منظور از https چيست
پروتکل https مانند پروتکل http پروتکلي ست براي استفاده از وب سايت ها اما تفاوت https با http در اين است که https ميان کلاينت کاربر و سرور وب اطلاعات را رمز نگاري مي کند و اين رمز نگاري توسط certificate اي که آن سايت به شما مي دهد اتفاق مي افتد .
https مانند پروتکل http پروتکلي ست براي استفاده از وب سايت ها ميباشد. اما تفاوت https با http در اين است که https ميان کلاينت کاربر و سرور وب اطلاعات را رمز نگاري مي کند و اين رمز نگاري توسط certificate اي که آن سايت به شما مي دهد اتفاق مي افتد . اما در صورت استفاده از پروتکل http ديتاي تبادل شده ي شما به سرور وب به صورت plain text تبادل شده و اگر شخصي ميان کلاينت شما و به طور مثال مودم اينترنت شما واقع شود و شروع به عمليات arp poisoning نمايد، مي تواند پکت هاي ارسالي شما به سرو وب را ديده و اگر اين ديتا ها رمز نگاري نباشند خواندن محتواي آنها براي هکر کار بسيار بسيار راحتي مي شود . براي همين امر است که اکثر وب سايت هاي مهم ( مانند سرويس دهنده گان ايميل و يا اينترنت بانک ها ) حداقل هنگامي که به صفحه ي لاگين و ورود نام کاربر و رمز عبور مي رسيم از پرتوکل https استفاده مي کنند .
certificate CA چيست؟
به صادر کنند هاي certificate CA ،Certificate Authority مي گويند و هر شخصي که بخواهد در وب سايت خودش از certificate استفاده نمايد بهتر است از ca هاي شناخته شده certificate بخرد و در وب سايت خودش قرار دهد . برخي از اين ca هاي معروف عبارتند از godaddy - verisign - ...
حال اين سوال مطرح مي شود که مگر نمي شود ما خودمان ca باشيم ؟! در پاسخ بايد گفت که بله اين امکان هست اما اگر certificate مورد استفاده ي ما توسط ca هاي متفرقه صادر شده باشد کلاينت هنگامي که مي خواهد صفحه ي https ما را browse کند browser آن به او هشدار مي دهد که certificate مورد استفاده در اين وب سايت valid نيست ! پس اين نکته را بايد بدانيم که سيستم عامل ها و browser ها از قبل به تعداد مشخص و معيني ca اطمينان دارند و زماني که صفحه اي که از certificate استفاده مي کند ( ssl page ) را باز نماييم ممکن است که مشاهده کنيم درمحيط url بالاي صفحه ي مرورگر به رنگ سبز رنگ در آيد و اين به معني اطمينان داشتن سيستم ما به certificate مورد استفاده در آن سايت است و اگر محيط url مرورگر به رنگ قرمز درآمد اين بدين معني ست که سيستم ما به آن certificate مورد استفاده اطمينان ندارد.
اطلاعات مربوط به Cerfiticate را مي تواند در همان url در قسمت cerfiticate information ديد که صادرکنند ه ي اين certificate کيست ؟ براي کجا صادر شده و در چه بازه ي زماني اي valid است. اين نکته را نيز اضافه ميکنيم که ما ميتوانيم certificate هر ca را روي سيستم خود در ليست trust ها قرار دهيم تا سيستم ما به آن certificate و صادر کننده ي اطمينان داشته باشد.
دلايل معتبر نبودن Cerfiticate
1- ممکن است تاريخ سيستم عامل ما تاريخ روز نباشد براي مثال ممکن است تاريخ سيستم 3 سال اختلاف داشته باشد و certificate مورد استفاده در بازه ي زماني 2 ساله valid باشد .
2-ممکن است صاحب سايت از certificate متفرقه اي استفاده کرده باشد.
3- ممکن است مورد حمله ي MITM واقع شده باشيم و شخصي دارد پکت هاي ما را sniff ميکند و اين بدين معني ست که ممکن است شخص يک certificate جعلي را به ما بدهد تا بتواند پسورد و ساير اطلاعات مهم ما را بدست آورد . پس بايد دقت کنيم که هر cerfiticate اي رو در trust هاي سيستم خود قرار ندهيم که چه بسا ممکن است آن Certificate مربوط به يک هکري باشد که ميان ما و اينترنت واقع شده است !
براي مشاوره همين حالا با کارشناسان ما تماس بگيريد:شرکت طراحی سایت بهپردازان یک شرکت معتبر در زمینه طراحی سایت فروشگاهی، طراحی سایت شرکتی حرفه ای میباشد که آماده مشاوره رایگان در جهت توسعه کسب و کار اینترنتی میباشد.
