المعلوماتية > اتصالات وشبكات
البروتوكول HTTPS
لاحظَ كثيرٌ منكُم - دونَ أدنَى شكٍّ - التَّدابيرَ الأمنيَّةَ المُتّبعةَ بهدفِ حمايةِ معلوماتِ المُستخدِمين مِنْ قِبَلِ شركَةِ "آبل Apple"، أو نظامِ التَّشفيرِ الجديدِ end-to-end المستخدَمِ في تطبِيقِ WhatsApp.
ولكنْ؛ هَل فكَّرنَا مَا هِيَ التَّدابِيرُ الواجبُ علينَا اتّباعُها لحمايةِ معلوماتِنِا أثناءَ تصفُّحِ الإنترنِت؟
مقالُنا هذا يشرَحُ طريقة عمَلِ البروتوكول HTTPS في حمايةِ معلوماتِ المُستخدِمِ علَى شبكةِ الإنترنت.
تكمُنُ مَهمَّةُ البروتوكول (HTTPS (Hypertext Transfer Protocol Secure فِي حِمايَة وتشفيرِ المعلوماتِ الخاصَّةِ بالمُستخدِم؛ رقمُ البطاقةِ البنكيَّةِ أو التَّحويلاتِ الماليَّةِ أو كلماتِ المُرورِ المُستخدَمةِ فِي الدُّخول إلى صفحاتِ الوِيب.
كَيفَ يُشفِّر البروتوكول HTTPS المعلومَات؟
يعتمدُ البروتوكول HTTPS فِي تشفيرِ المعلوماتِ نوعينِ مِن الشَّهادَات:
Secure Sockets Layer (SSL)
Transport Layer Security (TLS)
ويعتمدُ كلٌّ مِن هذينِ النَّوعين فِي عملِهِما على النِّظام نفسِه، والذي يُسمَّى:
Asymmetric Public Key Infrastructure System (PKI).
ويَستخدِمُ هَذا النِّظامُ نوعَين من المفاتيحِ عندَ تشفيرِ المعلومَات؛ المفتاحُ العامُّ والمِفتاحُ الخَاصّ، وتُشفَّر المعلومَة باستخدامِ المفتاحِ العامِّ أوّلاً، ولا يُفكُّ هَذا التَّشفير إلّا باستخدامِ المفتاحِ الخاصّ؛ وهنَا تكمُنُ قوّةُ هذا النِّظام، فضلاً عن أنَّ أيَّةَ معلومةٍ شُفِّرت باستخدامِ المفتاحِ الخاصّ لا يُمكِنُ فكُّ تشفيرِها أو الوصولُ إليهَا إلّا عَن طريقِ مالِكِ المفتاحِ الخاصّ؛ ولذلكَ سُمِّي المفتاحُ بهذا الاسم.
كيفيَّةُ عملِ شهادةِ الـ SSL مع البروتوكول HTTPS
عندما يُنشئُ المُستخدمِ اتِّصالاً ذا بروتوكول HTTPS معَ صفحاتِ الويب؛ تُرسِلُ هذهِ الصَّفحاتُ شهادةَ SSL إلَى متصفِّحِ الإنترنِت الخاصِّ بالمُستخدِم.
وتحوي هذهِ الشَّهادةُ المفتاحَ العامَّ الضَّروريَّ للبدءِ بعمليَّةِ اتصالٍ آمِنة، واستنادًا إلى هذا التَّبادُل؛ تنشَأُ عمليَّةُ مصافحَةٍ بينَ الموقِعِ الإلكترونيِّ ومتصفِّح الإنترنِت، وتنتجُ عَنها أسرارٌ مشتركةٌ لتأمينِ اتِّصالٍ آمنٍ وموثُوقٍ بينَ المُستخدمِ والمَوقِع.
يحمِي هذا البروتوكول - تقريباً - جميعَ المعلوماتِ المُتبادَلةِ بينَ الزَّبونِ وصفحاتِ الويب، إذْ إنَّه عندَ تشكيلِ أيِّ اتِّصالٍ ذي بروتوكول HTTPS نَضمنُ ثلاثةَ أشياءٍ:
السِّريّة: ضمانُ تشفيرِ معلوماتِ الاتِّصالِ والبياناتِ الوصفيَّةِ (Metadata) وإخفاءِ العناوينِ URLs.
الأَصَالة: إذ يتعاملُ الزَّبونُ معَ صفحاتِ ويب حقيقيَّة؛ ليسَت وهميَّة.
النَّزاهة: لا يمكِنُ العَبثُ بالمعلوماتِ المُتداولَةِ أو تعديلُها.
وبمعنىً آخرَ؛ عندَ استخدامِ هذا البروتوكول تُصبِحُ المعلوماتُ صعبةََ الاختراقِ؛ وذلكَ نظراً لمستوى الحِمايةِ العالي الّذي يتمَتَّعُ بِه.
مَا مَدَى صعوبةِ مُهاجَمةِ المعلومَاتِ المَحميَّةِ بواسِطَةِ استخدامِ بروتوكول HTTPS؟
الهجومُ علَى هَذا البروتوكول مُمكنٌ جدَّا إذا مَا شكّكَ المُهاجِم في جودَة الاتِّصالِ، وذلكَ عنْ طريق كشفِ وتحليلِ نقاطِ الضَّعفِ لدى البروتوكول، أو التلاعُبِ بسلطةِ شهادَةِ الـ SSL مِن أجلِ تحويلِها إلى شهادةٍ موثوقةٍ مِن قِبَل المتصفِّحاتِ الرَّئيسَة، كي يستَطيعَ المُهاجمُ الولوجَ الكامِلَ إلى الاتِّصال.
إنَّ هذهِ الطَّرائقَ ليست بالمُستحيلة، ولكنِّها تتطلَّب مِن المهاجِمِ كثيرًا منَ الوَقتِ والعَناءِ إضافةً إلى نفقاتٍ ماديَّةٍ ضخمةٍ، والأهمُّ من ذلكَ كلِّه؛ أنَّ هذا الهجومَ مُستهدِفٌ - أي موجَّهٌ - وليسَ عشوائيًّا ضدَّ أيِّ متَّصلٍ بأيّة شبكة؛ عَلى العكسِ منَ النّسخةِ القديمةِ من بروتوكول (HTTP) الذي كانَ يسمحً لأيِّ مهاجمٍ استهدافَ أيّ مستخدمٍ متَّصلٍ بالشَّبكة.
ونظرًا إلى كلٍّ من صعوبةِ تشكيلِ هُجومٍ عَلى هَذا البروتوكول ومستَوى الأَمَان الذي يقدِّم حِمايةً عاليةً للمعلوماتِ الحسَّاسةِ والشَّخصيَّة؛ تزايدَ عددُ صفَحَاتِ الويب الّتي تَستخدمُ هذا البروتوكول إلى 42% منْ إجمالِي عددِ الصَّفحاتِ العالَميّ، إذْ إنَّ 38% مِنْهَا استخدَمته خلال صيف عام 2017 حسبَ إحصائيَّات شركَة Mozilla.
وفي النَّهاية؛ لا نَستطيعُ إلَّا الاعتراف بقوةِ بروتوكول HTTPS الذي تفوَّق على نسختِه القديمَة (HTTP) وفرضَ نفسَه رائداً في مجالِ حمايةِ المعلومات.
مصادر المقال: