استفاده از پروتکل HTTP از نوع رمزگذاري شده که با عنوان HTTPS شناخته ميشود، در سالهاي اخير گسترش بسيار چشمگيري داشته است.
به گزارش آی تابناک : پس از اقدام ادوارد اسنودن در افشاي اين موضوع که ارتباطات آنلاين بهطور يکجا توسط برخي از قدرتمندترين سازمانهاي اطلاعاتي در جهان جمعآوري ميشوند، کارشناسان امنيتي براي رمزنگاري تمام شبکهي وب فراخواني شدند. اکنون با گذشت چهار سال از آن رويداد، به نظر ميرسد ما نقطهي کليدي در طي چنين مسيري را پشت سر گذاشته باشيم.
تعداد وبسايتهاي پشتيبانيکننده از حالت HTTPS در سال گذشته با روند بسيار چشمگيري افزايش يافت. گفتني است که HTTPS بهنوعي پروتکل HTTP اطلاق ميشود که توسط اتصالات SSL يا TLS رمزگذاري ميشود. بايد بگوييم مزاياي زيادي در استفاده از حالت رمزگذاري اتصالات وجود دارد؛ بنابراين اگر وبسايت شما هنوز از اين تکنولوژي پشتيباني نميکند، به نظر ميرسد زمانش رسيده باشد تا شما نيز به جرگهي استفادهکنندگان از HTTPS بپيونديد.
دادههاي تلهمتري (مبتني بر دورسنجي) بهدستآمده از گوگل کروم و موزيلا فايرفاکس نشان ميدهند که بيش از ۵۰ درصد ترافيک وب در حال حاضر رمزگذاري ميشود و اين اتفاق هم براي کامپيوترها و هم براي دستگاههاي تلفن همراه انجام ميپذيرد. بيشتر اين ترافيک بهسوي چند وبسايت بزرگ سرازير ميشود؛ ولي به هر حال، روند استفاده از آن نسبت به يک سال پيش داراي افزايشي بالغ بر ۱۰ درصد بوده است.
در همين حال، انجام يک بررسي در ماه فوريه روي وبسايتهاي با تعداد بازديد بيشتر از يک ميليون در جهان، نشان داد ۲۰ درصد آنها از HTTPS پشتيباني ميکنند که در مقايسه با مقدار ۱۴ درصد در ماه اگوست، افزايش داشته است. بنابراين نرخ رشد قابل توجه بيش از ۴۰ درصد در طي يک و نيم سال بسيار شگفتآور است. شماري از دلايل معقول براي افزايش سريع در ميزان بهکارگيري HTTPS وجود دارد. امروزه برخي از موانع موجود در طي مراحل راهاندازي و استقرار آن از ميان برداشته شدهاند و غلبه بر آنها راحتتر شده است. از سويي هزينههاي اين سرويس پايينتر آمده و از اينرو تمايل بيشتري براي به کار گرفتن آن از طرف وبسايتها ديده ميشود.
تأثير بر عملکرد
يکي از نگرانيهاي طولانيمدتي که در مورد HTTPS وجود دارد، باور رايج در مورد تأثير منفي آن بر منابع سرور و سرعت بارگذاري صفحه است. بهطور خلاصه ميتوانيم برداشت فوق را چنين بيان کنيم که فرايند رمزگذاري معمولا با ايجاد کاستي يا خللي در عملکرد سيستم همراه است؛ حال چرا بايد فکر کنيم که HTTPS از اين قاعده مستثنا خواهد بود؟
اما همانطور که در ادامه مشخص شد، به لطف بهبود سرورها و نرمافزارهاي سرويسگيرنده در طول سالهاي اخير، تأثير رمزگذاري TLS يا (Transport Layer Security) بر عملکرد سيستم حتي در بيشترين ميزان خود نيز قابل اغماض است.
پس از آنکه گوگل حالت HTTPS را براي جيميل در سال ۲۰۱۰ فعال کرد، اين شرکت گزارش داد که روي سرورهاي خود تنها به ميزان يک درصد شاهد افزايش ميزان بارگذاريهاي CPU بوده است. همچنين ميزان حافظهي اضافه اشغالشده به ازاي هر اتصال به ميزان کمتر از ۱۰ کيلوبايت بيشتر شده و هزينهي شبکهي آنها کمتر از ۲ درصد افزايش داشته است. از طرفي بايد در نظر داشته باشيم که براي استقرار HTTPS، نياز به هيچ نوع دستگاههاي اضافه يا سختافزار خاص وجود ندارد.
تأثيرات يادشده نهتنها در بخش مربوط به پردازش و دسترسي به دادهها (بک اِند) بسيار ناچيز هستند، بلکه علاوه بر آن فرايند جستجو و گردش در وب براي کاربران در هنگام روشن بودن حالت HTTPS داراي سرعت بيشتري بوده است. چرا که مرورگرهاي مدرن از HTTP/2 پشتيباني ميکنند که يک ورژن تجديد نظرشده از پروتکل HTTP است و در بسياري از عملکردهاي آن، بهبودهاي اساسي اعمال شده است.
حتي اگر رمزگذاري بهعنوان يک مشخصهي اساسي براي حالت رسمي HTTP/2 لازم نباشد؛ سازندگان مرورگرها استفاده از آن را در روند پيادهسازي خود اجباري کردهاند. جملهي آخر بدين مفهوم است که اگر شما بخواهيد کاربرانتان از افزايش سرعت بيشينهي موجود در HTTP/2 بهرهمند شوند، بايد از پروتکل HTTPS روي وبسايت خود استفاده کنيد.
هميشه پاي مسائل مالي هم در ميان است
هزينهي به دست آوردن و تمديد گواهينامههاي ديجيتال مورد نياز براي استقرار HTTPS در وبسايت، به يک نگراني قابل توجه در گذشته تبديل شده بود و بايد بگوييم اين نگرانيها تا حدي بهحق بودند. بسياري از کسبوکارهاي کوچک و نهادهاي غير تجاري بهاحتمال زياد به همين دليل از دسترسي به HTTPS دور مانده بودند و حتي شرکتهاي بزرگتر با شمار زيادي از وبسايتها و دامنهها در مجموعهي خود نيز احتمالا در مورد مسائل مالي استفاده از اين پروتکل، نگرانيهايي داشتهاند.
خوشبختانه اکنون ديگر مورد اخير براي وبسايتها نميتواند موضوعيت داشته باشد؛ حداقل براي وبسايتهايي که به دنبال انجام اعتبارسنجيهاي توسعهيافته (گواهي EV) نيستند. مرکز صدور گواهي رمزگذاري غيرانتفاعي در سال گذشته با نام Let's Encrypt راهاندازي شد و گواهي اعتباردهي به دامنه (DV) را از طريق يک فرايند بهطور کامل خودکار و با قابليت کاربري آسان و از همه مهمتر بهصورت رايگان ارائه ميدهد.
از نقطهنظر رمزنگاري و امنيتي هيچ تفاوتي بين گواهي DV و EV وجود ندارد. تنها تفاوت ميان آنها، اين است که دومي نياز به يک تأييد سختگيرانهتر از سازمان درخواست گواهي دارد و اجازه ميدهد نام دارندهي گواهينامه در نوار آدرس مرورگر در کنار شاخصهاي ديداري HTTPS قابل رؤيت باشد.
علاوه بر Let's Encrypt، برخي از شبکههاي تحويل محتوا و ارائهدهندگان خدمات ابري، از جمله CloudFlare و آمازون نيز اقدام به ارائهي گواهي TLS رايگان به مشتريان خود کردهاند. وبسايتهاي ميزبانيشده روي پلتفرم WordPress.com نيز گواهي HTTPS را بهطور پيشفرض و رايگان دارند؛ حتي اگر آنها از دامنههاي سفارشي استفاده کنند.
هيچ چيزي بدتر از پيادهسازي ضعيف وجود ندارد
استقرار HTTPS در يک سايت، پيشتر بهعنوان روندي مملو از خطر تلقي ميشد. با توجه به روند ضعيف گردآوري اطلاعات، پشتيباني از الگوريتمهاي ضعيف در کتابخانههاي سري و مخفي و از سويي حملات جديدي که دائما در حال شناسايي بودند، همواره اين احتمال وجود داشت که مديران سايتها و سرورها از ادامهي کار با سيستم آسيبپذيري همانند HTTPS چشم بپوشند. همچنين اين موضوع مطرح بود که همواره يک سيستم HTTPS بد و ناکارآمد، بدتر از نبودن HTTPS است؛ چرا که باعث القاي حس امنيت کاذب به کاربران ميشود.
برخي از آن مشکلات در حال حل و فصل هستند. در حال حاضر، وبسايتهايي مانند Qualys SSL Labs وجود دارند که در زمينهي ارائهي مستندات رايگان دربارهي بهترين شيوههاي کاربري TLS و همچنين در زمينهي فراهم ساختن ابزارهاي تست براي کشف و شناسايي پيکربندي و هرگونه ضعفي در پروتکل موجود فعاليت ميکنند. در همين حال، وبسايتهاي ديگري نيز براي ارائهي منابعي بهمنظور بهينهسازي عملکرد TLS کار ميکنند.
محتواي ترکيبي ميتواند دردسرآفرين باشد
وارد شدن منابع خارجي مانند تصاوير، فيلمها و کدهاي جاوا اسکريپت روي اتصالات رمزگذاري نشده به يک وبسايت HTTPS باعث خواهد شد هشدارهاي امنيتي در مرورگرهاي کاربران فعال شوند و از آنجايي که بسياري از وبسايتها براي عملکرد خود به محتواي خارجي هم وابستگي دارند (مواردي از قبيل سيستمهاي کامنتگذاري، تجزيه و تحليل وب، تبليغات و ساير موارد)، موضوع محتواي ترکيبي سبب ميشود آنها از ارتقاء به HTTPS خودداري کنند.
خبر خوب اين است که تعداد زيادي از خدمات شخص ثالث، از جمله شبکههاي آگهي، پشتيباني از HTTPS را در سالهاي اخير به خدمات خود اضافه کردهاند. اگر بخواهيم دليل مستدلي براي اين مدعا ارائه دهيم، بايد اشاره کنيم که بسياري از وبسايتهاي رسانههاي آنلاين در حال حاضر به HTTPS تغيير حالت دادهاند؛ با وجود اينکه چنين وبسايتهاي بهشدت وابسته به درآمدهاي حاصل از تبليغات هستند.
مديران سايت ميتوانند از هِدِر سياست امنيت محتوا يا CSP براي شناسايي منابع ناامن در صفحات وب خود يا بازنويسي منشأ تشکيل آنها يا همچنين براي مسدود کردن اين صفحات استفاده کنند. از سويي ميتوان از سيستم امنيت کامل انتقال HTTP يا HSTS براي جلوگيري از ايجاد مشکلات مرتبط با محتواي ترکيبي استفاده کرد. اين سياست توسط يک محقق امنيتي به نام اسکات هلم در يک پست وبلاگي توضيح داده شده است.
روش امکانپذير ديگر، استفاده از يک سرويس مانند CloudFlare است. اين سرويس بهعنوان پروکسي متقابل بين کاربران و وب سروري عمل ميکند که در واقع ميزبان وبسايت است. CloudFlare ترافيک وب بين کاربران نهايي و سرور پروکسي خود را رمزگذاري ميکند؛ حتي اگر ارتباط بين پروکسي و خدمتدهندهي ميزباني وب بهصورت رمزگذاري نشده باقي مانده باشد. اين روند تنها نيمي از اتصال را ايمن ميکند؛ اما هنوز هم بهتر از هيچ است و بايد توجه کنيم که از رهگيري ترافيک و مخدوش سازي نزديک به کاربر نيز جلوگيري ميکند.
HTTPS امنيت و اعتماد ايجاد ميکند
يکي از مزاياي عمدهي HTTPS اين است که ميتواند کاربران را در برابر نوعي از حملهي سايبري موسوم به حملهي مرد مياني (MitM) حفاظت کند. اين حملهها ميتوانند از شبکههاي در معرض خطر يا ناامن ايجاد شوند.
هکرها از روشهايي مانند روش فوق براي سرقت اطلاعات حساس از کاربران يا تزريق محتواي خرابکارانه به ترافيک وب استفاده ميکنند. حملات MitM همچنين ميتوانند در سطوح بالاتر و بهعنوان مثال در زيرساخت اينترنت در سطح کشور انجام شوند که از اين دست ميتوانيم به فايروال بزرگ چين اشاره کنيم. اين حملات حتي در سطح قاره نيز ميتوانند روي دهند؛ همانند فعاليتهاي نظارتي آژانس امنيت ملي آمريکا.
علاوه بر اين، برخي از اپراتورهاي هاتاسپات Wi-Fi و حتي برخي از ارائهدهندگان خدمات اينترنت نيز از تکنيکهاي MitM براي تزريق تبليغات يا پيامهاي مختلف به ترافيک وب رمزگذاري نشدهي کاربران استفاده ميکنند. HTTPS ميتوانيد از اين کار جلوگيري کند؛ حتي اگر اين دست محتوا در ذات خود مخرب نباشد، کاربران ممکن است در تمايز آن از وبسايتي که در حال بازديدش هستند، دچار اشتباه شوند که اين امر ميتواند به شهرت و اعتبار وبسايت آسيب برساند.
نداشتن HTTPS پيامدهايي در پي دارد
گوگل در سال ۲۰۱۴، شروع به استفاده از HTTPS بهعنوان يک سيگنال رتبهبندي جستجو کرد؛ به اين معني که وبسايتهاي در دسترس از طريق HTTPS در نتايج جستجو نسبت به سايتهايي که ارتباط خود را بهصورت غيرکدگذاريشده شکل ميدهند، داراي اولويت بودند. در حالي که تأثير اين سيگنال رتبهبندي در حال حاضر کوچک است، ولي گوگل قصد دارد آن را در طول زمان و براي پيشبرد پذيرش HTTPS تقويت کند.
سازندگان مرورگرها نيز بهشدت در حال گذار بهسوي HTTPS هستند. آخرين نسخه از مرورگرهاي کروم و فايرفاکس در صورتي که کاربران اقدام به وارد کردن رمز عبور يا اطلاعات کارت اعتباري روي صفحات بارگذاري شده بدون استقرار HTTPS کنند، به کاربران خود هشدار خواهند داد.
در کروم، وبسايتهاي که از HTTPS استفاده نميکنند، کاربران از دسترسي به قابليتهايي مانند موقعيت جغرافيايي، حرکت دستگاه و جهتگيري يا حافظه پنهان برنامه منع ميشوند. توسعهدهندگان کروم برنامهريزي کردهاند تا پا را فراتر از اين بگذارند و در نهايت نمايش يک شاخص با عنوان «نبود ايمني» يا (Not Secure) را در نوار آدرس براي همهي وبسايتهايي قرار دهند که بهصورت غيررمزگذاريشده اقدام به تبادل اطلاعات ميکنند.
نگاهي به آينده
ايوان ريستيک، رئيس سابق Qualys SSL Labs و نويسندهي کتاب «SSL و TLS ضد گلوله» در اين باره چنين باور دارد:
من چنين احساس ميکنم که ما بهعنوان يک جامعه، بسياري از اقدامات مناسب را در اين زمينه را براي توضيح اينکه که چرا همه بايد از HTTPS استفاده کنند، انجام دادهايم. بهخصوص مرورگرها که با شاخصها و پيشرفتهاي مداوم خود، شرکتها را براي تغيير رويهي قبليشان متقاعد ميکنند. با توجه به گفتههاي ريستيک، هنوز هم برخي از موانع بر سر راه توسعهي HTTPSS باقي مانده است؛ مانند نياز به مقابله با سيستمهاي قديمي يا همچنين خدمات شخص ثالثي که از HTTPS پشتيباني نميکنند. با اين حال، او گمان دارد که در حال حاضر مشوقهاي بيشتر و همچنين فشار عموم مردم براي پشتيباني از رمزگذاري، زحمات استفاده از آن را توجيح ميکند . وي همچنين اظهار ميکند که با افزايش شمار سايتهايي که به HTTPS روي ميآورند، اين مشکلات هم آسانتر خواهند شد.
مشخصهي TLS 1.3 که در آينده خواهد آمد، دسترسي HTTPS را حتي آسانتر از اين خواهد ساخت. در حالي که نسخهي جديد هنوز بهصورت يک پيشنويس است؛ اما تنظيمات جديد در حال حاضر اجرا شده و بهطور پيشفرض در آخرين نسخه از کروم و فايرفاکس قرار داده شده است. اين نسخهي جديد از پروتکل، پشتيباني از الگوريتمهاي قديمي و ناامن از لحاظ رمزنگاري را قطع کرده و روند بسيار سختتري براي مواجه شدن با تنظيمات آسيبپذير در نظر گرفته است. نسخهي جديدتر همچنين با توجه به سازوکار سادهاش، بهبود سرعت قابل توجهي به ارمغان ميآورد.
البته بايد اين نکته را هم مد نظر داشته باشيم: با وجود اينکه به کار گرفتن HTTPS در حال حاضر آسان است؛ اين پروتکل به همان اندازه هم ميتواند زمينهي سوءاستفاده و سوءتعبير از قابليتهاي آن را فراهم کند. بنابراين مهم است که آموزشهاي لازم در مورد مواردي که HTTPS ارائه ميدهد و همچنين خدماتي که اين سرويس ارائه نميدهد، به کاربران داده شود.
واقعيت اين است که مردم در هنگام وبگردي، هنگامي که يک نوار سبزرنگ را در حضور HTTPS در مرورگر خود ميبينند، حس اعتماد بيشتري پيدا ميکنند. از آنجايي که اکنون چنين گواهيهايي بهآساني قابل تهيه هستند، بسياري از مهاجمان از اين اعتماد نابجا سوءاستفاده کردهاند و در پي راهاندازي وبسايتهاي HTTPS از نوع مخرب برآمدهاند. تروي هانت، متخصص امنيت وب و آموزشدهندهي وب در اين باره گفته است:
هنگامي که موضوع اعتماد به ميان ميآيد، يکي از چيزهايي که ما بايد در مورد آن کاملا روشن باشيم، اين است که صرفا حضور يک قفل و نماد HTTPS در يک سايت، در مورد قابليت اطمينان يک وبسايت هيچ چيزي نميتواند به ما بگويد؛ اين نماد حتي در مورد اينکه واقعا چه کسي در حال ادارهي آن وبسايت است نيز چيزي نشان نميدهد. سازمانها بايد براي مقابله با سوءاستفاده از HTTPS نيز وارد عمل شوند و بهاحتمال زياد آنها شروع به بازرسي چنين ترافيکي در شبکههاي محلي خود خواهند کرد. اگر آنها در حال حاضر چنين کاري را صورت نميدهند، بايد دست به کار شوند؛ چرا که ارتباطات رمزنگاريشده ميتواند نرمافزارهاي مخرب را پنهان کند.