدام بروتوكول https بدل بروتوكول http مثلا https://www.google.com بدل http://www.google.com عندما يكون الأمر متاحا إما عبر القيام بالتأكد بشكل يدوي. أو عبر استخدام إضافة المتصفح (Browser Extension) التي تسمى Https Everywhere المتاحة لمتصفحي كروم Chrome وفايرفوكس Firefox.

بالإضافة لتشفير المعلومات المتبادلة بين المتصفح ومخدم الصفحة التي يريد المستخدم بتصفحها, يساعد بروتوكول Https في الحماية أو الوقاية من اصطياد كلمات السرّ Passwords Phishing. لذلك ننصح بقراءة المقالة المتعلقة باصطياد كلمات السر وأيضا باستخدام الإضافة Https Everywhere التي تجبر المتصفح على استخدام بروتوكول Https لتصفح أي موقع يريد المستخدم تصفحة إذا كان ذلك متاحا على تلك الصفحة.

إذا تقوم الإضافة Https Everywhere بالتأكد من استخدام بروتوكول https في حال كان متاحا. لكن في حال لم يكن متاحا فلا حول للإضافة ولا قوة. لذلك على المستخدم أن يبقى يقظا لما يفعله ومدركا للمخاطر التي ترافق استخدامه لتقنية دون أخرى, إن كان يريد أن يضمن أمنه الرقمي على الإنترنت.

إن استخدام بروتوكول https من عدمه في تطبيقات المحادثة يجعلنا نفضل تطبيقات على غيرها. فنحن ننصح بتجنب استخدام التطبيقات التي لا تستخدم بروتوكول https كبرنامج gtalk. في حين يعتبر google chat عبر صفحة gmail آمنا لأنه يستخدم تشفير بروتوكول https كذلك الأمر في فيسبوك ميسينجر Facebook Messenger لكن فقط في حالة كان العنوان المستخدم لتصفح فيسبوك هو: https://www.facebook.com.

بالنسبة للمجموعات والمؤسسات

يجب على المسؤولين عن أمن المعلومات ضمن الفريق أن يتأكدوا أن جميع أعضاء الفريق قد قاموا بتحميل وتنصيب الإضافة في متصفحاتهم.

بالنسبة لمدراء المواقع

إذا كنتم تملكون موقعا أو تدير أحد المواقع. عليكم التأكد أن موقعكم يدعم بروتوكول Https في حال رغبتم بمنع إمكانية انتحال شخصية موقعكم من قبل موقع خبيث كما يحصل في محاولات اصطياد كلمات السرّ. وأيضا في حال رغبتكم بحماية زواركم من إمكانية تنصت مزود الخدمة على الصفحات التي يزورونها ويتصفحونها لديك. وأيضا في حال كان موقعكم يتطلب تسجيل الدخول.

يمكنك دعم البروتوكول عبر الحصول على شهادة إس إل إل SSL Certificate من جهة مخولة Certification Authority تصادق على صحة ملكيتك للموقع. وتقوم بتمرير زوج من المفاتيح Key Pair مفتاح سري Secret Key ومفتاح عام Public Key يتوجب عليك تنصيبها على المخدم بحيث يقوم مخدمكم بتقديم الشهادة للمتصفح الذي يعاين الموقع.

هناك شركات عديدة تبيع شهادات SSL Certificates التي تختلف فيما بينها حسب نوع المصادقة وحسب المدة الزمنية وحسب التأمين المرتبط بالشهادة. يمكنكم معاينة الأسعار ومقارنتها هنا: https://www.sslshopper.com/

أيضا يمكنكم الحصول على شهادة من خدمة Let's Encrypt التي تقدم الشهادات بالمجان.

تنقّل في الكتيب eBook Navigation

الاتصال بالانترنت Connecting to the Internet

خدمات الانترنت Internet Services

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

خدمة Let's Encrypt لتفعيل Https على موقعكم

بروتوكول SSL/TLS

Https Everywhere

فايرفوكس Firefox

كروم Chrome

اصطياد كلمات السرّ Passwords Phishing

Facebook Security Settings

مراجع References

https://www.eff.org/https-everywhere

مقارنة لأسعار الشهادات من موقع sslshopper.com