SSLو HTTPS
به دنبال پست قبل که گویا خیلی از دوستان به دنبال اطلاعاتی درباره ی HTTPS بودند و همچنین خود من!
ترجیح دادم برای رفع سوالات این پست نیز قرار داده بشود.
وامیدوارم این مطالب به همراه کامنتها و مطالبی که در پست قبل گذاشته شده،کمکی باشه برای رسیدن به پاسخ سوالهامون :)
همان طور که می دانیم، اطلاعاتی که به طور معمول در صفحات وب رد و بدل می شوند در بستر پروتکل HTTP منتقل می شوند،این پروتکل استانداردی تعریف شده است که با آن متن ساده یا plain text را منتقل می کنند، از طرفی این داده ها به دلیل رمزنگاری نشدن، برای افراد سوم شخص قابل خواندن هستن. مانند هکرها یا برنامه های کامیپتری دیگر یا ...
از لحاظ امنیتی برای کارهایی که به اطلاعات حساس از جمله حسابهای بانکی و رمزهای مشتریان مربوط می شود اصلا مناسب نیست، از این رو بانک ها و فروشگاههای اینترنتی و در کل سایتهایی که امنیت کاربران برایشان اهمیت زیادی دارد، از پروتکلی دیگر به نام HTTPS یا Hyper Text Transfer Protocol Secure استفاده می کنند.یا حداقلش این است که در صفحه لاگین از این پروتکل استفاد میکنند.
در HTTPS ،اطلاعات کد شده و به سرور ارسال میشوند.سپس این کد در سرور رمز گشایی شده و به درخواست موجود پاسخ داده می شود .چون دیتاها یکسری انکریپت میشوند(رمزگذاری)و یکسری هم رمزگشایی،پس سرعت HTTPS کمتر از HTTP است!
- آیا HTTPS فیلتر نمیشود؟
بله! زیرا مانند یکVPN به یک سوئیچ دیگر متصل می شود.
اگر قرار باشد که فیلتر بشود باید پورت SSLرا بست .با بستن این پورت خود سایتهایی که از این پروتکل استفاده میکنند نیز فیلتر میشوند.پس دست به لیمیت کردن ،میزنند.
سایتها ایرانی هستند،سرورها هم ایرانی هستند در نتیجه خود SSLانها نیز ایرانی است.پس باز می شوند.
اما اگر سرور در خارج باشد،و هم لیمیت باشد،ای اس پی از طرفی سعی بر باز کردن سایت دارد و برنامه لیمیت هم سعی بر جلوگیری دارد.بالا خره بعد از این کشمکش،ای اس پی پیغام Internet was reset را میدهد.
فیلتر شکنها و سایتهایی که با SSL کار می کنند قابل فیلتر شدن نیستند ( به دلیل طرز کار SSL ) ، مگر اینکه IP آنها را مستقیما از داخل روتر و یا سیستم فیلترینگ بلاک کنند که چنین چیزی کمتر اتفاق می افتد. ( این کار رو برای اورکات کرده اند ! )
- SSL: Secure Socket Layer
پروتکلی هست که برای انتقال پرونده های خصوصی روی اینترنت است.توسط یک کلید شخصی کار میکند تا اطلاعات وارد شده
از دیدها پنهان بماند.بسیاری از سایتها از این پروتکل استفاده میکنند تا اطلاعات محرمانه کاربرانشان را خفظ کنند!
سایتهایی که میخواهند امینیت بیشتری در تبادل دیتاهای کاربرانشان داشته باشند بایداز SSLاستفاده کنندو برای این کار باید از HTTPS استفاده بشود نه HTTP.
- شیوه رمزگذاری در SSL:
پس از برقراری اتصال امن، ssl اطلاعات را به وسیله دو کلید رمزنگاری می کند، کلید عمومی برای اشخاص سوم شخص قابل خواندن است اما کلید دوم تنها توسط ارسال کننده و دریافت کننده داده، قابل استفاده است.
- شیوه کارکرد SSL:
- مرورگر(Client ,Browser )درخواستی را برای وب سرور خود میفرستد.
- سرور (Server)یک کپی از گواهیSSL برای مرورگر میفرستد.
- مرورگر بررسی میکند که گواهی SSLمعتبر هست یا خیر..!که در صورت معتبر بودن پیغامی برای سرور ارسال می شود.
- سرور یک امضای دیجیتالی برای تصدیق دریافت پیغام مرورگر برای او میفرستد تا بتوان انتقال رمزگذاری شده راشروع کرد.
- داده های انکریپت شده بین سرور و مرورگر مبادله می شوند.
*و دو مطلب که ضروری دیدم "عینش" را کپـــی کنم!
- The URL prefix of 'https://' means that your current web page has been encrypted so that no one can digitally eavesdrop on the page content. Https is the standard through which online banking is conducted. Using complex mathematical algorithms, the secured web page content is scrambled for everyone other than the reader and the sender
- HTTPS encrypts the data sent and received with SSL, while HTTP sends it all as plain text
فقط یک سوالی
"بله! زیرا مانند یکVPN به یک سوئیچ دیگر متصل می شود.
اگر قرار باشد که فیلتر بشود باید پورت SSLرا بست .با بستن این پورت خود سایتهایی که از این پروتکل استفاده میکنند نیز فیلتر میشوند.پس دست به لیمیت کردن ،میزنند."
این بخش کمی نا مفهوم هست. یعنی چه که به یک سوئیچ دیگر منتقل می شوند؟
زمانی که درخواستی بر اساس پروتکل SSL ارسال می شود, بالاخره به یک آی پی مشخص ارسال می شود دیگر! آیا نمی توانند آن آی پی را فیلتر کنند؟
طبق پست شما این طور برداشت کردم که زمانی که از این پروتکل استفاده می شود امکان تشخیص آی پی پکت های ارسالی به سمت سرور وجود ندارد , که خب اصلا چنین چیزی ممکن نیست! :-|
با تشکر از توضیحات و توجه شما