help-header

HTTPS‏ چیست؟ ‏

HTTP مکانیزم دقیقی برای امنیت ندارد ولی می‌توان با استفاده از پروتکل‌های لایه‌های پایین‌تر، این پروتکل را امن کرد. راهکار امنیت HTTP، پروتکل HTTPS است. پیش از آشنایی با این پروتکل، لازم است تا با  SSL/TLS  آشنا شد.

 

آشنایی با پروتکل‌های SSL و TLS

استفاده از پروتکل SSL پس از معرفی TLS، تقریبن متوقف شد اما هنوز هم این دو پروتکل در کنار یک‌دیگر نام برده می‌شوند. اساس کار این پروتکل‌ها، استفاده از رمز‌نگاری بر مبنای یک جفت کلید یعنی کلید خصوصی (private key) و کلید عمومی (public key)  است. در حالت کلی از یک جفت کلید به دو شکل می‌توان استفاده کرد.

حالت اول زمانی است که هدف ارسال اطلاعات بدون تغییر یا دسترسی شخص سوم، به سمت گیرنده است. در این حالت، متن پیام با استفاده از کلید عمومی گیرنده، رمزنگاری می‌شود. به این ترتیب تنها گیرنده می‌‌تواند پیام را با استفاده از کلید خصوصی مربوط به این کلید عمومی، پیام را رمزنگاری و به متن اصلی آن دسترسی پیدا کند.

حالت دوم زمانی است که یکی از دو طرف، سندی را با کلید خصوصی خود امضا می‌کند و آن را همراه کلید عمومی برای سمت دیگر ارتباط ارسال می‌کند. به این فرآیند در اصطلاح امضا یا signing می‌گویند. در آن سمت، نیاز است تا گیرنده از درستی امضا اطمینان حاصل کند. در این‌جا، به شخص سوم قابل اعتمادی نیاز است تا تایید کند کلید عمومی دریافت شده واقعن متعلق به ارسال کننده است.

پروتکل TLS از هردوی این کاربرد‌ها استفاده می‌کند و شیوه‌ای که برای رمزنگاری انتخاب می‌کند، رمزنگاری متقارن است، به این معنی که هم کاربر و هم سرور بعد از ایجاد connection، از کلید‌های یکسانی برای رمزنگاری پیام‌های خود استفاده می‌کنند . پروتکل HTTPS، برای شروع یک connection  امن، اطمینان از تغییر نکردن محتوای پیام و هم‌چنین اطمینان از این‌که متن پیام را فقط گیرنده می‌خواند، از پروتکل TLS استفاده می‌کند.

 

شیوه‌ی کار HTTPS چگونه است؟

بعد از برقراری ارتباط بین client و server، شیوه‌ی کار HTTPS مشابه با HTTP است و پیام‌های ارسالی و دریافتی میان مبدا و مقصد یکسان هستند. با این تفاوت که محتوای پیام‌ها و حتا headerهای پیام‌ها به کمک کلید توافق شده در زمان شروع TLS connection  به‌شکل رمز شده ارسال می‌شوند.

پروتکل TLS برای برقراری ارتباط بین کاربر و سرور، از TLS handshake استفاده می‌کند. شیوه‌ی کار به این شکل است که، نخست کاربر پیامی را برای سرور ارسال می‌کند که شامل اطلاعاتی درباره‌ی نسخه‌ی TLS و الگوریتم‌های مورد استفاده‌ی خود است. سرور نیز براساس اطلاعات دریافت شده درباره‌ي کاربر، تصمیم می‌گیرد که با چه الگوریتم‌هایی و با چه نسخه‌ای از TLS با کاربر مکالمه کند. سپس این تصمیم‌ها را در قالب یک پاسخ برای کاربر ارسال می‌کند.

 پس از این مرحله، سرور باید هویت خود را به کاربر ثابت کند. برای این منظور، سرور یک گواهی‌نامه‌ی SSL برای کاربر ارسال می‌کند که شامل اطلاعاتی مانند صاحب گواهی‌نامه، کلید عمومی، امضای دیجیتال و اطلاعاتی درباره‌ی تاریخ اعتبار این گواهی‌نامه است. حال لازم است تا کاربر و سرور، به یک کلید توافقی دست پیدا کنند تا بتوانند همه‌ی پیام‌های ارسالی را با آن رمزنگاری و پیام‌های دریافتی را نیز با همان کلید، رمزگشایی کنند. برای این منظور، کاربر یک عدد تصادفی تولید می‌کند و پس از رمزنگاری آن با کلید عمومی سرور، آن را برای سرور ارسال می‌کند. اکنون هر دوی کاربر و سرور، عدد مشابهی در اختیار دارند و چون از قبل درباره‌ی الگوریتم‌های مورد استفاده به توافق رسیده بودند، می‌توانند از روی این عدد به کلید مشابهی دست پیدا کنند و پیام‌های رد و بدل شده را به‌شکل امن ارسال و دریافت کنند.

نکته آن است که مهاجم زمانی می‌تواند به محتوای پیام‌های تبادلی میان کاربر و سرور دسترسی داشته باشد که کلید مشترک را در اختیار داشته باشد و از آن‌جایی که عدد تصادفی کاربر، با کلید عمومی سرور رمز شده است، فقط با کلید خصوصی سرور نیز باز خواهد شد و این یعنی کسی جز کاربر و سرور،  این کلید را نخواهد داشت.

اگرچه استفاده از SSL/TLS، به میزان خوبی سبب شده است تا ارسال و دریافت پیام با HTTP  امن‌تر از قبل شود، اما پروتکل TLS نیز در شرایطی و به تنهایی سبب امن شدن ارتباط میان کاربر و سرور نمی‌شود.