HTTPS

بروتوكول نقل النص التشعبي الآمن ( HTTPS ) هو امتداد لبروتوكول نقل النص التشعبي (HTTP). يستخدم التشفير لتأمين الاتصال عبر شبكة الحاسوب ، ويُستخدم على نطاق واسع على الإنترنت . [ 1 ] [ 2 ] في HTTPS، يُشفّر بروتوكول الاتصال باستخدام بروتوكول أمان طبقة النقل (TLS)، أو سابقًا، بروتوكول طبقة المقابس الآمنة (SSL). ولذلك، يُشار إلى البروتوكول أيضًا باسم HTTP عبر TLS ، [ 3 ] أو HTTP عبر SSL .

تتمثل الدوافع الرئيسية لاستخدام بروتوكول HTTPS في توثيق الموقع الإلكتروني الذي يتم الوصول إليه وحماية خصوصية وسلامة البيانات المتبادلة أثناء نقلها. فهو يحمي من هجمات الوسيط ، كما أن تشفير الاتصالات ثنائي الاتجاه بين العميل والخادم باستخدام خوارزمية تشفير الكتل يحميها من التنصت والتلاعب . [ 4 ] [ 5 ] يتطلب جانب التوثيق في HTTPS وجود طرف ثالث موثوق به لتوقيع الشهادات الرقمية على جانب الخادم . تاريخيًا ، كانت هذه العملية مكلفة، مما يعني أن اتصالات HTTPS الموثقة بالكامل كانت تقتصر عادةً على خدمات معاملات الدفع الآمنة وأنظمة معلومات الشركات الآمنة الأخرى على شبكة الإنترنت العالمية . في عام 2016، أدت حملة أطلقتها مؤسسة الحدود الإلكترونية بدعم من مطوري متصفحات الويب إلى انتشار البروتوكول على نطاق أوسع. [ 6 ] ومنذ عام 2018 [ 7 ] ، أصبح HTTPS أكثر استخدامًا من قِبل مستخدمي الإنترنت مقارنةً ببروتوكول HTTP غير الآمن، وذلك بشكل أساسي لحماية مصداقية الصفحات على جميع أنواع المواقع الإلكترونية، وتأمين الحسابات، والحفاظ على خصوصية اتصالات المستخدم وهويته وتصفحه للويب.

ملخص

عنوان URL يبدأ ببروتوكول HTTPS واسم نطاق WWW

يستخدم بروتوكول HTTPS، وهو نظام مُعرّف الموارد الموحد ( URI)، نفس صيغة استخدام بروتوكول HTTP. مع ذلك، يُشير HTTPS إلى المتصفح لاستخدام طبقة تشفير إضافية من نوع SSL/TLS لحماية البيانات. يُعدّ SSL/TLS مناسبًا بشكل خاص لبروتوكول HTTP، إذ يُمكنه توفير بعض الحماية حتى في حال مصادقة طرف واحد فقط من الاتصال . هذا هو الحال مع معاملات HTTP عبر الإنترنت، حيث تتم مصادقة الخادم فقط عادةً (عن طريق فحص العميل لشهادة الخادم ).

يُنشئ بروتوكول HTTPS قناة اتصال آمنة عبر شبكة غير آمنة. وهذا يضمن حماية معقولة من المتنصتين وهجمات الوسيط ، شريطة استخدام مجموعات تشفير مناسبة والتحقق من شهادة الخادم والتأكد من موثوقيتها.

نظرًا لأن بروتوكول HTTPS يعتمد كليًا على بروتوكول TLS، فإنه يُمكن تشفير كامل بروتوكول HTTP الأساسي. يشمل ذلك عنوان URL للطلب ، ومعلمات الاستعلام، والعناوين، وملفات تعريف الارتباط (التي غالبًا ما تحتوي على معلومات تعريفية عن المستخدم). مع ذلك، ولأن عناوين مواقع الويب وأرقام المنافذ تُعد جزءًا لا يتجزأ من بروتوكولات TCP/IP الأساسية ، فإن HTTPS لا يُمكنه حماية هذه المعلومات من الكشف. عمليًا، هذا يعني أنه حتى على خادم ويب مُهيأ بشكل صحيح، يُمكن للمتطفلين استنتاج عنوان IP ورقم منفذ خادم الويب، وأحيانًا حتى اسم النطاق (مثل www.example.org، ولكن ليس باقي عنوان URL) الذي يتواصل معه المستخدم، بالإضافة إلى حجم البيانات المنقولة ومدة الاتصال، ولكن ليس محتوى الاتصال. [ 4 ]

تستطيع متصفحات الويب الوثوق بمواقع HTTPS استنادًا إلى جهات إصدار الشهادات المثبتة مسبقًا في برامجها. وبهذه الطريقة، يثق مطورو متصفحات الويب بجهات إصدار الشهادات لتقديم شهادات صالحة. لذا، ينبغي للمستخدم أن يثق باتصال HTTPS بموقع ويب عندما تتحقق جميع الشروط التالية:

  • يثق المستخدم في أن جهازه، الذي يستضيف المتصفح وطريقة الحصول على المتصفح نفسه، غير مخترق (أي لا يوجد هجوم على سلسلة التوريد ).
  • يثق المستخدم في أن برنامج المتصفح ينفذ بروتوكول HTTPS بشكل صحيح مع جهات إصدار الشهادات المثبتة مسبقًا بشكل صحيح.
  • يثق المستخدم في سلطة إصدار الشهادات للتأكد من أن المواقع الإلكترونية شرعية فقط (أي أن سلطة إصدار الشهادات غير مخترقة ولا يوجد إصدار خاطئ للشهادات).
  • يقدم الموقع الإلكتروني شهادة صالحة، مما يعني أنها موقعة من قبل جهة موثوقة.
  • The certificate correctly identifies the website (e.g., when the browser visits "https://example.com", the received certificate is properly for "example.com" and not some other entity).
  • The user trusts that the protocol's encryption layer (SSL/TLS) is sufficiently secure against eavesdroppers.

HTTPS is especially important over insecure networks and networks that may be subject to tampering. Insecure networks, such as public Wi-Fi access points, allow anyone on the same local network to packet-sniff and discover sensitive information not protected by HTTPS. Additionally, some free-to-use and paid WLAN networks have been observed tampering with webpages by engaging in packet injection in order to serve their own ads on other websites. This practice can be exploited maliciously in many ways, such as by injecting malware onto webpages and stealing users' private information.[8]

HTTPS is also important for connections over the Tor network, as malicious Tor nodes could otherwise damage or alter the contents passing through them in an insecure fashion and inject malware into the connection. This is one reason why the Electronic Frontier Foundation and the Tor Project started the development of HTTPS Everywhere,[4] which is included in Tor Browser.[9]

As more information is revealed about global mass surveillance and criminals stealing personal information, the use of HTTPS security on all websites is becoming increasingly important regardless of the type of Internet connection being used.[10][11] Even though metadata about individual pages that a user visits might not be considered sensitive, when aggregated it can reveal a lot about the user and compromise the user's privacy.[12][13][14]

Deploying HTTPS also allows the use of HTTP/2 and HTTP/3 (and their predecessors SPDY and QUIC), which are new HTTP versions designed to reduce page load times, size, and latency.

It is recommended to use HTTP Strict Transport Security (HSTS) with HTTPS to protect users from man-in-the-middle attacks, especially SSL stripping.[14][15]

لا ينبغي الخلط بين HTTPS و Secure HTTP (S-HTTP) الذي نادراً ما يتم استخدامه والمحدد في RFC 2660.

الاستخدام في مواقع الويب

اعتبارًا من أبريل 2018 تستخدم 33.2% من أفضل مليون موقع ويب على تصنيف أليكسا بروتوكول HTTPS كبروتوكول افتراضي [ 16 ] ، كما أن 70% من عمليات تحميل الصفحات (التي تم قياسها بواسطة أداة قياس أداء متصفح فايرفوكس) تستخدم بروتوكول HTTPS. [ 17 ] اعتبارًا من يونيو 2025 [ 18 ] 71.2% من مواقع الإنترنت الأكثر شعبية، والبالغ عددها 150,000 موقع، تستخدم بروتوكول HTTPS بشكل آمن (مقارنةً بـ 58.4% في ديسمبر 2022). ومع ذلك، ورغم إصدار بروتوكول TLS 1.3 في عام 2018، كان تبنيه بطيئًا، حيث لا يزال العديد من المواقع يستخدم بروتوكول TLS 1.2 الأقدم. [ 19 ]

تكامل المتصفح

تعرض معظم المتصفحات تحذيرًا عند تلقيها شهادة غير صالحة. في المتصفحات القديمة، عند الاتصال بموقع بشهادة غير صالحة، كان يظهر للمستخدم مربع حوار يسأله عما إذا كان يرغب في المتابعة. أما المتصفحات الحديثة، فتعرض التحذير في كامل نافذة المتصفح. كما تعرض هذه المتصفحات معلومات أمان الموقع بشكل بارز في شريط العنوان . وتُظهر شهادات التحقق الموسع الكيان القانوني في معلومات الشهادة. كذلك، تعرض معظم المتصفحات تحذيرًا للمستخدم عند زيارة موقع يحتوي على محتوى مشفر وغير مشفر. بالإضافة إلى ذلك، تُصدر العديد من مرشحات الويب تحذيرًا أمنيًا عند زيارة مواقع الويب المحظورة.

قامت مؤسسة الحدود الإلكترونية ، التي ترى أنه "في عالم مثالي، يمكن توجيه جميع طلبات الويب افتراضيًا إلى بروتوكول HTTPS"، بتوفير إضافة تُسمى HTTPS Everywhere لمتصفحات Mozilla Firefox و Google Chrome و Chromium و Android ، والتي تُفعّل بروتوكول HTTPS افتراضيًا لمئات المواقع الإلكترونية شائعة الاستخدام. [ 20 ] [ 21 ]

Forcing a web browser to load only HTTPS content has been supported in Firefox starting in version 83.[22] Starting in version 94, Google Chrome is able to "always use secure connections" if toggled in the browser's settings.[23][24] Prior to version 117, Google Chrome displayed a lock icon in the address bar, which has since been replaced by a "tune" icon.[25] Many users believe that a lock icon implies a website is safe, ignoring other security concerns.[26]

Security

The security of HTTPS is that of the underlying TLS, which typically uses long-term public and private keys to generate a short-term session key, which is then used to encrypt the data flow between the client and the server. X.509 certificates are used to authenticate the server (and sometimes the client as well). As a consequence, certificate authorities and public key certificates are necessary to verify the relation between the certificate and its owner, as well as to generate, sign, and administer the validity of certificates. While this can be more beneficial than verifying the identities via a web of trust, the 2013 mass surveillance disclosures drew attention to certificate authorities as a potential weak point allowing man-in-the-middle attacks.[27][28] An important property in this context is forward secrecy, which ensures that encrypted communications recorded in the past cannot be retrieved and decrypted should long-term secret keys or passwords be compromised in the future. Not all web servers provide forward secrecy.[29]

For HTTPS to be effective, a site must be completely hosted over HTTPS. If some of the site's contents are loaded over HTTP (scripts or images, for example), or if only a certain page that contains sensitive information, such as a log-in page, is loaded over HTTPS while the rest of the site is loaded over plain HTTP, the user will be vulnerable to attacks and surveillance. Additionally, cookies on a site served through HTTPS must have the secure attribute enabled. On a site that has sensitive information on it, the user and the session will get exposed every time that site is accessed with HTTP instead of HTTPS.[14]

Technical

Difference from HTTP

تبدأ عناوين URL الخاصة بـ HTTPS بـ "https://" وتستخدم المنفذ 443 افتراضيًا، بينما تبدأ عناوين URL الخاصة بـ HTTP بـ "http://" وتستخدم المنفذ 80 افتراضيًا.

بروتوكول HTTP غير مشفر، وبالتالي فهو عرضة لهجمات الوسيط والتنصت ، مما يسمح للمهاجمين بالوصول إلى حسابات المواقع الإلكترونية والمعلومات الحساسة، وتعديل صفحات الويب لحقن برامج ضارة أو إعلانات. أما بروتوكول HTTPS فهو مصمم لمقاومة هذه الهجمات ويُعتبر آمناً ضدها (باستثناء تطبيقات HTTPS التي تستخدم إصدارات قديمة من بروتوكول SSL).

طبقات الشبكة

يعمل بروتوكول HTTP في أعلى طبقة من نموذج TCP/IP ، وهي طبقة التطبيقات ؛ وكذلك بروتوكول أمان TLS (الذي يعمل كطبقة فرعية أدنى من نفس الطبقة)، حيث يقوم بتشفير رسالة HTTP قبل إرسالها وفك تشفيرها عند وصولها. وبالمعنى الدقيق، فإن HTTPS ليس بروتوكولاً منفصلاً، بل يشير إلى استخدام HTTP العادي عبر اتصال SSL/TLS مشفر .

يقوم بروتوكول HTTPS بتشفير جميع محتويات الرسائل، بما في ذلك رؤوس HTTP وبيانات الطلب/الاستجابة. وباستثناء هجوم التشفير CCA المحتمل الموضح في قسم القيود أدناه، لا يستطيع المهاجم في أقصى الأحوال اكتشاف وجود اتصال بين طرفين، بالإضافة إلى أسماء نطاقاتهما وعناوين IP الخاصة بهما.

إعداد الخادم

لإعداد خادم ويب لقبول اتصالات HTTPS، يجب على المسؤول إنشاء شهادة مفتاح عام خاصة به . يجب أن تكون هذه الشهادة موقعة من جهة إصدار شهادات موثوقة حتى يقبلها متصفح الويب دون أي تحذير. تُثبت هذه الجهة أن حامل الشهادة هو مُشغّل خادم الويب الذي يُقدّمها. عادةً ما تُوزّع متصفحات الويب مع قائمة بشهادات التوقيع الصادرة عن جهات إصدار الشهادات الرئيسية، وذلك لتمكينها من التحقق من صحة الشهادات الموقعة من قِبلها.

الحصول على الشهادات

يوجد عدد من هيئات إصدار الشهادات التجارية التي تقدم شهادات SSL/TLS مدفوعة الأجر من أنواع عديدة، بما في ذلك شهادات التحقق الموسع .

Let's Encrypt, launched in April 2016,[30] provides free and automated service that delivers basic SSL/TLS certificates to websites.[31] According to the Electronic Frontier Foundation, Let's Encrypt will make switching from HTTP to HTTPS "as easy as issuing one command, or clicking one button."[32] The majority of web hosts and cloud providers now leverage Let's Encrypt, providing free certificates to their customers.

Use as access control

The system can also be used for client authentication in order to limit access to a web server to authorized users. To do this, the site administrator typically creates a certificate for each user, which the user loads into their browser. Normally, the certificate contains the name and e-mail address of the authorized user and is automatically checked by the server on each connection to verify the user's identity, potentially without even requiring a password.

In case of compromised secret (private) key

An important property in this context is perfect forward secrecy (PFS). Possessing one of the long-term asymmetric secret keys used to establish an HTTPS session should not make it easier to derive the short-term session key to then decrypt the conversation, even at a later time. Diffie–Hellman key exchange (DHE) and Elliptic-curve Diffie–Hellman key exchange (ECDHE) are in 2013 the only schemes known to have that property. In 2013, only 30% of Firefox, Opera, and Chromium Browser sessions used it, and nearly 0% of Apple's Safari and Microsoft Internet Explorer sessions.[29] TLS 1.3, published in August 2018, dropped support for ciphers without forward secrecy. As of February 2019, 96.6% of web servers surveyed support some form of forward secrecy, and 52.1% will use forward secrecy with most browsers.[33]As of July 2023, 99.6% of web servers surveyed support some form of forward secrecy, and 75.2% will use forward secrecy with most browsers.[34]

Certificate revocation

قد يتم إلغاء الشهادة قبل انتهاء صلاحيتها، على سبيل المثال بسبب اختراق سرية المفتاح الخاص. تُطبّق الإصدارات الأحدث من المتصفحات الشائعة مثل فايرفوكس [ 35 ] ، وأوبرا [ 36 ] ، وإنترنت إكسبلورر على نظام ويندوز فيستا [ 37 ] بروتوكول حالة الشهادة عبر الإنترنت (OCSP) للتحقق من عدم حدوث ذلك. يُرسل المتصفح الرقم التسلسلي للشهادة إلى جهة إصدار الشهادات أو من ينوب عنها عبر بروتوكول OCSP، وتستجيب الجهة المُصدرة للشهادة مُخبرةً المتصفح ما إذا كانت الشهادة لا تزال صالحة أم لا. [ 38 ] قد تُصدر جهة إصدار الشهادات أيضًا قائمة إبطال الشهادات (CRL) لإبلاغ المستخدمين بإلغاء هذه الشهادات. لم يعد منتدى جهات إصدار الشهادات/المتصفحات يُلزم بإصدار قوائم إبطال الشهادات [ 39 ].ومع ذلك، لا تزال تستخدم على نطاق واسع من قبل هيئات إصدار الشهادات. تختفي معظم حالات الإلغاء على الإنترنت بعد فترة وجيزة من انتهاء صلاحية الشهادات. [ 40 ]

القيود

يمكن تهيئة تشفير SSL (طبقة المقابس الآمنة) وTLS (أمان طبقة النقل) في وضعين: بسيط ومتبادل . في الوضع البسيط، تتم المصادقة من قِبل الخادم فقط. أما في الوضع المتبادل، فيُطلب من المستخدم تثبيت شهادة عميل شخصية في متصفح الويب للمصادقة. [ 41 ] في كلتا الحالتين، يعتمد مستوى الحماية على صحة تنفيذ البرنامج وخوارزميات التشفير المستخدمة. [ 42 ]

لا يمنع بروتوكول SSL/TLS فهرسة الموقع بواسطة برامج زحف الويب ، وفي بعض الحالات، يمكن استنتاج عنوان URI للمورد المشفر بمعرفة حجم الطلب/الاستجابة المُعترضة فقط. [ 43 ] وهذا يسمح للمهاجم بالوصول إلى النص الأصلي (المحتوى الثابت المتاح للعامة)، والنص المشفر (النسخة المشفرة من المحتوى الثابت)، مما يتيح شن هجوم تشفيري . [ 44 ] [ 45 ]

نظرًا لأن بروتوكول TLS يعمل على مستوى أدنى من بروتوكول HTTP ولا يمتلك معرفة بالبروتوكولات ذات المستوى الأعلى، فإن خوادم TLS لا يمكنها تقديم سوى شهادة واحدة لكل عنوان ومنفذ محددين. [ 46 ] في السابق، كان هذا يعني عدم إمكانية استخدام الاستضافة الافتراضية القائمة على الاسم مع HTTPS. يوجد حل يُسمى مؤشر اسم الخادم (SNI)، والذي يرسل اسم المضيف إلى الخادم قبل تشفير الاتصال، على الرغم من أن المتصفحات القديمة لا تدعم هذه الميزة. يتوفر دعم SNI منذ Firefox 2 و Opera 8 و Apple Safari 2.1 و Google Chrome 6 و Internet Explorer 7 على نظام Windows Vista . [ 47 ] [ 48 ] [ 49 ]

عُرض نوعٌ متطور من هجمات الوسيط ، يُعرف باسم "تجريد SSL"، في مؤتمر بلاك هات عام 2009. يستغل هذا النوع من الهجمات ثغرة الأمان التي يوفرها بروتوكول HTTPS، وذلك بتحويل https:الرابط إلى http:رابط عادي، مستفيدًا من حقيقة أن قلة من مستخدمي الإنترنت يكتبون "https" في متصفحاتهم: فهم يصلون إلى موقع آمن بالنقر على رابط عادي، وبالتالي يُخدعون للاعتقاد بأنهم يستخدمون HTTPS بينما هم في الواقع يستخدمون HTTP. بعد ذلك، يتواصل المهاجم مع العميل بشكل واضح. [ 50 ] وقد حفّز هذا الأمر تطوير إجراء مضاد في بروتوكول HTTP يُسمى " أمان النقل الصارم لبروتوكول HTTP" .

ثبت أن بروتوكول HTTPS عرضة لمجموعة من هجمات تحليل حركة البيانات . تُعدّ هجمات تحليل حركة البيانات نوعًا من هجمات القنوات الجانبية التي تعتمد على التغيرات في توقيت وحجم حركة البيانات لاستنتاج خصائص حول حركة البيانات المشفرة نفسها. يُمكن تحليل حركة البيانات لأن تشفير SSL/TLS يُغيّر محتوى حركة البيانات، لكن تأثيره ضئيل على حجمها وتوقيتها. في مايو 2010، كشفت ورقة بحثية أجراها باحثون من مايكروسوفت للأبحاث وجامعة إنديانا أنه يُمكن استنتاج بيانات حساسة ومفصلة للمستخدم من قنوات جانبية مثل أحجام الحزم. ووجد الباحثون أنه على الرغم من حماية HTTPS في العديد من تطبيقات الويب البارزة والمتطورة في مجالات الرعاية الصحية والضرائب والاستثمار والبحث على الإنترنت، إلا أنه يُمكن للمتطفل استنتاج أمراض المستخدم وأدويته وعملياته الجراحية، ودخل أسرته، وأسراره الاستثمارية. [ 51 ]

إن استخدام معظم المواقع الإلكترونية الحديثة، بما فيها جوجل وياهو وأمازون، لبروتوكول HTTPS يُسبب مشاكل للعديد من المستخدمين الذين يحاولون الوصول إلى نقاط اتصال Wi-Fi العامة، إذ لا يتم تحميل صفحة تسجيل الدخول الخاصة بنقطة اتصال Wi-Fi إذا حاول المستخدم فتح مورد HTTPS. [ 52 ] وتضمن بعض المواقع، مثل NoSSL.sh ، إمكانية الوصول إليها دائمًا عبر HTTP . [ 53 ]

تاريخ

أنشأت شركة نتسكيب كوميونيكيشنز بروتوكول HTTPS عام 1994 لمتصفحها نتسكيب نافيغيتور . [ 54 ] في البداية، استُخدم HTTPS مع بروتوكول SSL . [ 55 ] طُوّر بروتوكول SSL الأصلي على يد طاهر الجمال ، كبير العلماء في نتسكيب كوميونيكيشنز . [ 56 ] [ 57 ] [ 58 ] مع تطور SSL إلى بروتوكول أمان طبقة النقل (TLS)، تم تحديد HTTPS رسميًا بموجب RFC 2818 [ 59 ] في مايو 2000. أعلنت جوجل في فبراير 2018 أن متصفحها كروم سيصنف مواقع HTTP على أنها "غير آمنة" بعد يوليو 2018. [ 55 ] جاءت هذه الخطوة لتشجيع أصحاب المواقع الإلكترونية على تطبيق HTTPS، في محاولة لجعل شبكة الإنترنت العالمية أكثر أمانًا.

انظر أيضاً

مراجع

  1. "تأمين موقعك باستخدام HTTPS" . دعم جوجل . شركة جوجل. مؤرشف من الأصل بتاريخ 1 مارس 2015. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  2. "ما هو HTTPS؟" . شركة كومودو المحدودة . مؤرشف من الأصل بتاريخ 12 فبراير 2015. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018. بروتوكول نقل النص التشعبي الآمن (HTTPS) هو النسخة الآمنة من بروتوكول HTTP [...]
  3. "مخطط URI لبروتوكول HTTPS" . دلالات HTTP . IETF . يونيو 2022. القسم 4.2.2. doi : 10.17487/RFC9110 . RFC 9110 . 
  4. ١ ٢ ٣ "أسئلة وأجوبة حول بروتوكول HTTPS Everywhere" . ٨ نوفمبر ٢٠١٦. مؤرشف من الأصل بتاريخ ١٤ نوفمبر ٢٠١٨. تم الاطلاع عليه بتاريخ ٢٠ أكتوبر ٢٠١٨ .
  5. "Usage Statistics of Default protocol https for Websites, July 2019". w3techs.com. Archived from the original on 2019-08-01. Retrieved 2019-07-20.
  6. "Encrypting the Web". Electronic Frontier Foundation. Archived from the original on 2019-11-18. Retrieved 2019-11-19.
  7. "Majority of the world's top million websites now use HTTPS". welivesecurity.com. Retrieved 2025-05-22.
  8. "Hotel Wifi JavaScript Injection". JustInsomnia. 2012-04-03. Archived from the original on 2018-11-18. Retrieved 2018-10-20.
  9. The Tor Project, Inc. "What is Tor Browser?". TorProject.org. Retrieved 2012-05-30.{{cite web}}: CS1 maint: deprecated archival service (link)
  10. Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (2014-11-13). "Embracing HTTPS". The New York Times. Archived from the original on 2019-01-08. Retrieved 2018-10-20.
  11. Gallagher, Kevin (2014-09-12). "Fifteen Months After the NSA Revelations, Why Aren't More News Organizations Using HTTPS?". Freedom of the Press Foundation. Archived from the original on 2018-08-10. Retrieved 2018-10-20.
  12. "HTTPS as a ranking signal". Google Webmaster Central Blog. Google Inc. 2014-08-06. Archived from the original on 2018-10-17. Retrieved 2018-10-20. You can make your site secure with HTTPS (Hypertext Transfer Protocol Secure) [...]
  13. Grigorik, Ilya; Far, Pierre (2014-06-26). "Google I/O 2014 - HTTPS Everywhere". Google Developers. Archived from the original on 2018-11-20. Retrieved 2018-10-20.
  14. 123"How to Deploy HTTPS Correctly". 2010-11-15. Archived from the original on 2018-10-10. Retrieved 2018-10-20.
  15. "HTTP Strict Transport Security". Mozilla Developer Network. Archived from the original on 2018-10-19. Retrieved 2018-10-20.
  16. "إحصائيات استخدام بروتوكول HTTPS على أفضل مليون موقع إلكتروني" . StatOperator.com . مؤرشف من الأصل بتاريخ 9 فبراير 2019. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  17. "إحصائيات Let's Encrypt" . LetsEncrypt.org . مؤرشف من الأصل بتاريخ 19-10-2018 . تم الاطلاع عليه بتاريخ 20-10-2018 .
  18. "Qualys SSL Labs - SSL Pulse" . www.ssllabs.com . 2025-06-02. مؤرشف من الأصل بتاريخ 2022-12-07 . تم الاطلاع عليه بتاريخ 2022-12-07 ..
  19. "بروتوكول TLS 1.3: بطء تبني تشفير ويب أقوى يُمكّن المخترقين" . هيلب نت سكيورتي . 6 أبريل 2020. مؤرشف من الأصل في 24 مايو 2022. تم الاطلاع عليه في 23 مايو 2022 .
  20. إيكرسلي، بيتر (17 يونيو 2010). "تشفير الويب باستخدام إضافة HTTPS Everywhere لمتصفح فايرفوكس" . مدونة مؤسسة الحدود الإلكترونية . مؤرشف من الأصل بتاريخ 25 نوفمبر 2018. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  21. "HTTPS Everywhere" . مشاريع EFF . 2011-10-07. مؤرشف من الأصل في 2011-06-05 . تم الاطلاع عليه في 2018-10-20 .
  22. "وضع HTTPS فقط في فايرفوكس" . مؤرشف من الأصل بتاريخ 12 نوفمبر 2021. تم الاطلاع عليه بتاريخ 12 نوفمبر 2021 .
  23. "إدارة أمان وسلامة متصفح كروم - أندرويد - مساعدة جوجل كروم" . support.google.com . مؤرشف من الأصل بتاريخ 7 مارس 2022. تم الاطلاع عليه بتاريخ 7 مارس 2022 .
  24. إسوارلو، فينكات (19 يوليو 2021). "تجربة عملية لوضع HTTPS-First في متصفح كروم" . Techdows . مؤرشف من الأصل بتاريخ 7 مارس 2022. تم الاطلاع عليه بتاريخ 7 مارس 2022 .
  25. كرين، كيسي. "جوجل ستستبدل أيقونة القفل في كروم الإصدار 117" . هاشد آوت . متجر SSL . تم الاسترجاع في 5 مايو 2026 .
  26. روتي، سكوت؛ مونسون، تايلر؛ وو، جوسين؛ زابالا، دانيال؛ سيمونز، كينت (12 يوليو 2017). "موازنة السياق والمفاضلات: كيف اختار البالغون في الضواحي وضعهم الأمني ​​على الإنترنت" . الندوة الثالثة عشرة حول الخصوصية والأمان القابلين للاستخدام (SOUPS 2017) : 211-228 . تاريخ الاسترجاع: 5 مايو 2026 .
  27. سينجل، رايان (24 مارس 2010). "جهاز إنفاذ القانون يُخِلّ ببروتوكول SSL" . مجلة وايرد . مؤرشف من الأصل بتاريخ 17 يناير 2019. تاريخ الاسترجاع: 20 أكتوبر 2018 .
  28. شون، سيث (24 مارس 2010). "بحث جديد يشير إلى أن الحكومات قد تزور شهادات SSL" . مؤسسة الحدود الإلكترونية . مؤرشف من الأصل في 4 يناير 2016. تم الاطلاع عليه في 20 أكتوبر 2018 .
  29. 1 2 دنكان، روبرت (25-06-2013). "SSL: اعتراض اليوم، فك التشفير غدًا" . نتكرافت . مؤرشف من الأصل في 06-10-2018 . تم الاسترجاع في 20-10-2018 .
  30. سيمبانو، كاتالين (12 أبريل 2016). "أُطلقت خدمة Let's Encrypt اليوم، وهي تحمي حاليًا 3.8 مليون نطاق" . أخبار Softpedia. مؤرشف من الأصل في 9 فبراير 2019. تم الاطلاع عليه في 20 أكتوبر 2018 .
  31. كيرنر، شون مايكل (18 نوفمبر 2014). "جهود مبادرة التشفير تهدف إلى تحسين أمن الإنترنت" . eWeek.com . كوين ستريت إنتربرايز. مؤرشف من الأصل بتاريخ 2 أبريل 2023. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  32. إيكرسلي، بيتر (18 نوفمبر 2014). "إطلاق في عام 2015: هيئة إصدار شهادات لتشفير شبكة الإنترنت بأكملها" . مؤسسة الحدود الإلكترونية . مؤرشف من الأصل في 18 نوفمبر 2018. تم الاطلاع عليه في 20 أكتوبر 2018 .
  33. مختبرات Qualys SSL . "نبض SSL" . مؤرشف من الأصل (3 فبراير 2019) بتاريخ 15 فبراير 2019. تم الاطلاع عليه بتاريخ 25 فبراير 2019 .
  34. "Qualys SSL Labs - SSL Pulse" . www.ssllabs.com . تم الاطلاع عليه بتاريخ 4 سبتمبر 2023 .
  35. "سياسة خصوصية موزيلا فايرفوكس" . مؤسسة موزيلا . 27 أبريل 2009. مؤرشف من الأصل في 18 أكتوبر 2018. تم الاطلاع عليه في 20 أكتوبر 2018 .
  36. "إطلاق أوبرا 8 على بروتوكول نقل الملفات" . سوفتبيديا . 19 أبريل 2005. مؤرشف من الأصل في 9 فبراير 2019. تم الاطلاع عليه في 20 أكتوبر 2018 .
  37. لورانس، إريك (31 يناير 2006). "تحسينات أمان HTTPS في إنترنت إكسبلورر 7" . مستندات مايكروسوفت . مؤرشف من الأصل في 24 أكتوبر 2021. تم الاطلاع عليه في 24 أكتوبر 2021 .
  38. مايرز، مايكل؛ أنكني، ريتش؛ مالباني، أمباريش؛ غالبرين، سلافا؛ آدامز، كارلايل (20 يونيو 1999). "بروتوكول حالة الشهادة عبر الإنترنت - OCSP" . فريق عمل هندسة الإنترنت . doi : 10.17487/RFC2560 . مؤرشف من الأصل في 25 أغسطس 2011. تم الاطلاع عليه في 20 أكتوبر 2018 .
  39. "المتطلبات الأساسية" . منتدى CAB. 4 سبتمبر 2013. مؤرشف من الأصل في 20 أكتوبر 2014. تم الاطلاع عليه في 1 نوفمبر 2021 .
  40. كورزيتسكي، ن.؛ كارلسون، ن. (30-03-2021). "حالات الإلغاء على الإنترنت". القياس السلبي والفعال . سلسلة محاضرات في علوم الحاسوب. المجلد 12671. الصفحات 175-191 . arXiv : 2102.04288 . doi : 10.1007/978-3-030-72582-2_11 . ISBN   978-3-030-72581-5.
  41. "إدارة شهادات العميل على أجهزة Chrome - مساعدة Chrome للأعمال والتعليم" . support.google.com . مؤرشف من الأصل بتاريخ 9 فبراير 2019. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  42. "التشفير العملي" . شناير حول الأمن . ISBN 0471223573تم الاطلاع عليه بتاريخ 14 أبريل 2026 .
  43. بوسيب، ستانيسلاف (31 يوليو 2008). "ذا بايرت باي بدون تشفير SSL" (ملف PDF) . مؤرشف (PDF) من الأصل بتاريخ 20 يونيو 2018. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  44. ريسكورلا، إريك (أغسطس 2018). بروتوكول أمان طبقة النقل (TLS) الإصدار 1.3 (تقرير). فريق عمل هندسة الإنترنت.
  45. ^ بانتشينكو، أندريه؛ لانزي، فابيان؛ زينين، أندرياس. هينز، مارتن؛ بينيكامب، يناير؛ ويرل، كلاوس. إنجل ، توماس (23/02/2016). "بصمات مواقع الويب على نطاق الإنترنت" . المؤتمر: ندوة أمن الشبكات والأنظمة الموزعة . دوى : 10.14722/ndss.2016.23477 .
  46. "التشفير القوي SSL/TLS: الأسئلة الشائعة" . apache.org . مؤرشف من الأصل بتاريخ 19-10-2018 . تم الاطلاع عليه بتاريخ 20-10-2018 .
  47. لورانس، إريك (22 أكتوبر 2005). "تحسينات HTTPS القادمة في الإصدار التجريبي الثاني من إنترنت إكسبلورر 7" . مايكروسوفت . مؤرشف من الأصل في 20 سبتمبر 2018. تم الاطلاع عليه في 20 أكتوبر 2018 .
  48. "مؤشر اسم الخادم (SNI)" . داخل رأس إبراهيم . 21-02-2006. مؤرشف من الأصل في 10-08-2018 . تم الاسترجاع في 20-10-2018 .
  49. بيير، جوليان (19 ديسمبر 2001). "دعم المتصفح لبيان اسم خادم TLS" . Bugzilla . مؤسسة موزيلا. مؤرشف من الأصل في 8 أكتوبر 2018. تم الاطلاع عليه في 20 أكتوبر 2018 .
  50. "sslstrip 0.9" . مؤرشف من الأصل بتاريخ 20 يونيو 2018. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  51. شوو تشن؛ روي وانغ؛ شياو فنغ وانغ؛ كيهوان تشانغ (20 مايو 2010). "تسريبات القنوات الجانبية في تطبيقات الويب: واقع اليوم، وتحدٍّ غدًا" . أبحاث مايكروسوفت . ندوة IEEE للأمن والخصوصية 2010. مؤرشف من الأصل في 22 يوليو 2018. تم الاطلاع عليه في 20 أكتوبر 2018 .
  52. غواي، ماثيو (21-09-2017). "كيفية إجبار صفحة تسجيل الدخول لشبكة واي فاي عامة على الفتح" . مؤرشف من الأصل بتاريخ 10-08-2018 . تم الاطلاع عليه بتاريخ 20-10-2018 .
  53. "إخلاء مسؤولية خاص بموقع nossl.sh (يدعم HTTP فقط)" . nossl.sh . تم الاطلاع عليه بتاريخ 18-12-2025 .
  54. وولس، كولين (2005). البرمجيات المدمجة: الأعمال الكاملة . نيونس. ص 344. ISBN  0-7506-7954-9أُرشف من المصدر الأصلي بتاريخ 9 فبراير 2019. تم الاطلاع عليه بتاريخ 20 أكتوبر 2018 .
  55. ١ ٢ "الويب الآمن باقٍ" . مدونة كروميوم . مؤرشف من الأصل بتاريخ ٢٤ أبريل ٢٠١٩. تم الاطلاع عليه بتاريخ ٢٢ أبريل ٢٠١٩ .
  56. ميسمر، إيلين. "أبو بروتوكول SSL، الدكتور طاهر الجمال، يجد مشاريع تقنية معلومات سريعة التطور في الشرق الأوسط" . عالم الشبكات . مؤرشف من الأصل بتاريخ 31 مايو 2014. تم الاطلاع عليه بتاريخ 30 مايو 2014 .
  57. غرين، تيم. "أبو بروتوكول SSL يقول إنه على الرغم من الهجمات، فإن حجر الزاوية في الأمن لا يزال يتمتع بعمر طويل" . عالم الشبكات . مؤرشف من الأصل في 31 مايو 2014. تم الاسترجاع في 30 مايو 2014 .
  58. أوبليجر، رولف (2016). "مقدمة" . SSL وTLS: النظرية والتطبيق (الطبعة الثانية ). دار أرتيك هاوس . ص 13. ISBN   978-1-60807-999-5. Retrieved 2018-03-01 via Google Books.
  59. Rescorla, Eric (May 2000). HTTP Over TLS (Report). Internet Engineering Task Force.
  • RFC 8446: The Transport Layer Security (TLS) Protocol Version 1.3