امنیت دیگر یک گزینه نیست، بلکه یک دوره آموزشی ضروری برای هر متخصص فناوری اینترنت است. HTTP، HTTPS، SSL، TLS - آیا واقعاً می‌دانید در پشت صحنه چه می‌گذرد؟ در این مقاله، منطق اصلی پروتکل‌های ارتباطی رمزگذاری شده مدرن را به روشی ساده و حرفه‌ای توضیح خواهیم داد و با یک نمودار جریان بصری به شما کمک می‌کنیم تا اسرار «پشت قفل‌ها» را درک کنید.

چرا HTTP «ناامن» است؟ --- مقدمه

آن هشدار آشنای مرورگر را به خاطر دارید؟

«ارتباط شما خصوصی نیست.»
وقتی یک وب‌سایت از HTTPS استفاده نمی‌کند، تمام اطلاعات کاربر به صورت متن ساده در سراسر شبکه منتشر می‌شود. رمزهای عبور ورود به سیستم، شماره کارت‌های بانکی و حتی مکالمات خصوصی شما همگی می‌توانند توسط یک هکر ماهر ضبط شوند. علت اصلی این امر، عدم رمزگذاری HTTP است.

خب، HTTPS و «دروازه‌بان» پشت آن، TLS، چگونه به داده‌ها اجازه می‌دهند تا به طور ایمن در اینترنت جابجا شوند؟ بیایید آن را لایه به لایه بررسی کنیم.

HTTPS = HTTP + TLS/SSL --- ساختار و مفاهیم اصلی

۱. HTTPS اساساً چیست؟

HTTPS (پروتکل انتقال ابرمتن امن) = HTTP + لایه رمزگذاری (TLS/SSL)
○ HTTP: این پروتکل مسئول انتقال داده‌ها است، اما محتوا به صورت متن ساده قابل مشاهده است.
○ TLS/SSL: یک «قفل رمزگذاری» برای ارتباطات HTTP فراهم می‌کند و داده‌ها را به معمایی تبدیل می‌کند که فقط فرستنده و گیرنده قانونی می‌توانند آن را حل کنند.

شکل ۱: جریان داده HTTP در مقابل HTTPS

عبارت «قفل» در نوار آدرس مرورگر، نشان امنیتی TLS/SSL است.

۲. چه رابطه‌ای بین TLS و SSL وجود دارد؟

○ SSL (لایه سوکت‌های امن): اولین پروتکل رمزنگاری که آسیب‌پذیری‌های جدی دارد.

○ TLS (امنیت لایه انتقال): جانشین SSL، TLS 1.2 و TLS پیشرفته‌تر 1.3، که پیشرفت‌های قابل توجهی در امنیت و عملکرد ارائه می‌دهند.
این روزها، «گواهینامه‌های SSL» صرفاً پیاده‌سازی‌هایی از پروتکل TLS هستند، فقط افزونه‌هایی نامگذاری شده‌اند.

عمیقاً در TLS: جادوی رمزنگاری پشت HTTPS

۱. جریان دست دادن (Handshake) کاملاً برطرف شده است.

پایه و اساس ارتباط امن TLS، رقص دست دادن (handshake) در زمان راه‌اندازی است. بیایید جریان استاندارد دست دادن TLS را بررسی کنیم:

شکل ۲: یک جریان معمول دست‌دهی TLS.

۱️⃣ تنظیم اتصال TCP

یک کلاینت (مثلاً یک مرورگر) یک اتصال TCP به سرور (پورت استاندارد ۴۴۳) را آغاز می‌کند.

مرحله دوم TLS Handshake

○ کلاینت سلام: مرورگر نسخه TLS پشتیبانی‌شده، رمز و عدد تصادفی را به همراه نشانگر نام سرور (SNI) ارسال می‌کند، که به سرور می‌گوید به کدام نام میزبان می‌خواهد دسترسی داشته باشد (اشتراک‌گذاری IP در چندین سایت را فعال می‌کند).

○ مشکل در سرور و گواهی: سرور نسخه TLS و رمز مناسب را انتخاب می‌کند و گواهی خود (همراه با کلید عمومی) و اعداد تصادفی را ارسال می‌کند.

○ اعتبارسنجی گواهی: مرورگر زنجیره گواهی سرور را تا مرجع صدور گواهی معتبر (CA) تأیید می‌کند تا از جعلی نبودن آن اطمینان حاصل شود.

○ تولید کلید پیش-اصلی: مرورگر یک کلید پیش-اصلی تولید می‌کند، آن را با کلید عمومی سرور رمزگذاری می‌کند و برای سرور ارسال می‌کند. دو طرف بر سر کلید جلسه مذاکره می‌کنند: با استفاده از اعداد تصادفی هر دو طرف و کلید پیش-اصلی، کلاینت و سرور کلید جلسه رمزگذاری متقارن یکسانی را محاسبه می‌کنند.

○ تکمیل دست‌دهی: هر دو طرف پیام‌های «پایان‌یافته» را به یکدیگر ارسال می‌کنند و وارد مرحله انتقال داده‌های رمزگذاری‌شده می‌شوند.

۳️⃣ انتقال امن داده‌ها

تمام داده‌های سرویس به صورت متقارن با کلید جلسه مذاکره شده به طور کارآمد رمزگذاری می‌شوند، حتی اگر در وسط کار رهگیری شوند، فقط مجموعه‌ای از "کدهای درهم و برهم" هستند.

۴️⃣ استفاده مجدد از جلسه

TLS دوباره از Session پشتیبانی می‌کند، که می‌تواند با اجازه دادن به همان کلاینت برای رد کردن handshake خسته‌کننده، عملکرد را تا حد زیادی بهبود بخشد.
رمزگذاری نامتقارن (مانند RSA) امن اما کند است. رمزگذاری متقارن سریع است اما توزیع کلید آن دست و پا گیر است. TLS از یک استراتژی "دو مرحله‌ای" استفاده می‌کند - ابتدا یک تبادل کلید امن نامتقارن و سپس یک طرح متقارن برای رمزگذاری کارآمد داده‌ها.

۲. تکامل الگوریتم و بهبود امنیت

RSA و دیفی-هلمن
○ آر اس ای
این روش اولین بار به طور گسترده در طول TLS handshake برای توزیع ایمن کلیدهای جلسه استفاده شد. کلاینت یک کلید جلسه تولید می‌کند، آن را با کلید عمومی سرور رمزگذاری می‌کند و آن را ارسال می‌کند تا فقط سرور بتواند آن را رمزگشایی کند.

○ دیفی-هلمن (DH/ECDH)
از TLS 1.3، دیگر از RSA برای تبادل کلید استفاده نمی‌شود و الگوریتم‌های DH/ECDH امن‌تر که از forward secrecy (PFS) پشتیبانی می‌کنند، جایگزین آن می‌شوند. حتی اگر کلید خصوصی فاش شود، داده‌های تاریخی هنوز قابل رمزگشایی نیستند.

نسخه TLS	الگوریتم تبادل کلید	امنیت
TLS 1.2	RSA/DH/ECDH	بالاتر
TLS 1.3	فقط برای DH/ECDH	بیشتر بالاتر

نکات کاربردی که متخصصان شبکه باید بدانند

○ ارتقاء اولویت‌دار به TLS 1.3 برای رمزگذاری سریع‌تر و امن‌تر.
○ فعال کردن رمزهای قوی (AES-GCM، ChaCha20 و غیره) و غیرفعال کردن الگوریتم‌های ضعیف و پروتکل‌های ناامن (SSLv3، TLS 1.0)؛
○ پیکربندی HSTS، OCSP Stapling و غیره برای بهبود کلی حفاظت HTTPS؛
○ زنجیره گواهی را به طور منظم به‌روزرسانی و بررسی کنید تا از اعتبار و یکپارچگی زنجیره اعتماد اطمینان حاصل شود.

نتیجه‌گیری و نظرات: آیا کسب و کار شما واقعاً امن است؟

از HTTP متن ساده گرفته تا HTTPS کاملاً رمزگذاری شده، الزامات امنیتی در پس هر ارتقاء پروتکل تکامل یافته‌اند. TLS به عنوان سنگ بنای ارتباطات رمزگذاری شده در شبکه‌های مدرن، دائماً خود را برای مقابله با محیط حمله فزاینده و پیچیده بهبود می‌بخشد.

کارگزار بسته شبکه Mylinking™ (NPB) ML-NPB-5690

6 * 40GE/100GE QSFP28 به همراه 48 * 10GE/25GE SFP28، حداکثر 1.8Tbps

رمزگشایی SSL

پشتیبانی از بارگذاری گواهی رمزگشایی SSL مربوطه، رمزگشایی داده‌های رمزگذاری شده HTTPS مربوط به ترافیک مشخص شده و ارسال خروجی به سیستم نظارت و تحلیل back-end در صورت تقاضا، که می‌تواند رمزگشایی پیام رمزگذاری شده استاتیک TLS1.0، TLS1.2 و SSL3.0 را تکمیل کند.

آیا کسب و کار شما از قبل از HTTPS استفاده می‌کند؟ آیا پیکربندی رمزنگاری شما با بهترین شیوه‌های صنعت مطابقت دارد؟

زمان ارسال: ۲۲ ژوئیه ۲۰۲۵

از HTTP تا HTTPS: درک TLS، SSL و ارتباطات رمزگذاری شده در کارگزاران بسته شبکه Mylinking™