ما هو TLS؟
في اتصال HTTPS، لا تُرسل بيانات HTTP كما هي. بل تُحمى بآلية تسمى TLS.
يُشرح الفرق بين HTTP وHTTPS أحيانًا بأنه "هل هو مشفر أم لا". لكن TLS يفعل أكثر من التشفير وحده. يؤدي أيضًا أدوارًا مهمة في جعل محتوى الاتصال أصعب قراءة على الأطراف الثالثة، وجعل العبث أثناء الطريق أسهل كشفًا، والتحقق من الخادم الذي تتصل به.
ينظم هذا المقال ما يحميه TLS وما لا يحميه.
ما هو TLS
TLS اختصار لـ Transport Layer Security. وهو بروتوكول لحماية الاتصال عبر الشبكات.
على Web، يُستخدم لحماية الاتصال بين المتصفح وخادم Web. عندما تفتح موقع HTTPS في المتصفح، تُرسل وتُستقبل محتويات اتصال HTTP وهي محمية بـ TLS.
يوفر TLS أساسًا الأنواع الثلاثة الآتية من الحماية.
| الدور | المعنى | الشرح |
|---|---|---|
| السرية | يجعل محتوى الاتصال أصعب قراءة | يجعل فهم محتوى البيانات أصعب على الأطراف الثالثة في الطريق |
| السلامة | يجعل كشف العبث بمحتوى الاتصال أسهل | يتيح كشف ما إذا كانت البيانات قد أُعيدت كتابتها في الطريق |
| المصادقة | يتحقق من وجهة الاتصال | يستخدم شهادة خادم لفحص ما إذا كانت الوجهة تملك شهادة صالحة لذلك النطاق |
بعبارة أخرى، من الأدق فهم TLS لا كـ"آلية لتشفير الاتصال" فقط، بل كآلية تجمع حماية محتوى الاتصال مع التحقق من وجهة الاتصال.
HTTPS هو HTTP محمي بـ TLS
HTTPS هو اتصال HTTP محمي بـ TLS.
HTTP هو الآلية التي يستخدمها المتصفح وخادم Web لتبادل محتوى الصفحات وبيانات النماذج ومعلومات مشابهة. لكن HTTP وحده لا يشفّر محتوى الاتصال. لذلك توجد خطورة أن يقرأ أطراف ثالثة على مسار الاتصال المحتوى أو يعبثوا به في الطريق.
مع HTTPS، يحدث تبادل HTTP داخل TLS. يجعل ذلك محتوى الطلبات والاستجابات المرسلة والمستلمة عبر HTTP أصعب قراءة أثناء الطريق.
| العنصر | HTTP | HTTPS |
|---|---|---|
| محتوى الاتصال | يُرسل كنص صريح | محمي بـ TLS |
| مقاومة التنصت | منخفضة | عالية |
| كشف العبث | ضعيف | أسهل عبر TLS |
| التحقق من الوجهة | ضعيف أساسًا | يُتحقق منها بشهادة خادم |
| البنية الرئيسية | HTTP | HTTP فوق TLS |
HTTPS ليس آلية تتعامل مع محتوى مختلف عن HTTP. إنه طريقة لإرسال اتصال HTTP محميًا بـ TLS.
ما الذي يحميه TLS
مركز ما يحميه TLS هو محتوى الاتصال المتدفق بين المتصفح والخادم.
على مسار الاتصال، قد توجد موجّهات Wi-Fi، ومزودون، وأجهزة شبكة مؤسسية، وبنية ترحيل على الإنترنت، وأنظمة مشابهة. إذا لم يُستخدم TLS، توجد خطورة أن يُقرأ المحتوى أو يُعبث به على ذلك المسار.
عند تفعيل TLS، يُشفر محتوى الاتصال. لذلك، حتى إذا حصل طرف ثالث في الطريق على البيانات، يصبح من الصعب قراءة محتوى HTTP كما هو.
| المعلومة | حماية TLS | الشرح |
|---|---|---|
| نص الصفحة | محمي | يصبح HTML ومحتوى النص الراجع من الخادم أصعب قراءة في الطريق |
| محتوى إدخال النماذج | محمي | تُشفّر معلومات تسجيل الدخول ومحتوى الاستفسارات وبيانات مشابهة |
| ترويسات HTTP | محمية | تُرسل ترويسات HTTP مثل وUser-Agent داخل TLS |
| قيم Cookie | محمية | تصبح محتويات Cookie أصعب قراءة في الطريق |
| مسار URL وسلسلة الاستعلام | محميان | الجزء مثل /search?q=... في example.com/search?q=... يُحمى كمحتوى طلب HTTP |
لكن الحماية الموصوفة هنا هي حماية ضد الأطراف الثالثة في الطريق. يجب على خادم الوجهة معالجة الطلب، لذلك يفك التشفير ويقرأ محتوى الاتصال.
شهادات الخادم تتحقق من الوجهة
لا يشفّر TLS محتوى الاتصال فقط، بل يتحقق أيضًا من الخادم الذي تتصل به.
عند الوصول إلى موقع HTTPS، يقدم الخادم شهادة خادم. يفحص المتصفح ما إذا كانت تلك الشهادة صادرة عن سلطة شهادات موثوقة، وما إذا كانت منتهية الصلاحية، وما إذا كانت تطابق اسم النطاق الذي يجري الوصول إليه، ونقاطًا مشابهة.
يتيح ذلك للمتصفح فحص ما إذا كان طرف الاتصال يملك شهادة صالحة للنطاق المقصود.
لكن وجود شهادة خادم لا يضمن أن مشغل الموقع آمن أو أن المعلومات على الموقع صحيحة. ما تتحقق منه الشهادة أساسًا هو أن الموقع يملك شهادة صالحة لذلك النطاق.
بعبارة أخرى، تشير أيقونة القفل في HTTPS إلى أن "مسار الاتصال محمي بـ TLS"، لكنها لا تضمن أن "الموقع يقدم محتوى موثوقًا".
نطاق ما يشفّره TLS
ما يشفّره TLS هو أساسًا محتوى HTTP.
مثلًا، يُرسل نص صفحة Web، ومحتوى إرسال النماذج، وقيم Cookie، وترويسات HTTP، ومسارات URL وسلاسل الاستعلام داخل TLS.
في المقابل، حتى عند استخدام TLS، تبقى بعض المعلومات اللازمة للاتصال والمعلومات الخارجة عن الاتصال نفسه.
| المعلومة | هل يخفيها TLS؟ | الشرح |
|---|---|---|
| نص الصفحة | مخفي غالبًا في الطريق | محمي بـ TLS كمحتوى استجابة HTTP |
| محتوى إدخال النماذج | مخفي غالبًا في الطريق | محمي بـ TLS كجسم طلب HTTP |
| قيم Cookie | مخفية غالبًا في الطريق | محمية بـ TLS كترويسات HTTP |
| مسار URL وسلسلة الاستعلام | مخفيان غالبًا في الطريق | محميان بـ TLS كمحتوى طلب HTTP |
| عنوان IP الوجهة | لا يخفى | لازم لإيصال الحزم إلى وجهة الاتصال |
| عنوان IP المصدر | لا يخفى | مرئي للخوادم وجهات الترحيل |
| بعض معلومات اتصال TLS مثل SNI | قد تظهر بحسب البيئة | في بيئات لا تُستخدم فيها ECH وآليات مشابهة، قد تصبح مؤشرًا إلى اسم نطاق الوجهة |
| استعلامات DNS | تبقى مسألة منفصلة | مع DNS العادي، قد تظهر النطاقات المستعلَم عنها |
| حجم الحركة | لا يخفى | قد تُرصد كمية البيانات المرسلة والمستلمة |
| توقيت الاتصال | لا يخفى | قد يُرصد وقت حدوث الاتصال |
هذا الفرق مهم. يحمي TLS محتوى HTTP، لكنه لا يمحو وجود الاتصال نفسه، ولا حجم الحركة، ولا التوقيت، ولا عناوين IP.
انتبه إلى إنهاء TLS
مع TLS، يجب الانتباه إلى أي جزء من الاتصال محمي من أين إلى أين.
في الشروح الشائعة، يقال إن "الاتصال بين المتصفح وخادم Web مشفر". لكن في خدمات Web الفعلية، قد تكون CDN أو موازن حمل أو بروكسي عكسي أو نظام مشابه هي نقطة إنهاء TLS.
إنهاء TLS هو النقطة التي يُفك فيها تشفير الاتصال المشفر.
مثلًا، توجد بنى يكون فيها المسار من المتصفح إلى CDN محميًا بـ TLS، ثم ترسل CDN الطلب إلى الخادم الأصلي عبر اتصال منفصل. في هذه الحالة، من منظور المتصفح، تكون وجهة اتصال TLS في جهة CDN، وتعتمد الحماية بعد ذلك على إعدادات جهة الخدمة.
هذا لا يعني أن TLS ضعيف. TLS آلية لحماية الاتصال بين نقاط النهاية، وأي أنظمة تصبح نقاط النهاية يعتمد على بنية النظام.
TLS ليس تقنية إخفاء هوية
TLS ليس تقنية إخفاء هوية.
TLS تقنية لحماية محتوى الاتصال من الأطراف الثالثة في الطريق. في المقابل، يصل محتوى الاتصال إلى خادم الوجهة. ولأن الخادم يجب أن يعالج الطلب، فقد يستطيع معرفة البيانات المرسلة وCookie ومعلومات تسجيل الدخول ووقت الوصول وعنوان IP المصدر ومعلومات مشابهة.
عند الوصول إلى موقع HTTPS، يصعب على الأطراف الثالثة على مسار الاتصال قراءة محتوى الصفحة. لكن موقع Web الوجهة نفسه يستطيع معالجة الصفحة المطلوبة ومحتوى النموذج المرسل وحالة تسجيل الدخول وCookie ومعلومات مشابهة.
| العنصر | هل يحله TLS؟ | السبب |
|---|---|---|
| التنصت في الطريق | أسهل حلًا | محتوى الاتصال مشفر |
| العبث في الطريق | أسهل حلًا | توجد آلية لكشف العبث |
| رؤية خادم الوجهة | لا تُحل | يجب على الخادم معالجة محتوى الاتصال |
| إخفاء عنوان IP المصدر | لا يُحل | قد ترى جهة الخادم IP المصدر |
| التعرف عبر Cookie | لا يُحل | تستخدم جهة الخادم Cookie للتعرف إلى المستخدمين |
| الربط بالشخص عبر تسجيل الدخول | لا يُحل | ترتبط الأفعال بالحساب |
للتشفير وإخفاء الهوية غرضان مختلفان.
التشفير تقنية لجعل محتوى الاتصال أصعب قراءة على الأطراف الثالثة. أما إخفاء الهوية فهو طريقة تفكير لجعل معرفة من يتصل، وأين يتصل، وأي أفعال تعود إلى المستخدم نفسه، أصعب.
TLS قوي في الغرض الأول، لكنه لا يحقق الثاني وحده.
لماذا يهم فهم TLS
فهم TLS يساعدك على تقييم HTTPS بدقة من دون المبالغة في تقدير سلامته.
HTTPS مهم جدًا لمواجهة التنصت والعبث على مسار الاتصال. في تسجيل الدخول، والدفع، وإرسال المعلومات الشخصية، والوصول إلى شاشات الإدارة، وحالات مشابهة، يكون HTTPS شرطًا أساسيًا.
في المقابل، حتى مع HTTPS، تصل المعلومات إلى خادم الوجهة. تبقى سجلات الخادم، وعناوين IP المصدر، وCookie، ومعلومات الحساب، ومعلومات المتصفح، وعناصر مشابهة مسائل منفصلة عن TLS.
لذلك، عند فهم TLS، يجب فصل النقاط الآتية.
| المنظور | الغرض الرئيسي | العلاقة بـ TLS |
|---|---|---|
| التشفير | يجعل محتوى الاتصال أصعب قراءة على الأطراف الثالثة | الدور المركزي لـ TLS |
| السلامة | يكشف العبث أثناء الاتصال | دور مهم لـ TLS |
| مصادقة الوجهة | تفحص ما إذا كان الخادم يملك شهادة صالحة | دور مهم لـ TLS |
| إخفاء الهوية | يجعل فهم المستخدمين وعلاقات الاتصال أصعب | لا يتحقق بـ TLS وحده |
| منع التتبع | يقلل التعرف عبر Cookie والحسابات | يحتاج إلى تدابير منفصلة عن TLS |
TLS تقنية أساسية تدعم سلامة الاتصال. لكنه لا يحل كل مشكلة خصوصية أو مجهولية.
خلاصة
TLS هو الآلية المركزية لحماية الاتصال المستخدمة في HTTPS.
يشفّر TLS محتوى الاتصال بين المتصفح والخادم، فيجعل قراءة المحتوى أصعب على الأطراف الثالثة في الطريق. كما يجعل كشف العبث أثناء الطريق أسهل، ويتحقق من الوجهة عبر شهادات الخادم.
في المقابل، TLS ليس تقنية إخفاء هوية. يصل محتوى الاتصال إلى خادم الوجهة، وتبقى مسائل مثل عناوين IP المصدر وسجلات الخادم وCookie ومعلومات الحساب منفصلة.
لفهم TLS بدقة، يجب فصل "محتوى الاتصال مشفر" عن "من يصل إلى أين مخفي".
HTTPS مهم لجعل الاتصال أكثر أمانًا، لكنه لا يحقق المجهولية أو منع التتبع تلقائيًا.