ما هو HTTPS؟

HTTPS (بروتوكول نقل النص التشعبي الآمن) هو نسخة آمنة من بروتوكول HTTP الذي يستخدم SSL /TLS بروتوكول للتشفير والمصادقة. يتم تحديد HTTPS بواسطة RFC 2818 (مايو 2000) ويستخدم المنفذ 443 افتراضيًا بدلاً من منفذ HTTP 80.

يتيح بروتوكول HTTPS لمستخدمي مواقع الويب نقل البيانات الحساسة مثل أرقام بطاقات الائتمان والمعلومات المصرفية وبيانات اعتماد تسجيل الدخول بأمان عبر الإنترنت. لهذا السبب ، يعد HTTPS مهمًا بشكل خاص لتأمين الأنشطة عبر الإنترنت مثل التسوق والخدمات المصرفية والعمل عن بُعد. ومع ذلك ، سرعان ما أصبح HTTPS البروتوكول القياسي لـ من جميع مواقع الويب ، سواء كانت تتبادل بيانات حساسة مع المستخدمين أم لا.

يضيف HTTPS التشفير, المصادقةو سلامة لبروتوكول HTTP:

التشفير: لأن HTTP تم تصميمه في الأصل كبروتوكول نص واضح ، فهو عرضة للتنصت و رجل في الهجمات الوسطى. بتضمين SSL /TLS التشفير ، يمنع HTTPS البيانات المرسلة عبر الإنترنت من اعتراضها وقراءتها من قبل طرف ثالث. عبر تشفير المفتاح العام و SSL /TLS مصافحة، يمكن إعداد جلسة اتصال مشفرة بشكل آمن بين طرفين لم يلتقيا شخصيًا (مثل خادم الويب والمتصفح) عبر إنشاء مفتاح سري مشترك.

المصادقة: بخلاف HTTP ، يتضمن HTTPS مصادقة قوية عبر SSL /TLS بروتوكول. SSL لموقع الويب /TLS شهادة يتضمن المفتاح العمومي التي يمكن لمتصفح الويب استخدامها لتأكيد أن المستندات التي يرسلها الخادم (مثل صفحات HTML) قد تم توقيعها رقميًا بواسطة شخص يمتلك مفتاح خاص. إذا تم توقيع شهادة الخادم بواسطة جهة موثوق بها بشكل عام مرجع مصدق (CA)، مثل SSL.com ، سيقبل المتصفح التحقق من صحة أي معلومات تعريف متضمنة في الشهادة من قبل جهة خارجية موثوق بها.

يمكن أيضًا تكوين مواقع الويب HTTPS لـ المصادقة المتبادلة، حيث يقدم متصفح الويب شهادة عميل تحدد هوية المستخدم. المصادقة المتبادلة مفيدة في مواقف مثل العمل عن بعد ، حيث يكون من المرغوب فيه تضمين مصادقة متعددة العوامل ، مما يقلل من مخاطر التصيد أو غيرها من الهجمات التي تنطوي على سرقة بيانات الاعتماد. لمزيد من المعلومات حول تكوين شهادات العميل في متصفحات الويب ، يرجى قراءة هذا كيف.

النزاهة: يتضمن كل مستند (مثل صفحة ويب أو صورة أو ملف JavaScript) يتم إرساله إلى مستعرض بواسطة خادم ويب HTTPS توقيعًا رقميًا يمكن لمتصفح الويب استخدامه لتحديد أن المستند لم يتم تم تغييرها من قبل طرف ثالث أو تلف بطريقة أخرى أثناء النقل. يحسب الخادم أ تجزئة التشفير من محتويات المستند ، المضمنة في شهادته الرقمية ، والتي يمكن للمتصفح حسابها بشكل مستقل لإثبات سلامة المستند.

مجتمعة ، تجعل ضمانات التشفير والمصادقة والسلامة هذه من HTTPS كثيرا بروتوكول أكثر أمانًا للتصفح وإجراء الأعمال التجارية على الويب من HTTP.

تستخدم المراجع المصدقة ثلاثة أساسيات طرق التحقق عند إصدار الشهادات الرقمية. تحدد طريقة التحقق المستخدمة المعلومات التي سيتم تضمينها في SSL /TLS شهادة:

• التحقق من المجال (DV) يؤكد ببساطة أن اسم المجال الذي تغطيه الشهادة يخضع لسيطرة الكيان الذي طلب الشهادة.
• المنظمة / المصادقة الفردية (OV / IV) تتضمن الشهادات الاسم الذي تم التحقق من صحته لنشاط تجاري أو منظمة أخرى (OV) ، أو فرد (IV).
• التحقق من الصحة الموسعة (EV) تمثل الشهادات أعلى مستوى في الثقة عبر الإنترنت ، وتتطلب أكبر قدر من الجهد من قبل المرجع المصدق للتحقق. يتم إصدار شهادات EV فقط للشركات والمؤسسات المسجلة الأخرى ، وليس للأفراد ، وتتضمن الاسم الذي تم التحقق من صحته لتلك المؤسسة.

لمزيد من المعلومات حول عرض محتويات الشهادة الرقمية لموقع الويب ، يرجى قراءة مقالتنا ، كيف يمكنني التحقق مما إذا كان موقع ويب تديره شركة مشروعة؟

هناك عدة أسباب وجيهة لاستخدام HTTPS على موقع الويب الخاص بك ، والإصرار على HTTPS عند التصفح والتسوق والعمل على الويب كمستخدم:

النزاهة والمصادقة: من خلال التشفير والمصادقة ، يحمي HTTPS سلامة الاتصال بين موقع الويب ومتصفحات المستخدم. سيعرف المستخدمون أن البيانات المرسلة من خادم الويب الخاص بك لم يتم اعتراضها و / أو تعديلها من قبل طرف ثالث أثناء النقل. وإذا قمت باستثمار إضافي في شهادات EV أو OV ، فسيكون بمقدورهم أيضًا معرفة هذه المعلومات جاء حقًا من عملك أو مؤسستك.

الخصوصية: بالطبع لا أحد يريد أن يقوم المتسللون بتجميع أرقام بطاقات الائتمان وكلمات المرور الخاصة بهم أثناء التسوق أو إجراء معاملاتهم المصرفية عبر الإنترنت ، ويعتبر HTTPS رائعًا لمنع ذلك. لكن هل لك في الحقيقة تريد أن يكون كل ما تراه وتفعله على الويب كتابًا مفتوحًا لأي شخص يشعر وكأنه يتطفل (بما في ذلك الحكومات أو أصحاب العمل أو أي شخص ينشئ ملفًا إلغاء إخفاء الهوية أنشطتك على الإنترنت)؟ يلعب HTTPS دورًا مهمًا هنا أيضًا.

تجربة المستخدم: أدت التغييرات الأخيرة التي تم إجراؤها على واجهة مستخدم المتصفح إلى وضع علامة على مواقع HTTP كـ غير آمن. هل تريد من متصفحات عملائك أن تخبرهم أن موقع الويب الخاص بك "غير آمن" أو أن تعرض عليهم قفلًا مشطوبًا عند زيارته؟ بالطبع لا!

التوافق: تدفع التغييرات الحالية في المستعرض HTTP إلى عدم التوافق. أعلنت Mozilla Firefox مؤخرًا عن خيار وضع HTTPS فقط، بينما يتجه Google Chrome بثبات إلى حظر المحتوى المختلط (موارد HTTP مرتبطة بصفحات HTTPS). عند عرضها جنبًا إلى جنب مع تحذيرات المستعرض من "عدم الأمان" لمواقع HTTP ، فمن السهل أن ترى أن الكتابة على الحائط لـ HTTP. في عام 2020 ، تدعم جميع المتصفحات والأجهزة المحمولة الرئيسية الحالية HTTPS ، لذلك لن تفقد المستخدمين بالتبديل من HTTP.

SEO: تستخدم محركات البحث (بما في ذلك Google) HTTPS كملف إشارة الترتيب عند توليد نتائج البحث. لذلك ، يمكن لمالكي مواقع الويب الحصول على دفعة سهلة لتحسين محركات البحث بمجرد تكوين خوادم الويب الخاصة بهم لاستخدام HTTPS بدلاً من HTTP.

باختصار ، لم تعد هناك أسباب وجيهة لمواصلة المواقع العامة لدعم HTTP. حتى ال حكومة الولايات المتحدة على متن الطائرة!

يضيف HTTPS التشفير إلى بروتوكول HTTP عن طريق التفاف HTTP داخل ملف SSL /TLS بروتوكول (وهذا هو سبب تسمية SSL ببروتوكول الاتصال النفقي) ، بحيث يتم تشفير جميع الرسائل في كلا الاتجاهين بين جهازي كمبيوتر متصل بالشبكة (على سبيل المثال ، عميل وخادم ويب). على الرغم من أنه لا يزال بإمكان المتصنت الوصول إلى عناوين IP وأرقام المنافذ وأسماء المجال وكمية المعلومات المتبادلة ومدة الجلسة ، إلا أن جميع البيانات الفعلية المتبادلة يتم تشفيرها بشكل آمن بواسطة SSL /TLS، بما في ذلك:

• طلب URL (أي صفحة ويب طلبها العميل)
• محتوى الموقع
• معلمات الاستعلام
• رؤوس
• ملفات تعريف الارتباط

يستخدم HTTPS أيضًا SSL /TLS بروتوكول ل المصادقة. SSL /TLS يستخدم وثائق رقمية تعرف باسم شهادات X.509 لربط التشفير أزواج المفاتيح لهويات الكيانات مثل مواقع الويب والأفراد والشركات. يتضمن كل زوج مفاتيح مفتاح خاص، والتي يتم الحفاظ عليها آمنة ، و المفتاح العمومي، والتي يمكن توزيعها على نطاق واسع. يمكن لأي شخص لديه المفتاح العمومي استخدامه في:

• أرسل رسالة مفادها أنه لا يمكن فك تشفير سوى مالك المفتاح الخاص.
• تأكد من توقيع الرسالة رقميًا بواسطة المفتاح الخاص المقابل لها.

إذا تم التوقيع على الشهادة المقدمة من موقع ويب HTTPS من قِبل شخص موثوق به مرجع مصدق (CA)، مثل SSL.com، يمكن للمستخدمين التأكد من أن هوية الموقع قد تم التحقق منها من قبل طرف ثالث موثوق به ومدقق.

في عام 2020 ، المواقع التي لا تستخدم HTTPS أو تخدم محتوى مختلط (عرض الموارد مثل الصور عبر HTTP من صفحات HTTPS) تخضع لتحذيرات وأخطاء أمان المتصفح. علاوة على ذلك ، تعرض هذه المواقع للخطر دون داع خصوصية المستخدمين وأمنهم ، ولا تفضلها خوارزميات محرك البحث. لذلك ، يمكن أن تتوقع مواقع ويب HTTP والمحتوى المختلط المزيد من تحذيرات وأخطاء المتصفح, ثقة المستخدم المنخفضة و سيو فقير مما لو قاموا بتمكين HTTPS.

يبدأ URL HTTPS بـ https:// بدلا من http://. تشير متصفحات الويب الحديثة أيضًا إلى أن المستخدم يزور موقع HTTPS آمنًا عن طريق عرض رمز قفل مغلق على يسار عنوان URL:

في المتصفحات الحديثة مثل Chrome و Firefox و Safari ، يمكن للمستخدمين ذلك انقر فوق القفل لمعرفة ما إذا كانت الشهادة الرقمية لموقع HTTPS تتضمن معلومات التعريف عن صاحبها.

لحماية مواقع الويب العامة باستخدام HTTPS ، من الضروري تثبيت ملف SSL /TLS شهادة موقّع من قِبل جهة موثوق بها بشكل عام مرجع مصدق (CA) على خادم الويب الخاص بك. SSL.com قاعدة المعرفة يتضمن العديد من الأدلة المفيدة وإرشادات لتكوين مجموعة متنوعة من الأنظمة الأساسية لخوادم الويب لدعم HTTPS.

لمزيد من الإرشادات العامة لتكوين خادم HTTP واستكشاف الأخطاء وإصلاحها ، يرجى قراءة SSL /TLS أفضل الممارسات لعام 2020 و استكشاف أخطاء SSL وإصلاحها /TLS أخطاء وتحذيرات المتصفح.