گوگل کروم از نسخه 68 خود همه وب‌سایت‌های غیر HTTPS را به صورت «Not Secure» اعلام می‌کند. البته چیزی فرق نکرده است؛ وب‌سایت‌های HTTP همچنان به همان مقداری که قبلاً امن بودند، هم اینک نیز امن هستند؛ اما گوگل کل وب را به سمت استفاده از اتصال‌های امن و رمزنگاری‌شده سوق می‌دهد.

وب‌سایت‌های HTTPS «امن» چگونه عمل می‌کنند؟

حتی اگر در ارتباط با وب‌سایت‌ها رمز عبور، شماره کارت بانکی، یا اطلاعات حساس مالی وارد می‌کنید، این رمزنگاری تضمین می‌کند که هیچ کس نمی‌تواند اطلاعاتی که ارسال می‌شوند را هنگام تبادل بین دستگاه شما و سرور وب‌سایت ببیند و یا بسته‌های داده را تغییر دهد.

دلیل این امر آن است که وب‌سایت طوری تنظیم شده است که از رمزنگاری SSL امن استفاده کند. مرورگر وب شما از پروتکل HTTP برای اتصال به وب‌سایت‌های رمزنگاری نشده سنتی استفاده می‌کند؛ اما وقتی که به وب‌سایت‌های امن وصل می‌شود از پروتکل HTTPS به معنی HTTP دارای SSL بهره می‌گیرد. مالکان وب‌سایت‌ها باید پیش از آنکه بتوانند از HTTPS استفاده کنند، آن را بر روی وب‌سایت خود پیکربندی نمایند.

امنیت وای‌فای‌ عمومی

HTTPS در برابر افراد بداندیش که به دنبال سوءاستفاده از یک وب‌سایت هستند نیز سد دفاعی ایجاد می‌کند. برای نمونه اگر از یک هات‌اسپات وای‌فای عمومی برای اتصال به وب‌سایت google.com استفاده کنید، سرورهای گوگل یک گواهی امنیتی ارائه می‌کنند که تنها برای دامنه google.com معتبر است. اگر گوگل از HTTP رمزنگاری نشده استفاده می‌کرد، هیچ راهی برای این که بدانیم به دامنه google.com وصل شده‌ایم یا سایتی جعلی که برای فریب دادن کاربر و دزدیدن رمز عبورش جعل شده است. برای مثال، یک هات‌اسپات مخرب وای‌فای می‌تواند افراد را هنگام اتصال به وای‌فای های عمومی به این نوع وب‌سایت‌های جعلی هدایت کند.

از لحاظ فنی HTTPS هویت وب‌سایت را تأیید نمی‌کند و به گواهی‌های گسترده اعتباری (EV) نیاز هست. با این وجود بهتر از هیچ است. HTTPS مزیت‌های دیگری نیز دارد. وقتی برای اتصال به وب‌سایتی از پروتکل HTTPS استفاده شود، هیچ کس نمی‌تواند مسیر کامل صفحه‌های وبی که بازدید می‌کنید را ببیند. بنابراین اگر در مورد یک شرایط پزشکی به صفحه‌ای مانند example.com/medical_condition مطالعه کنید، حتی شرکت ISP نیز اطلاعی در مورد مطالب پزشکی که می‌خوانید نخواهد داشت. اگر از ویکی‌پدیا بازید کنید ISP یا هر کس دیگری تنها می‌تواند ببیند که شما در وب‌سایت ویکی‌پدیا هستید و نمی‌تواند بفهمد که چه مقاله‌ای را مطالعه می‌کنید.

ممکن است فکر کنید که HTTPS کندتر از HTTP است، اما این تصور نادرستی است. توسعه‌دهنده‌ها بر روی فناوری جدیدی به نام HTTPS/2 کار می‌کنند که باعث افزایش سرعت مرور وب می‌شود. HTTPS/2 تنها بر روی اتصال‌های HTTPS در دسترس است. همین مسئله باعث می‌شود که HTTPS سریع‌تر از HTTP باشد.

چرا وقتی وب‌سایت‌ها رمزنگاری نمی‌شوند، ناامن محسوب می‌شوند؟

سنتی قدیمی شده است. به همین دلیل در نسخه 68 کروم، پیام «Not Secure» هنگام بازدید از وب‌سایت‌های HTTP در نوار آدرس مشاهده می‌شود. کروم قبلاً اطلاعاتی به صوت یک «i» درون یک دایره نشان می‌داد. اگر بر روی متن «Not Secure» کلیک کنید، کروم اعلام می‌کند که «اتصال شما به این سایت امن نیست».

کروم به این دلیل سایت را ناامن می‌داند که هیچ گونه رمزنگاری برای حفاظت از ارتباط وجود ندارد. همه چیزهایی که بر روی این ارتباط ارسال می‌شوند به صورت متن ساده است، یعنی در معرض دستکاری یا مشاهده قرار دارد. اگر اطلاعات خصوصی مانند رمز عبور یا اطلاعات پرداخت را در چنین وب‌سایت‌هایی وارد کنید، یک نفر سوم می‌تواند وقتی اطلاعات بر بستر اینترنت مبادله می‌شوند، آن‌ها را مشاهده کند.

همچنین اطلاعاتی ک از سوی وب‌سایت به شما ارسال می‌شوند نیز قابل مشاهده هستند. بنابراین حتی اگر مشغول مرور وب باشید، افراد می‌توانند دقیقاً ببینند که از کدام صفحه‌ها بازدید می‌کنید. شرکت ISP شما می‌تواند همه این اطلاعات را به شرکت‌های تبلیغاتی بفروشد. افراد دیگری نیز وقتی از وای‌فای عمومی یک کافی‌شاپ استفاده می‌کنید، می‌توانند ببینند که به چه مطالبی نگاه می‌کنید.

حمله مرد میانی

یک وب‌سایت غیر امن در معرض دستکاری اطلاعات نیز قرار دارد. اگر کسی بین شما و وب‌سایت قرار بگیرد، می‌تواند داده‌هایی را که وب‌سایت به شما ارسال می‌کند را دستکاری کند یا داده‌هایی که شما به وب‌سایت می‌فرستید را تغییر دهد. این وضعیت به نام «حمله مرد میانی» نامیده می‌شود. برای مثال، چنین حالتی هنگام استفاده از یک هات‌اسپات وای‌فای عمومی رخ می‌دهد. اپراتور هات‌اسپات می‌تواند جزییات شخصی افرادی که به مرور وب می‌پردازند را ببیند و یا محتوای صفحه‌های وب را پیش از رسیدن به دست شما تغییر دهد.

برای نمونه فردی می‌تواند در صورتی که صفحه وبی به جای HTTPS به صورت HTTP برای شما ارسال شود، لینک‌های دانلود بدافزار را در یک صفحه دانلود قانونی قرار دهد. اگر این صفحه وب از فناوری HTTPS استفاده نکند، هیچ راهی برای این که متوجه شوید به یک صفحه جعلی وصل شده‌اید، وجود نخواهد داشت.

چرا گوگل چنین تغییری ایجاد کرده است؟

گوگل و دیگر شرکت‌های وب شامل موزیلا (Mozilla) کمپین بلندمدتی را برای سوق دادن وب از فناوری HTTP به سوی HTTPS آغاز کرده‌اند. HTTP اینک به عنوان یک فناوری منسوخ شده نگریسته می‌شود که وب‌سایت‌ها نباید از آن استفاده کنند.

در ابتدا تنها معدودی وب‌سایت از HTTPS استفاده می‌کردند. بانک‌ها و دیگر وب‌سایت‌های حساس می‌بایست از HTTPS استفاده کنند و شما وقتی می‌خواهید رمز عبور یا شماره کارت بانکی خود را در وب‌سایتی وارد کنید، باید به صفحه‌های HTTPS هدایت شوید.

در آن زمان پیاده‌سازی HTTPS برای مالکان وب‌سایت‌ها هزینه‌ای در بر داشت و ارتباط‌های HTTPS امن کندتر از ارتباط‌های HTTP بودند. اغلب وب‌سایت‌ها از HTTP استفاده می‌کردند که امکان مشاهده و دستکاری ارتباط را فراهم می‌ساخت. به همین دلیل استفاده از هات‌اسپات های وای‌فای عمومی کار پر ریسکی محسوب می‌شد.

سخن پایانی

بر اساس گزارش شفافیت گوگل 75% از وب‌سایت‌هایی که در مرورگر کروم و بر روی سیستم عامل ویندوز بازدید می‌شوند در حال حاضر از HTTPS استفاده می‌کنند. اینک زمان آن رسیده است که رویه عوض شود و به کاربرانی که از سایت‌های HTTP بازدید می‌کنند هشدار داده شود.

البته هیچ چیز تغییر نیافته است، HTTP همچنان همان مشکلاتی که همیشه داشته است را دارد. اما وب‌سایت‌های کافی به فناوری HTTPS کوچ کرده‌اند و زمان آن رسیده است که در مورد HTTP هشدار داده شود و مالکان وب‌سایت‌ها تشویق شوند تا دست از این فناوری منسوخ بکشند. استفاده از HTTPS موجب می‌شود که تجربه مرور وب سریع‌تر شود و امنیت و حریم خصوصی نیز بهبود یابد. همچنین هات‌اسپات‌های وای‌فای عمومی نیز امن‌تر می‌شوند.