كيف يعمل ال https: بروتوكول نقل النص التشعبي الآمن

تصور معي أنك تريد بعث رسالة لصديق عبر البريد العادي، وحتى لا يتم التطفل على محتواها أنت ستطويها وتغلق عليها بإحكام داخل مغلف لن يتم فتحه إلا بتمزيقه، وهذا يعتبر إجراء آمن يجعلك مطمئن أن مضمون الرسالة لن يطلع عليه أحد.

على نحو مشابه، عند تصفحك للأنترنت أنت ستشارك بعض من بياناتك الشخصية (الاسم واللقب) وأخرى حساسة (الرقم السري، بطاقات الدفع..)، وهنا بالذات تأتي وظيفة بروتوكول نقل النص التشعبي الآمن في توفير طبقة حماية لبيناتنا وبمستوى عالي من الأمان، حيث كل حرف يُتداول سيتم تشفيره.

وفي السطور القادمة سنتفصل بشكل أعمق حول ما معنى بروتوكول https، كيف يعمل ولماذا عليك عدم تجاهله حتى لا يفقد موقعك مصداقيته، وأيضا لسلامة بياناته والمحافظة عليها سرية قدر المستطاع.

ما هو https؟

هو الإصدار الأكثر أمان من الصيغة السابقة http حيث يعمل كوسيط بين الخوادم (Servers) ومتصفحات الويب (Browsers)، دوره الأساسي حماية البيانات – وخاصة الحساسة منها مثل المعلومات الشخصية وأرقام بطاقات الدفع – وإبقائها سرية، هذا اعتمادا على بروتوكولات التشفير التي تعيق من حركة المتطفلين وكل من له نية في اختراقها، مما يجعله أحد المكونات الأساسية لأي موقع إلكتروني.

لماذا يجب عليك استعماله؟

في النقطة هذه أنا لا أحاول أن أقنعك بمدى أهمية استعمال بروتوكول الحماية HTTPS، ولكن أنت مجبر على ذلك وإلا لن يكون في صالحك عدم إعطائه أهمية، وهذا للأسباب التالية:

1- موقعك الإلكتروني سيتم تهميشه

أول مشكل ستواجه في عدم استعمال بروتوكول الأمان هو مع متصفحات الأنترنت مثل جوجل كروم، موزيلا، مايكروسوفت إيدج وغيرها.. حيث تعتبره كمشكل شخصي ولن تغامر بمصداقيتها في السماح لمن يثق في متصفحها بالدخول لصفحة غير آمنة، ومباشرة ستوجه العميل نحو صفحة تحذره من أن بياناته قد تصبح في خطر لو دخل لهذه الصفحة وتوصيه بمغادرتها فورا.

الأمر هذا سيعمل عكس ما تطمح إليه، وأول إجراء تتخذه إذا كانت لك النية في مضاعفة زوار موقعك هو التأكد أنك بالفعل تعتمد على بروتوكول الأمان.

2- أحد معايير السيو المهمة

محركات البحث وعلى رأسها جوجل حربها دائمة ومستمرة مع كل شخص ينتهج طرق ملتوية لتحصيل ضحايا جدد، وعدم استعمالك لهذا البروتوكول سيتم تصنيفك مباشرة في خانة المواقع المشبوه فيها.

والمتعارف في عالم تحسين محركات البحث أين نجد المنافسة شرسة بين صناع المحتوى واعتمادهم على استراتيجيات في قمة التعقيد فقط للظفر بمراتب متقدمة على الصفحة الأولى، فعدم استعمالك لهذا الشرط أنت خارج المنافسة من الأساس.

شهادة SSL هي واحدة من معايير تحسين السيو الداخلي للموقع، وعدم استعمالها حتما سيؤثر بشكل سلبي على أدائه.

3- الامتثال لشروط لوائح حماية البيانات

تعتبر GDPR واحدة من الجهات الأوربية التي تعمل على تنظيم حماية البيانات العامة، حيث تفرض عليك جملة من القوانين وتؤكد على عدم مخالفتها، ومما لا شك فيه أن الحصول على شهادة SSL هي واحدة من القوانين التي يجب عليك توفيرها حتى لا تقع في المحظور.

4- زيادة ثقة المستخدمين في موقعك

ليس كل من يتصفح الويب له دراية بهذه الأمور، ولكن حتما هناك شريحة تتعامل يوميا مع هذه التقنيات وبالتالي من النظرة الأولى للرابط سيحكمون على احترافية موقعك، وحتى من يجهل هذه الأمور وبالإشارة على هذه النقطة في صفحة سياسة الخصوصية الخاصة بموقعك هذا سيعطيه أمان أكثر.

هذه مجرد بعض النقاط التي ستأثر ضررا على موقعك لو تجاهلت استعمال هذا البروتوكول، وتأكد أنه مازال هناك العديد من الجوانب السلبية الأخرى التي ستواجهها إذا لم تفكر بشكل جدي في التحويل من http الى https.

كيف يعمل بروتوكول نقل النص التشعبي الآمن

في الأول سنشرح كيف يتم ذلك تقنيا خلف الكواليس، وبعدها ولتبسيط الصورة للجميع سنتطرق لمثال أوضح.

بمجرد لصق رابط الموقع الإلكتروني على شريط البحث متضمن البروتوكول HTTPS أو كتابة اسم الموقع فقط (www.site.com) سيتم نقله مباشرة للبروتكول الآمن بشرط أن يكون الموقع يدعمه، ستحدث الخطوات التالية والتي لن تكون ظاهرة لنا كمستخدمين عاديين:

1. بمجرد طلب ذلك الموقع من المتصفح (جوجل كروم مثلا!)، السيرفر (الخاص بالموقع المطلوب) سيستجيب من خلال تقديم شهادته الرقمية والتي تكون قابلة للتحقق من خلال مفتاح أمان يثبت صحتها وسلامتها.
2. وإذا كانت سليمة غير مشبوهة، هنا سيتم استخلاص مفتاح تشفير عشوائي متماثل من قبل المتصفح ويعمل على تشفيره اعتمادا على المفتاح العام للخادم وسيتم إعادة إرساله للسيرفر، ويمكن أن نعتبرها كمرحلة مهمة لتبادل المفاتيح.
3. ذلك المفتاح المشفر سيتم فك تشفيره من طرف السيرفر من أجل خلق اتصال آمن وهذا اعتمادا على مفتاحه الخاص.
4. بعد أن تتم الخطوة السابقة بنجاح يمكن القول أن كلا الطرفين في حوزتهما نفس المفتاح المتماثل، حيث سيُستخدم بشكل رئيسي في تشفير وإعادة فك تشفير البيانات التي تتم على نفس الجلسة (أي أثناء تصفح المستخدم للموقع).
5. مرورا بجميع الخطوات السابقة، يمكن القول أن الأرضية باتت جاهزة لتبادل البيانات بشكل آمن، وكل معلومة تنتقل من طرف لآخر سيتم تشفيرها من دون تقاعس.
6. الإصدارات القديمة من TLS المعروف على أنها تستعمل كطعم لاختراق بيانات موقعك، فهي مليئة بالثغرات، لهاذا تأكد أن تذهب مع شركة توفر أحدث اصدار TLS وتهتم بتحديثه كل مرة.

مثال أوضح حول المراحل التي سيمر بها الزائر لتجربة تصفح آمنة

لنفترض أن أمين يريد أن يرفع من مستواه في مجال تطوير الويب، وهو يعلم جيدا أن موقع النقيب هو الخيار الأمثل في هذه الحالة، لذا سيدخل لموقعنا من خلال الرابط مباشرة “https://nakib4tech.com”.

سواء المستخدم كتب رابط الموقع بالبروتوكول غير الآمن http أو من دون أي بروتوكول آخر (أي رابط الموقع مباشرة) فهو تلقائيا سيتم تحويله للوضع الآمن https، وهذا لسبب أننا مُبرمجين أي محاولة دخول للموقع بشكل مختلف سيتم تحويلها للوضع الآمن.

الآن المتصفح الخاص بالزائر أمين مباشرة سيرسل طلب للخادم على “nakib4tech.com” حتى يتم إنشاء اتصال آمن. حيث هذا الأخير سيتحقق من صحة الشهادة ومدى سلامتها وهل هي سارية المفعول، وإذا كانت النتائج سليمة سيبدأ متصفح أمين بإنشاء مفتاح مشفر والغرض منه ترميز جميع المعلومات التي سيدخلها أمين كما سيتكفل بإعادة فك تشفيرها كذلك. ومن ثم سيتم إرسال ذلك المفتاح المشفر إلى الخادم.

بعدها الخادم سيتلقى المفتاح المشفر المرسل من متصفح أمين وسيقوم مباشرة بفك تشفيره بمفتاحه الخاص. وهنا يجب أن ننوه أن كلا الطرفين (متصفح أمين والخادم) كليهما لديه نفس المفتاح المشفر المتماثل، والذي سيتم توظيفه من أجل إنشاء تجربة تصفح آمنة.

والآن يمكن القول أن أمين سيحظى بتجربة تصفح آمنة، وجميع أنشطته على الـ Browser مثل كتابة تعليق، إدخال اسمه الشخصي أو حتى بياناته الحساسة.. جميعها سيتم تشفيره بحيث تبقى سرية وآمنة.

هل موقعك سيصير آمن 100% مع استعمال https؟

ربما لن أكون صريح معك لو قلت إنك في حماية مطلقة مع تفعيل هذا الخيار، وعلى الرغم من أنه يعتمد على تقنيات تشفير معقدة فهو الآخر يبقى عرضة للهجومات، ولكن على الأقل نسبة المخاطر ستقل بدرجة كبيرة مقارنة مع من يهمل بروتوكول نقل النص التشعبي الآمن هذا.

أيضا من بين الأسباب التي تنقص من فاعلية بروتوكول https بل أحيانا استعماله بطريقة خاطئة قد يكون سبب جعلك لقمة سائغة فيمن هم يترصدون إليك، وهذا بالتحديد ما سنتطرق إليه النقطة التالية.

أخطاء تجنبها في بروتوكول https

بعد أن تقوم بتثبيت البروتوكول الآمن على رابط موقعك، هناك بعض الممارسات الخاطئة التي يجب عليك تجنبها حتى لا تقع في المحظور، لذا يجب أن تعلم جيدا كيف تستعمله بشكل صحيح، وأفضل طريقة هي أن تعرف ما هي الممارسات الخاطئة حتى تتجنبها..

• حتى تتمكن من تجنب المحتوى المكرر من المهم أن تختار صيغة رابط واحدة تحول إليها جميع الصيغ الأخرى، وبالطبع الصيغة هذه من أحد شروطها أن تتوفر على البروتوكول الآمن، وتأكد بالفعل أنها تنهي عملية التحويل بنجاح وإلا هذا سيضر بجودة موقعك.
• دائما انحاز نحو الشركات التي توفر خوارزميات تشفير عالية المستوى ومتطورة باستمرار، فالضعيف منها يسهل اختراقه كما أن جل المتصفحات الشهيرة تتطلب تشفير ذو مستوى عالي.
• الشهادة يجب أن تشتريها من مواقع ذات مصداقية، فعندما تتم عملية التحقق (CA) يجب أن تكون كذلك وإلا سيتم تجاهلها وتصنيف موقعك كمشبوه فيه.
• وحتى تكون على علم، شهادة SSL يتم شراؤها باشتراك سنوي وهناك مواقع اختصاصها بيع الدومينات توفرها لك بشكل مجاني للسنة الأولى مثل “namecheap.com” ويجب أن تتأكد من تجديد اشتراكك حتى لا يفقد موقعك مصداقيته دون علم منك.
• انسى تماما أنك تمتلك موقع يتوفر على بروتوكول غير آمن، وأي رابط تنشره على مواقع التواصل الاجتماعي يجب أن يكون بالصيغة https وركز على حرف الـ “S”.
• من أخطاء بناء الروابط الخلفية هي بنائها على الصيغة غير الآمنة http، بحيث أنت تقول لمحرك البحث جوجل أن الصيغة هذه مهمة في حين هو لديه حساسية منها. والأصح أن جميع روابطك يجب تكون بالصيغة الآمنة.

ماذا لو تجاهلت استعمال بروتوكول https في موقعك؟

إهمال تأمين موقعك باستخدام بروتوكول نقل النص التشعبي الآمن (HTTPS) هو خطأ جسيم يمكن أن ترتكبه في حق علامتك التجارية، وقد يكون له عواقب وخيمة. أولى هذه العواقب تتمثل في تعريض البيانات الحساسة للخطر، فعدم استخدام HTTPS سيسهل عمليات الاعتراض والتلاعب بالبيانات، مما يضع معلومات الدفع والبيانات الشخصية للمستخمي موقعك بين يدي المخترقين.

علاوة على ذلك، يؤثر عدم استخدام بروتكول HTTPS بشكل مباشر على مصداقية الموقع وثقة الزائرين به. فكما هو معلوم، المتصفحات الحديثة تقدم تحذيرات صريحة للمستخدمين عند زيارتهم لمواقع غير مؤمنة، ما يؤدي إلى زيادة احتمالية تراجعهم عن إتمام عمليات التصفح أو الشراء عبر هذه المواقع. هذا الإهمال ينتج عنه انخفاض في حركة المرور وتراجع معدلات التحويل.

وعوامل أخرى كثيرة مثل تجنب تفضيل موقعك من طرف محركات البحث، ولا حتى من قبل المنصات الإعلانية الشهيرة.

حماية بيانات المستخدمين لموقعك هي مسؤوليتك أنت بدرجة أولى، وقد نعتبره إهمال من طرفك لو لم تعط بروتوكول نقل النص التشعبي الآمن الأهمية المطلقة، بل لن يكون في صالحك عدم الاعتماد على https كصيغة رسمية في نطاق موقعك الإلكتروني، فمن جهة بياناتك ستكون عرضة للاختراق ومن جهة أخرى محرك جوجل للبحث وغيره من المنصات التي تطمع في أن تضاعف بها زيارات موقعك ستصنفه كمشبوه في أمره.

والخطوة التالية التي يلزم القيام بها، هي الانتقال فورا نحو البروتوكول الآمن فهو بالفعل يعتبر كأحد المعايير الحيوية لأي موقع إلكتروني لما يوفره من سرية ونزاهة لبيانات المستخدم، ومن الجيد التفقه فيه جيدا وكيفية توظيفه في مكانه المناسب.