يعتبر الأمان والحماية أثناء تصفح الانترنت هاجساً كبيرأً لدى مستخدمي الإنترنت، ورغم تطور أنظمة الحماية في مستعرضات الانترنت والبرمجيات المضادة للاختراق او الفايروسات، إلا أن أساليب الهجوم والخداع على الانترنت انتقلت إلى مستوى متطور أيضاً، وأصبحت تشكل تهديداً حقيقياً لخصوصية المستخدم في حال عدم اتباعه لخطوات بسيطة تجعل تصفحه أمناً.

إن كنت مطوّر تطبيقات ويب وتقوم بإدارة موقع انترنت خاص بك، أو مستخدم انترنت عادي، ننصحك بالتعرف على بروتوكول الحماية Https وعلى الإضافات الأمنية التي يقدمها، وكيفية تفعيله، وماهي الشهادات وأشهر المنظمات المانحة له؟.

ماهو بروتوكول HTTPS؟

هو اختصار Hyper Text Transfer Protocol Secured، ويقصد في كلمة Secured أنه يستخدم تقنية Secure Socket Layer أي هو نفسه بروتوكول HTTP ولكن باستخدام تقنية SSL.

أول ظهور له كان عام في 1994 من قبل شركة netscape التي قامت بإنشائه وتفعيله على مواقعها كطريقة لحماية البيانات المتراسلة بينها وبين عملائها.

كيف يعمل بروتوكول HTTPS؟

يعتمد بروتوكول HTTPS على إنشاء اتصال آمن بين المستخدم (المتصفح) والخادم (الموقع). بمعنى آخر، أن كل البيانات التي سيتم تبادلها بين المستخدم والخادم ستكون مشفرة وفق شهادة موقعة وموثقة يتم تجديدها كل ثلاثة أشهر. لمعرفة تفاصيل أكثر عن الشهادة يمكن النقر على رمز القفل بجانب ال URL ثم اتباع ما يلي:

More Information > Security > View Certificate

• كما هو موضح عند رؤية الشهادة الخاصة بموقع شمرا (محرك البحث السوري) نلاحظ اسم الشهادة والمنظمة المانحة للشهادة بالإضافة لتاريخ بدء الصلاحية وتاريخ انتهاء الصلاحية.

بروتوكول Https في شمرا

إذا كنت من مستخدمي شمرا فإن اتصالك آمن وفق بروتوكول HTTPS الذي يقوم بتشفير عنوان الصفحة (الصفحات داخل الموقع)، ومحتوى الصفحة وأية معلومات يتم تبادلها بينك وبين مخدمات شمرا مثل كلمة السر واسم المستخدم.

مثال عملي عن عمل بروتوكول Https

لتوضيح الفكرة بتطبيق عملي أكثر، سنقوم باستخدام تطبيق wireshark لتحليل حزم البيانات لمستخدم على شمرا ومستخدم آخر على موقع لا يدعم https.

• نلاحظ أن البيانات الخاصة بتسجيل الدخول (اسم المستخدم، كلمة السر ) عند اتصال المستخدم بموقع عن طريق http ستكون صريحة وغير مشفرة كما هو موضح في الصورة التالية:

• بينما نلاحظ أن بيانات تسجيل الدخول مشفرة عند اتصال المستخدم بشمرا (الاتصال عبر https) كما هو موضح في الصورة التالية:

الحصول على شهادة SSL مجانية

• يمكنك الحصول  عليها بطريقة مجانية عبر Let’s Encrypt , لمعرفة تفاصيل أكثر

• يوجد شركات تقوم ببيع الشهادة حسب نوع المصادقة وحسب المدة الزمنية ومن أبرزها شركة DigiCert التي يقوم فيسبوك بشراء شهاداته منها كما يظهر لنا عند رؤية تفاصيل الشهادة الخاصة به.

• لتفاصيل أكثر عن شهادات DigiCert

• لمعلومات أكثر عن تطبيق Wireshark

• بالنسبة لي كمدير نظام في شركة ذكاء الأعمال للبرمجيات (شمرا)، أنصح باعتماد Let’s Encrypt عند القيام بتفعيل HTTPS، وذلك لما تقدمه من شهادات مجانية تقدم الحماية المطلوبة بشكل سلس ومريح.