HTTP و HTTPS
HTTPS هو عبارة عن متصفحات بروتوكول شبكة تستخدم للتواصل الآمن مع خوادم الويب. يعد HTTPS بديلاً آمنًا لبروتوكول أقدم بكثير ، يسمى بروتوكول نقل النص Hyper Text ، أو HTTP. يمكن لـ HTTPS حماية المستخدمين ، لأنه يتطلب تشفير جميع بيانات الويب (أو HTTP) المتبادلة عبر بروتوكول تشفير ، يسمى TLS (HTTPS حرفيا * HTTP * عبر *TLS*).
تشفير بيانات الويب باستخدام مفتاح سري (مثل TLS يؤدي) إلى تحسين أمان المستخدم من خلال منع المهاجمين من قراءة المحتوى الأصلي أثناء النقل أو تغييره. تُعرف هجمات الشبكة هذه باسم هجمات رجل في الوسط (MITM). لقد أثبت الباحثون مرارًا وتكرارًا أن مهاجمي MITM يمكنهم ، في جوهره ، قراءة أو تعديل أي حركة مرور HTTP ، دون أن يعلم المستخدم بذلك.
يجعل الأمان الإضافي HTTPS مثاليًا لتطبيقات الويب التي تتعامل مع البيانات الحساسة ، وقد تم بالفعل ترقية معظم الخوادم (مثل خوادم الخدمات المصرفية أو البريد الإلكتروني). لسوء الحظ ، لا تدعمه جميع خوادم الويب ، نظرًا للقيود التشغيلية المختلفة ، مثل زيادة النطاق الترددي والمشكلات القديمة وما إلى ذلك. نظرًا لوجود خطر محتمل ، يحتاج المستخدمون المعنيون إلى معرفة ما إذا كانوا يتصفحون عبر اتصال غير آمن.
أدخل مؤشرات الأمان
تُعلم المستعرضات المستخدمين عن حالة الأمان لاتصال ويب ، في شكل رسومات معروضة في شريط العنوان (على سبيل المثال ، رمز القفل قبل عنوان URL لهذه المقالة). هؤلاء مؤشرات أمنية يمكن للإثنين سلبي ويحذر المستخدمين من أنهم في خطر محتمل ، أو إيجابي، لطمأنتهم بأن اتصالهم آمن.
تُستخدم مؤشرات الأمن لإبلاغ جانبين من الاتصال بالشبكة ؛ أمن الاتصال و أصالة من خادم الويب البعيد.
أمان الاتصال من خلال التشفير
تشير المؤشرات إلى أمان الاتصال من خلال التمييز بين مشفرة, غير مشفرة و محتوى مختلط روابط. تحمي المواقع المشفرة وغير المشفرة كل المحتوى أو لا تحميه. يعني المحتوى المختلط أن بعض مكونات مواقع الويب المشفرة بطريقة أخرى يتم استردادها من خلال القنوات غير المشفرة.
يتم استدعاء المكونات التي يمكنها تعديل محتوى الصفحة (مثل البرامج النصية أو المتجهات) المحتوى النشط. تسمى المكونات ذات الهويات الثابتة (مثل الصور أو الخطوط الثابتة) محتوى سلبي.
على الرغم من أن اتصال الويب المشفر بالكامل يبدو آمنًا ، فإن هذا وحده لا يعني أن موقع الويب آمن للتصفح.
مصادقة الخادم والشهادات الرقمية
يمكن للمهاجمين (والقيام بذلك) نسخ محتوى موقع الويب وإعادة توجيه حركة مرور الشبكة إلى خادمهم الضار ، حتى عبر الاتصالات المشفرة. سيكون على خادمهم فقط تقديم مختلف ومعروف TLS المفتاح بدلا من السر الأصلي. لا يوجد سبب للشك في شرعية الاتصال ، يمكن عندئذٍ إقناع المستخدمين غير المرتابين بتسجيل الدخول أو الكشف عن أي معلومات حساسة أخرى.
واستجابة لذلك ، تقوم المستعرضات بمصادقة الخوادم من خلال ربط بيانات اعتماد مالكي خوادم الويب الشرعيين بمفتاح التشفير الفريد الذي يقدمه كل خادم. بهذه الطريقة ، تفوض المتصفحات عملية التحقق من بيانات الاعتماد هذه إلى كيانات جهات خارجية ، تسمى سلطات الشهادة (المراجع المصدقة). تحتفظ المتصفحات الرئيسية ببرامج الجذر لإدارة ثقتها في CAs ، والتي يجب أن تلتزم بالمعايير الصارمة ومتطلبات التدقيق لتكون موثوقة من قبل المتصفح.
يجب على مالك خادم الويب الذي يطلب شهادة من مرجع مصدق موثوق به ، مثل SSL.com ، تقديم مفتاح عام صالح وإثبات أنه يتحكم في اسم المجال والخادم الذي يشير إليه. إذا نجحت هذه الفحوصات ، فإن المرجع المصدق يصدر شهادة رقمية للمالك ، الذي يستخدمها لتشفير ومصادقة الاتصالات إلى موقعه.
الشهادات هي هويات رقمية تحتوي على معلومات حول الشخص أو المنظمة التي تمتلك خادمًا. تقوم المراجع المصدقة بتوقيع كل شهادة بشكل مشفر بتوقيع رقمي ، وهي آلية تكامل مماثلة لأختام الشمع - لا يمكن للمهاجمين تكرار التوقيع ، وسيتعين عليهم إبطالها قبل تعديل المحتوى. يتطلب HTTPS خادم ويب لتحية اتصال متصفح بشهادة صالحة لهذا الخادم. ثم تقوم المتصفحات بفحص الشهادة - إذا تم توقيعها من قبل مرجع مصدق موثوق به ، فقد يستمر الاتصال. (إذا قدم الخادم شهادة مختلفة أو ملغاة أو غير صالحة ، فإن المتصفح ينهي الاتصال أو يرفضه ويحذر المستخدم ، باستخدام رسائل خطأ سنقوم بفحصها بالتفصيل في مقال مستقبلي).
مستويات التحقق
وتجدر الإشارة إلى أنه لا تقدم جميع الشهادات نفس المستوى من الأمان ، وقد تميز مؤشرات الأمان بين أنواع الشهادات المختلفة الصادرة لمستويات مختلفة من التحقق.
مشكلة CAs تم التحقق من المجال (DV) شهادات للعملاء الذين أظهروا سيطرتهم على مجال DNS. منظمة المصادق عليها (OV) يتم فحص الشهادات لمصادقة مؤسسة كيان قانوني ، وكذلك التحكم في المجال. أخيرا، تم التحقق من صحة الممتد (EV) الشهادات - التي يمكن أن تعرض معلومات الشركة في شريط المتصفح نفسه - محجوزة للعملاء الذين اجتازوا عدة اختبارات تحقق مستقلة (بما في ذلك الاتصال من شخص إلى آخر ، والرجوع إلى قواعد البيانات المؤهلة ومراجعات المتابعة) بالإضافة إلى OV- و DV -المستوى الخطوات.
الوضع الحالي للمؤشرات
في الأيام الأولى للإنترنت ، كان HTTP هو المعيار ، وتم تقديم HTTPS كخيار لأقصى قدر من التفكير الأمني. ونتيجة لذلك ، تستخدم معظم المتصفحات فقط إيجابي المؤشرات ، أي قفل يعرض اتصال HTTPS ، و (اختياريًا) ما إذا كان هذا الاتصال يستخدم شهادة EV. اليوم ، لتعزيز الوعي الأمني على نطاق أوسع ، بدأ Chrome ، جنبًا إلى جنب مع Firefox و Safari ، في اعتماد استخدام سلبي مؤشرات ، تحذر المستخدمين من الصفحات التي تحتوي على صفحات محتوى نشط غير مشفرة أو مختلطة. الجدول التالي هو ملخص للحالة العامة لمؤشرات الأمان في المتصفحات. بدءًا من HTTP (غير الآمن على الإطلاق) ، فإن كل عنصر على طول القائمة أكثر أمانًا من العناصر السابقة.
(انقر على الصورة لتكبيرها)
التغييرات والخطط القادمة للمستقبل
أصدر فريق Chrome's Usable Security إصدار ملف مقترح لتغيير سلوك المتصفح هذا. يقترحون أن جميع المتصفحات يجب أن تبدأ في تحذير المستخدمين بنشاط من مواقع الويب غير الآمنة HTTP (أو المحتوى المختلط HTTPS) ، مع مؤشرات سلبية ، بينما يحاولون إزالة مؤشرات الأمان الإيجابية من مواقع الويب HTTPS تمامًا.
إنهم يبنون قرارهم على البحث الذي كان نشرت في 2007، مشيرة إلى أن المؤشرات الأمنية الإيجابية يتم تجاهلها من قبل المستخدمين ، على عكس المؤشرات السلبية التي تعتبر أكثر خطورة. جادل Chrome أيضًا في اقتراحه الأصلي ، بأنه "يجب على المستخدمين توقع أن الويب آمن افتراضيًا ، وسيتم تحذيرهم عند وجود مشكلة".
اشترك في هذه الفكرة ، اعتبارًا من سبتمبر 2018 ، تعرض إصدارات Chrome الأحدث (69+) مؤشرًا سلبيًا "غير آمن" على جميع مواقع الويب HTTP ، ولن تعرض المؤشر الإيجابي "الآمن" لـ HTTPS.
Mozilla's Firefox (منذ الإصدار 58+) هو أحد المستعرضين الآخرين اللذين تبنيا مؤشرات أمان سلبية ، ولكن فقط للمواقع ذات المحتوى النشط المختلط. علاوة على ذلك ، في بلوق وظيفة رسمية، لقد أعلنوا عن خططهم المستقبلية لمؤشرات أمان واجهة المستخدم في Firefox: "سيعرض Firefox في النهاية رمز القفل المشطوب لجميع الصفحات التي لا تستخدم HTTPS ، لتوضيح أنها غير آمنة".
Safari من Apple (الإصدار التقني 46+) هو المتصفح المتبقي الذي يستخدم مؤشرات سلبية لمواقع الويب ذات المحتوى النشط المختلط ، على الرغم من أنهم لم يصدروا أي بيانات عامة بشأن خططهم لمؤشرات الأمان في المستقبل.
لم تتحدث متصفحات Microsoft Edge و Opera علنًا عن خططها حول مؤشرات أمان واجهة المستخدم.
وفي الختام
أن تكون آمنًا على الإنترنت ينبغي تكون التحذيرات الافتراضية والنشطة في المستعرض ضد اتصالات HTTP غير الآمنة قد توفر حافزًا كبيرًا لبعض مالكي خوادم الويب القديمة للانتباه إلى أمان مواقعهم وزوارهم. علاوة على ذلك ، فإن إزالة مؤشر "آمن" من مواقع الويب HTTPS هي (يمكن القول) خطوة نحو جعل HTTPS المعيار المتوقع. فيما يتعلق بإزالة المؤشرات الإيجابية تمامًا ، فإن بعض المؤشرات ، مثل مؤشرات EV ، لا يزال بإمكانها توفير تأكيد مهم للزائرين في بعض الظروف. مهما كان المستقبل ، مع زيادة استخدام HTTPS العالمي ، لا بد أن تكون هناك بعض التغييرات والتحديات المثيرة للاهتمام - لذا استمر في التحقق معنا للحصول على معلومات مستقبلية حول هذه الموضوعات الأمنية وغيرها.
كما هو الحال دائمًا ، نشكرك على قراءة هذه الكلمات من SSL.com ، حيث نعتقد أن ملف أكثر أمانا الإنترنت هو أفضل الانترنت.
