پروتکل HTTPS (Hypertext Transfer Protocol Secure ) یک پروتکل بست یافته از پروتکل HTTP (Hypertext Transfer Protocol) است. HTTPS کدهای رمزگذاری شده را با استفاده از TSL(Transport Layer Security) انتقال میدهد. به این صورت که اگر دیتا در حین انتقال توسط هکرها دزدیده شود تنها چیزی که هکرها بدست می آورند دیتای باینری است.
نحوه Encrypt و Decrypt کردن دیتا در HTTPS:
- TCP Handshake: کلاینت (مرورگر) و سرور یک TCP Connection برقرار میکنند.
- Certificate check: کلاینت یک “Client hello”به سرور ارسال می کند. این پیام حاوی مجموعه ای از الگوریتم های Encrypt شده و آخرین ورژن TLS است. سرور نیز با یک “Server Hello” پاسخ می دهد و به کلاینت اعلام می کند که میتواند الگوریتم ها و ورژن TLS را ساپورت کند یا خیر؟ سپس سرور گواهی SSL را برای کلاینت ارسال میکند. این گواهی شامل کلیدهای عمومی، نام هاست، تاریخ انقضا و غیره است. کلاینت نیز در انتها گواهی را تایید میکند.
- پس از تایید اعتبار گواهی SSL کلاینت یک Session Key تولید میکند و آن را با استفاده از کلید عمومی رمزگذاری میکند. سرور نیز Session kery رمزگذاری شده را دریافت میکند و آن را با کلید خصوصی رمزگشایی میکند.
- حالا که هم سرور و هم کلاینت Session key مشابه ای رو دارند، دیتای رمزگذاری شده در یک کانل دوطرفه امن منتقل میکند.
چرا HTTPS در زمان انتقال داده به صورت رمزگذاری شده عمل میکند؟
1- امنیت: رمزگذاری نامتقارن به صورت یک طرفه عمل میکند. این به این معنی است که اگر سرور سعی کند تا داده های رمزگذاری شده را به کلاینت ارسال کند، همه میتوانند که دیتاها را با استفاده از کلید عمومی رمزگشایی کنند.
2- منابع سرور: رمزگذاری نامتقارن سربار بسیار زیادی برای سرور دارد. که برای انتقال دیتا در Session های طولانی مدت مناسب نیست.
1 نظر
your code of destiny
I’m extremely inspired together with your writing abilities and also with the format in your weblog. Is that this a paid topic or did you customize it yourself? Either way keep up the nice high quality writing, it’s uncommon to peer a nice blog like this one these days!