پروتکل https چیست؟

«پروتکل امن انتقال ابرمتن یا Hypertext Transfer Protocol Secure یک پروتکل امن اطلاعاتی برای انتقال اطلاعات حساس در بستر اینترنت است!»

اگر سوال «پروتکل https چیست؟» را از گوگل بپرسید با چنین جوابی مواجه می‌شوید؛ که خب احتمالا فکر می‌کنید گوگل دارد به زبان آدم‌فضایی‌ها با شما صحبت می‌کند.

واقعیت این است که  کامپیوترها هم برای انتقال اطلاعات مسیرهای خودشان را دارند؛ به این مسیرهای اختصاصیپروتکل http می‌گویند.

کمی سخت شد، نه؟دوست دارید بدانید فرق بین http با https چیست؟ یا آن  «s» اضافه که به معنای ssl است، چه کاربردی دارد؟ برای پیدا کردن جواب تمام این سوال‌ها با طاها سرور همراه باشید.

در این مقاله می‌خوانید:

• پروتکل http چیست؟
• پروتکل https چیست و چگونه کار می‌کند؟
• ssl چیست؟ و چه تفاوتی با tls دارد؟
• داشتن گواهینامه‌ ssl چه مزایایی برای سایت شما دارد؟
• چطور گواهینامه‌ ssl تهیه کنیم؟
• افزونه‌های کاربردی برای نصب ssl در وردپرس

پروتکل http چیست؟

به نظرتان بعد از این‌که پشت کامپیوترتان می‌نشینید و شروع به دانلود یک فایل خاص می‌کنید، چه اتفاقی می‌افتد؟ کامپیوترتان با مورس به سرور مرکزی علامت می‌دهد؛ و بعد سرور مرکزی هم مثل فیلم هری‌پاتر با جغد جواب درخواست کامپیوتر شما (کلاینت) را می‌دهد؟ معلوم است که نه!

کامپیوترها از طریق کد اطلاعات را رد و بدل می‌کنند. این کدها چطور از سرور مرکزی به کامپیوتر شما (کلاینت) می‌رسد؟ یا مثلا وقتی شما یک وب‌سایت طراحی کردید، فایل‌ها را چطور در آن بارگذاری می‌کنید که آب از آب تکان نخورد و این فایل به آسانی در دسترس خودتان و سایر کاربران قرار بگیرد؟

تیم برنزلی وقتی حوالی سال ۱۹۹۰ اینترنت را راه انداخت، یک راه ساده برای ارتباط بین سرور (کامپیوتر یا سیستم مرکزی) و سیستم مقابل یا مشتری (مثل همین کامپیوترهای خانگی یا کلاینت) یا ارتباط بین دو کامپیوتر ساده پیشنهاد داد. این مسیر ارتباطی به نام پروتکل http شناخته می‌شود که حتماً موقع تایپ کردن آدرس‌های اینترنتی آن را دیده‌اید.

در واقع پروتکل http مثل یک تونل بزرگ است که اطلاعات از طریق آن بین کامپیوترها جابه‌جا می‌شود. برای همین وقتی آدرس سایت‌ها را وارد می‌کنید، اول اسم بزرگراه اطلاعاتی یعنی همین http می‌آید و بعد به اینترنت می‌گویید:«اطلاعات را از این بزرگراه رد کن بعد برو به آدرس iranserver»

البته آن اوایل اطلاعات خیلی ساده و فقط در حد متن بودند و صفحات هم با زبان استاندارد html نوشته می‌شدند؛ ولی بعداً با پیشرفت تکنولوژی، اوضاع کمی پیچیده‌تر شد و پای تراکنش‌های بانکی یا ردو بدل کردن اطلاعات شخصی مثل سال تولد یا رمز کارت‌های بانکی و … به ماجرا باز شد.

ماجرای حمله‌ مرد میانی و تولد پروتکل https

تا این‌جا فهمیدیم که اطلاعات بین نرم‌افزارهای سرور و کلاینت از طریق http جابه‌جا می‌شود. خب هکرها هم در این مدت بیکار نبودند و برای این اطلاعات کمین می‌کردند. چون اطلاعات رمزگذاری نشده بودند، هکرها می‌توانستند راحت به آن‌ها دست پیدا کنند یا اگر بخشی از اطلاعات برایشان فایده‌ای نداشت آن‌ها را دستکاری می‌کردند و به سیستم‌های دیگر می‌فرستادند.

به این حمله‌ی هکرها اصطلاحا man-in-the-middle attack یا حمله مرد میانی می‌گفتند.

درست در همینجا که امنیت حساسیت بیشتری پیدا کرده بود، https (یا Hyper Text Transfer Protocol Secure یا پروتکل امن انتقال ابر متن) وارد میدان شد.

https چگونه کار می‌کند؟

https به جای این‌که اطلاعات را مثل آبشار به سمت سرور بفرستد، آن‌ها را درون یک صندوقچه می‌گذارد. تازه به همین‌قدر رمزگذاری هم اکتفا نمی‌کند و گاهی هر بخش از اطلاعات را  در یک صندوق جداگانه قرار می‌دهد و این وسط برای گمراه کردن بیشتر هکرها لابه‌لای صندوق‌های اطلاعاتی یکی دو صندوق خالی را هم می‌فرستد تا هکرها در صورت نفوذ به سیستم نتوانند یک‌جا به تمامی اطلاعات مورد نیازشان دسترسی پیدا کنند.

خب https که فقط یک پروتکل یا تونل ارتباطی است پس این همه فعالیت را چطور انجام می‌دهد؟ برای فهمیدن بهتر ماجرا بهتر است به بخش بعد بیایید و با مفهوم ssl یا secure socket layer آشنا بشوید.

SSL چیست؟

شاید تا به حال فهمیده باشید که فرق بین http  با https چیست؟ بله تمام تفاوت این دو در همان s کوچک است. اما همین s به ظاهر ساده که از کلمه SECURE به معنی «امنیت» گرفته شده است، کلی داستان و ماجرا دارد.

همانطور که گفتیم SSL مخفف secure socket layer یا سوکت امنیت لایه‌ای ‌است. زمانی‌که ما با استفاده از پروتکل https اطلاعاتمان را می‌فرستیم، در واقع اطلاعات به لطف ssl کدگذاری می‌شوند (همان صندوقچه‌ها)؛ در نتیجه اگر هکری وسط راه این اطلاعات را بردارد، نمی‌تواند آن‌ها را متوجه شود یا بخشی را به آن‌ها اضافه کند.

در این صورت بعد از بارگذاری مطالب خاص، دیگران چطور مطالب سایت ما را ببیند؟ اصلا چطور در سایت ثبت‌نام کنند یا اطلاعاتشان را ویرایش کنند؟

بگذارید با یک مثال بحث را روشن‌تر کنیم؛ فرض کنید شما یک مغازه‌ی بزرگ پر از اجناس مختلف دارید. مشتری‌ها اجازه دارند با یک کارت خاص وارد بشوند و این اجناس را ببینند یا از آن‌ها استفاده کنند (چیزی شبیه به اجازه‌ی استفاده از وب‌سایت به شکل عمومی)؛ بعضی از آن هم می‌توانند اسم و مشخصات‌شان را در دفترچه‌ی ویژه‌ای بنویسند تا شما محصولاتی که دوست دارند، برایشان ارسال کنید (ثبت نام در بعضی از سایت‌ها برای خرید اکانت ویژه و …).

خب اگر همه بتوانند به سراغ این دفترچه‌ی خاص بروند و آدرس مشتری‌ها را ببینند چه می‌شود؟ ممکن است بعضی‌ها از این فرصت استفاده کنند و محصولات خودشان را که شاید بی‌خطر هم نباشند، به دست مشتری‌ها برسانند.

در این صورت شما از یک قفل ویژه استفاده می‌کنید و آن دفتر را حسابی مهر و موم می‌کنید کلیدش را هم در جیب خودتان می‌گذارید تا دیگران به این اطلاعات دسترسی نداشته باشند (قفل خصوصی).

سیستم رمزگذاری اطلاعات توسط اس اس ال هم چیزی شبیه به همین ماجرای مغازه‌ای است.

به این ترتیب اطلاعات بین سرور و سیستم مشتری با امنیت کامل رد و بدل می‌شود. شما به راحتی می‌توانید اطلاعات بانکی‌تان را در صفحه‌ی بانک مورد نظر بارگذاری کنید، از یک درگاه امن پول پرداخت کنید یا از مشتری‌هایتان بخواهید برای کالا و خدمتتان پول را به حساب شما واریز کنند. و خیالتان راحت باشد که پول وارد حسابی که تعریف کردید می‌شود.

کروم، فایرفاکس، سافاری و … برای این‌که خیال شما را از امن بودن سیستم و استفاده از پروتکل https راحت کنند، در بالای آدرس صفحاتی که گواهینامه‌ی ssl دارند، یک علامت قفل کوچک می‌گذارند تا دیگر بدون نگرانی اطلاعات‌تان را بفرستید.

یک پیشنهاد به درد بخور: پیشنهاد می‌کنم برای آشنایی بیشتر با SSL و نحوه دریافت آن، به مقاله گواهینامه SSL چیست سر بزنید.

چرا باید از http به https کوچ کنیم؟

مهمترین کاربردهای https و ssl، همان دلایلی هستند که باعث می‌شوند شما از گواهی SSL و پروتکل Https استفاده کنید.

۱) رتبۀ بهتر در موتورهای جست‌وجو

گوگل حسابی هوای کاربرهایش را دارد و هر روز تلاش می‌کند تا تجربه‌ی کاربری بهتری برای آ‌ن‌ها رقم بزند. یکی از مواردی که هم برای گوگل و هم برای کاربر مهم است، همین امنیت است. برای این منظور شما باید از یک منبع معتبر گواهینامه‌ی SSL تهیه کنید تا گوگل و کاربرها بدانند سایت شما امن‌ترین جای دنیاست.

اگر رقابت خیلی نزدیک و شدید گوگل دست سایتی را به عنوان نفر اول بالا می‌برد که به سراغ پروتکل https رفته ‌است.

۲) تجربۀ کاربری خوب

ssl  و https مثل نگهبان‌های حرفه‌ای از امنیت و یکپارچگی سایت شما محافظت می‌کنند و اجازه نمی‌دهند که هکرها بی‌اجازه وارد سایت‌تان بشوند. شاید با خودتان بگویید ما که پرداخت بانکی یا بخش اطلاعاتی خاصی نداریم؛ خب چرا باید گواهینامه ssl  دریافت کنیم؟ برای پاسخ خوب است که با یک چشمه‌ی دیگر از هنرنماییهکرها آشنا بشوید.

اگر سایتتان از درگاه https استفاده نکند، هکرها و سارقین اطلاعات می‌توانند به راحتی پیام‌های اسپم را برای کاربرها ارسال کنند؛ کاربر نمی‌داند این اسپم‌ها کار هکرهاست، و خب تمام این آزارها را از چشم شما می‌بیند.

ماجرا وقتی ترسناک‌تر می‌شود که کاربرها بخواهند یک فایل خاص را از روی سرور سایت‌تان دانلود کنند. خب وارد کردن دوتا کد برای نفوذ به کامپیوتر کاربرها برای هکرها مثل آب خوردن است؛ اجازه بدهید دیگر به بخش‌های ترسناکتر یعنی ویروسی شدن کامپیوتر کاربرها و سرقت اطلاعات شخصی‌شان … اشاره نکنیم.

۳) افزایش اعتماد کاربران

شما می‌خواهید یک خانه بخرید؛ سراغ خانه‌ای می‌روید که مهندس‌های ناظر تاییدش نکردند؟ معلوم است که نه! خب گواهینامه‌ی SSL هم دقیقا همان مهر تایید مهندس ناظر است که پای سایت می‌خورد.

کاربرها هم با دیدن این گواهینامه با خیال راحت به سایت اعتماد می‌کنند. از طرف دیگر اگر شما گواهینامه‌ی SSL داشته‌باشید به راحتی می‌توانید نماد اعتماد دو ستاره را دریافت کنید.

چطور برای وب‌سایت گواهینامه‌ی SSL تهیه کنیم؟

هنگام تهیه گواهی SSL نکته‌ی اولی که خوب است به آن توجه کنید، انواع سرویس‌ها و گواهینامه‌های ssl  است؛ سرویس‌های ssl  متنوع هستند، بعد از انتخاب نوع گواهی، خوب است که با توجه به دامنه و زیردامنه‌های وبسایت‌تان متناسب‌ترین سرویس را انتخاب کنید تا بتوانید به راحتی با یک گواهی تمام دامنه‌ها وزیردامنه‌های تحت اختیارتان را پوشش بدهید.

مورد بعد انتخاب نوع گواهی‌نامه SSL است، که باید با توجه به نوع کاربری سایت نوع آن را مشخص کنید.

انواع گواهینامه اس اس ال

• گواهینامه DV SSL: این گواهی تنها هویت شخص مالک دامنه را بررسی و تایید می‌کند و دیگر کاری به هویت شرکت یا سازمانی که درخواست دامنه را داده‌است، ندارد.
• گواهینامه OV SSL: این گواهی اصولا برای اشخاص حقوقی و برای شرکت‌ها، بانک‌ها، وزارتخوانه‌ها و … بعد از تایید هویت حقوقی فرد درخواست کننده صادر می‌شود. برای دریافت این گواهینامه لازم است تمام مدارک درخواستی ترجمه و بعد به شرکت صادرکننده‌ی گواهینامه ارسال بشود.
• گواهینامه EV SSL: این گواهی را می‌توانید از آن نوار سبزرنگی که در بخش آدرس وب‌سایت خودنمایی می‌کند؛ شناسایی کنید. گواهینامه ssl ev  هم به افراد حقوقی و سازمان‌هایی مثل وزارتخانه‌ها، بانک‌ها و شرکت‌ها بعد از تایید هویت تعلق می‌گیرد. با این تفاوت که معمولا شرکت‌های بزرگ به سراغ دریافت این نوع گواهینامه می‌روند.

برای اطلاعات بیشتر راجع به این موضوع به مقاله  انواع گواهینامه‌های ssl سر بزنید.

بعد از انتخاب گواهی و ارسال مدارک باید منتظر دریافت گاهی باشید. مرجله آخر کوچ از http به https نصب گواهی SSL در وب‌سرور هاست است. این کار باید توسط پشتیبانی هاست سایت انجام بشود.

خبر خوب این‌که شما می‌توانید با خرید دامنه از طاها ‌سرور، با یک تیر دو نشان بزنید و یک دامنه با گواهی SSL معتبر خریداری کنید.

افزونه‌های کاربردی برای نصب SSL در وردپرس

خب حالا که گواهی SSL دریافت کردیم، چه کار کنیم که تمام صفحات سایت با پیشوند https نمایش داده بشوند؟ برای این کار می‌توانید از افزونه‌های زیر کمک بگیرد:

• Really Simple SSL
• One Click SSL
• SSL Insecure Content Fixer
• WP Force SSL

حرف آخر

• http و https پروتکل‌های انتقال اطلاعات یا ابرمتن‌ها هستند. تنها تفاوت بین http و https انتقال امن داده‌ها از طریق https است.
• استفاده از پروتکل https و گواهی‌ SSL باعث بهبود رتبه‌ی سئوی سایت، افزایش اعتماد کاربران و حفظ اطلاعات شخصی و مهم در حریم سایت می‌شود.
• گواهی SSL در سه نوع ssl ov ، ssl dv  و ssl ev صادر می‌شود. این سه گواهی از نظر پروتکل‌های رمزگذاری با یکدیگر تفاوتی ندارند.
• شما می‌توانید به راحتی گواهینامه ssl را با توجه به بودجه و نیاز سایتتان از طاها ‌سرور تهیه کنید. همچین اگر هاست شما هم از طاها ‌سرور خریداری شده باشد، تیم پشتیبانی طاها ‌سرور مثل آب خوردن SSL را روی دامنه و هاست شما نصب می‌کنند.

افزونه‌هایی نظیر Really Simple SSL  ، One Click SSL  ، WP Force SSL ، SSL Insecure Content Fixer می‌توانند در انتقال سایت از http به https  بعد از نصب SSL به شما کمک کنند.