SSL در مقابل
ارتباطات از طریق شبکه یا اینترنت ممکن است بسیار ناامن شوند اگر اقدامات ایمن مناسب وجود نداشته باشد. این می تواند برای برنامه هایی مانند تراکنش های پرداخت در وب حیاتی باشد و باعث ضرر میلیون ها دلاری به مشتری و شرکت شود. اینجا جایی است که SSL و HTTPS وارد می شوند. SSL یک پروتکل رمزنگاری است که برای تامین امنیت ارتباطات بالای لایه انتقال استفاده می شود. HTTPS ترکیبی از HTTP و SSL است که میتواند کانالهای امن را در شبکههای ناامن ایجاد کند.
SSL چیست؟
SSL (لایه سوکت ایمن) یک پروتکل رمزنگاری است که برای تأمین امنیت ارتباطات در اینترنت استفاده می شود. SSL از رمزنگاری نامتقارن برای حفظ حریم خصوصی و کدهای احراز هویت پیام برای اطمینان از قابلیت اطمینان برای همه اتصالات شبکه بالای لایه انتقال استفاده می کند. SSL به طور گسترده برای مرور وب، ایمیل، فکس از طریق اینترنت، IM (پیام های فوری) و VoIP (Voce-over-IP) استفاده می شود. SSL توسط Netscape Corporation توسعه داده شد و TLS (Transport Layer Security) جانشین آن شد. SSL 2.0 در سال 1995 منتشر شد (نسخه 1.0 هرگز برای عموم منتشر نشد) و نسخه 3.0 (یک لایه منتشر شد) جایگزین نسخه 2.0 شد (که چندین نقص امنیتی مهم داشت). بعدها TLS با نام SSL 3.1 معرفی شد. نسخه فعلی SSL 3.3 است که بیشتر به عنوان TLS 1.2 شناخته می شود. SSL پروتکل های لایه کاربردی مانند HTTP، FTP و SMTP را با پیاده سازی روی لایه انتقال محصور می کند. به طور سنتی با TCP (پروتکل کنترل انتقال) و به میزان کمتری با UDP (پروتکل دادههای کاربر) استفاده میشود. SSL با HTTP برای به دست آوردن HTTPS استفاده می شود، که از گواهینامه های کلید عمومی برای شناسایی نقاط پایانی برای برنامه هایی مانند تجارت الکترونیک استفاده می کند.
HTTPS چیست؟
HTTPS (HTTP Secure) پروتکلی است که با ترکیب پروتکل های HTTP (پروتکل انتقال ابرمتن) و پروتکل های SSL/TLS ایجاد شده است. HTTPS ارتباط امنی را با رمزگذاری فراهم می کند و نقاط پایانی اتصالات را شناسایی می کند و آن را برای برنامه هایی مانند انتقال پرداخت در WWW (وب جهانی) یا تراکنش های حساس در شرکت ها ایده آل می کند. اساسا، HTTPS می تواند یک اتصال امن از طریق یک شبکه ناامن ایجاد کند. اگر مجموعههای رمز استفادهشده کافی باشند و گواهیهای سرور قابل اعتماد باشند، این کانالهای امن HTTPS در برابر استراقجویان و حملات Man-in-the-Middle محافظت میکنند. اما، حتی در صورت استفاده از HTTPS، کاربر میتواند تضمین کند که کانال تنها در صورتی کاملاً ایمن است که همه شرایط زیر برآورده شوند: مرورگر HTTPS را بهدرستی با CA (مقامات صدور گواهینامه) پیادهسازی میکند، CA فقط برای سایتهای قانونی تضمین میکند، گواهی ارائه شده توسط سایت معتبر است، وب سایت به درستی توسط گواهی شناسایی می شود و در نهایت هاپ های متوسط قابل اعتماد هستند.همه مرورگرهای مدرن در صورت دریافت گواهینامه های نامعتبر از وب سایت ها به کاربران هشدار می دهند. البته، به کاربر این امکان داده می شود که با مسئولیت خود ادامه دهد.
تفاوت بین SSL و HTTPS چیست؟
تفاوت اصلی بین SSL و HTTPS این است که SSL یک پروتکل رمزنگاری است، در حالی که HTTPS پروتکلی است که از ترکیب HTTP و SSL ایجاد شده است. اما، گاهی اوقات، HTTPS به خودی خود به عنوان یک پروتکل شناسایی نمی شود، بلکه مکانیزمی است که صرفاً از HTTP بر روی اتصالات SSL رمزگذاری شده استفاده می کند. به عبارت دیگر، HTTPS از SSL برای ایجاد یک اتصال HTTP ایمن استفاده می کند. به دلیل رمزگذاری ارائه شده توسط SSL، HTTPS قادر به مقاومت در برابر استراق سمع و حملات انسان در میان است.