جدول المحتويات
إذا تم استخدام بروتوكول HTTP القياسي فقط ، فإن المعلومات المكشوفة على شكل نصوص عرضة للهجمات. لذلك ، يتم استخدام بروتوكول HTTPS عادةً لضمان حماية المعلومات وتشفيرها أثناء نقل البيانات.
ما الفرق بين HTTP و HTTPS؟
HTTPS: HTTPS تعني HTTP عبر SSL/TLS. HTTPS له مزايا مميزة عن HTTP:
مزايا HTTPS:
سلامة البيانات: تحقق من سلامة نقل المحتوى.
خصوصية البيانات: يتم تشفير المحتوى بشكل تناظري، ويتم إنشاء مفتاح تشفير فريد لكل اتصال.
التحقق من الهوية: لا يمكن لجهة ثالثة تزوير هوية الخادم (العميل)
ما هي SSL و TLS؟
SSL (Secure Socket Layer) هو مجموعة من البروتوكولات التي صممتها شركة نتسكيب في عام 1994 وأصدرت في الإصدار 3.0 في عام 1995.
TLS (Transport Layer Security) الأمان على طبقة النقل هو بروتوكول صممته IETF بناءً على SSL3.0، ما يعادل الإصدار اللاحق من SSL.
كل من TLS و SSL هما بروتوكولات تشفير تقوم بتشفير البيانات والتحقق من الاتصالات عند نقل البيانات عبر الإنترنت.
ما الفرق بين TLS و SSL؟
SSL 1.0 لم يتم إصداره علناً أبدًا. تم إصدار SSL 2.0 لأول مرة في فبراير 1995. على الرغم من أن SSL 2.0 تم إصداره علناً، إلا أنه كان يحتوي أيضًا على عيوب أمنية وتم استبداله بسرعة بواسطة SSL 3.0 في عام 1996.
الإصدار الأول من TLS 1.0 تم إصداره في عام 1999 كترقية لـ SSL 3.0. منذ ذلك الحين، تم إصدار ثلاثة إصدارات أخرى من TLS، وأحدثها كانت TLS 1.3 في أغسطس 2018.
يمكننا القول أن TLS هو استمرار لبروتوكول SSL الذي يصحح بعض ثغرات الأمان في النسخة السابقة من بروتوكول SSL.
فهم النسخة الكاملة من SSL و TLS في هذا الرسم البياني التاريخي:
كما تعلمنا في المقال السابق، يتم تشفير البيانات المرسلة بواسطة المفاتيح العامة والخاصة. من أين جاءت المفتاح العام والمفتاح الخاص؟ هذا يتضمن مسألة مصادقة الهوية.
ما هو التحقق من الهوية؟
شهادة CA هي وضع مصادقة تقليدي. يصدر مركز CA شهادة رقمية لكل مستخدم يستخدم المفتاح العام لإثبات أن المستخدم المدرج في الشهادة يمتلك بشكل قانوني المفتاح العام المدرج.
إذا كنت ترغب في الحصول على شهادتك، يجب عليك التقدم بطلب إلى السلطة الإصدار أولاً. بعد أن تحدد السلطة الإصدار هويتك، تخصص لك مفتاح عام، الذي يرتبط بمعلومات هويتك، وتوقعه السلطة الإصدار وتصدر لك شهادة.
يمكن للشهادات الرقمية تحقيق الأمان عبر الإنترنت، يمكنك استخدام الشهادات الرقمية للتحقق من هوية الطرف الآخر، ويمكن ضمان سلامة البريد الإلكتروني والمعاملات عبر الإنترنت وعمليات شراء بطاقات الائتمان.
كل مستخدم لديه زوج من المفاتيح العامة والخاصة.
مفتاح التشفير الخاص يستخدم للفك والتوقيع وهو لاستخدامك
المستخدم يكشف المفتاح العام، والمستخدم يقوم بتشفير والتحقق من التوقيع المستخدم من قبل الآخرين.
كيف تحمي SSL و TLS أمان البيانات؟
عند تثبيت شهادة على الخادم، تحتوي على مفتاح عام ومفتاح خاص يقومان بالتحقق من الخادم ويسمحان لخادمك بتشفير وفك تشفير البيانات.
عندما يزور شخص موقعك، سيقوم متصفح الويب بفحص شهادة SSL/TLS الخاصة بموقعك. سيقوم المتصفح بعد ذلك بإجراء “مصافحة” للتحقق من صحة شهادتك ومصادقة خادمك.
إذا كان شهادة SSL غير صالحة، قد تواجه أخطاء “اتصالك غير خاص”.
بمجرد أن يحدد متصفح الزائر أن شهادتك صالحة وموثوقة، يقوم بإنشاء رابط مشفر بينه وبين خادمك لنقل البيانات بشكل آمن.
على سبيل المثال، إذا كنت تقوم بمعالجة مدفوعات بطاقات الائتمان على موقع الويب الخاص بك، يمكن أن يساعدك TLS و SSL في التعامل مع تلك البيانات بشكل آمن حتى لا يمكن للممثلين الخبيثين الحصول عليها.
فوائد TLS: يُستخدم TLS لتوفير السرية وسلامة البيانات بين تطبيقين يتواصلان. إنه مستقل عن بروتوكول التطبيق، ويمكن توزيع البروتوكولات على مستوى عالٍ بشكل شفاف على بروتوكول TLS. لا يحدد معيار TLS كيف يمكن للتطبيقات زيادة الأمان عبر TLS.