هر روز به تعداد صفحاتی که توسط مروگر گوگل کروم به عنوان صفحات ناامن معرفی میشوند، اضافه میشود. همه وب مسترها باید با قوانین و قواعد جدید گوگل آشنایی داشته باشد تا از نظر امنیتی وب سایت شان برچسب ضعیف و یا خطرناک نخورد! در همین راستا، در این ترفند قصد داریم به 5 نکته ی مهم در مورد پروتکل امن HTTPS اشاره کنیم که با استفاده از آنها میتوانید تأیید امنیتی گوگل برای وب سایتتان را در آینده به دست آورید. با سکان آکادمی همراه باشید.
اگر بخواهیم تعریفی خیلی خلاصه از HTTPS ارائه کنیم، بایستی بگوییم که HTTPS پروتکلی همچون HTTP است که از آن طریق داده ها در بستر اینترنت رد و بدل می شوند با این تفاوت که HTTPS ایمن است (حرف S پایانی مخفف واژه ی Secure به معنی «ایمن» است.)
گوگل ترجیح میدهد اتصال میان کروم و وب سایتها کاملاً ایمن و بدون هیچ ریسک و خطری باشد. اگر احیاناً شما یک وب مستر یا به زبان سادهتر یک مدیر وب سایت هستید، باید حتماً در مورد قوانین جدید امنیتی گوگل خبر داشته باشید چرا که گوگل به زودی قرار است معیارهای جدیدش برای امنیت وب سایت ها را به اجرا بگذارد (برای آشنایی بیشتر با این موضوع، به مقاله ی چرا گوگل از پروتکل HTTP در وب سایتها خوشش نمیآید؟ مراجعه نمایید.)
از آن زمان به بعد، وب سایتهایی جان سالم به در خواهند برد که صفحات دارای پسورد یا فیلدهای اتصال به درگاه بانک را با پروتکل HTTPS در دسترس کاربرانشان قرار دهند؛ بنابراین اگر هنوز این نوع صفحات را با پروتکل غیر رمزگذاری شده -یعنی HTTP- در معرض دید کاربرانتان قرار می دهید، احتمالاً در آیندهای نزدیک صفحات وب سایت شما برچسب «غیر ایمن» مگر آن که هر چه زودتر به حال آن فکری کنید.
با یک ترفند خیلی ساده به راحتی میتوانید متوجه شوید که آیا وب سایت شما از HTTPS پشتیبانی میکند یا خیر. برای این کار فقط کافی است یک صفحه را با کروم باز کنید و به نوار URL نگاهی بیندازید. یک علامت قفل مانند در کنار و سمت چپ آدرس وب سایتتان میبینید (گاهی هم به جای علامت قفل، یک علامت i برگرفته از Information به معنی اطلاعات قرار دارد.) این عبارت یا آیکون وضعیت امنیت وب سایت شما را نشان میدهد. روی این آیکون که کلیک کنید، یک منو نمایش داده میشود. از آن جا، گزینه Details به معنی «جزئیات» را انتخاب کنید تا اطلاعات بیشتری در مورد صفحه وب مد نظر به دست بیاورید. قفل سبز رنگی برای وب سایتهایی که از پروتکل HTTPS استفاده می کنند نمایش داده میشود.
آیکونی که سمت چپ آدرس وب سایت قرار دارد، در واقع نمایش دهنده این است که آیا وب سایت شما از اتصال ایمن (HTTPS) استفاده میکند یا خیر. بهطور کلی باید گفت که گوگل قصد دارد در دراز مدت کاری کند که همه ی وب سایتها HTTPS را پشتیبانی کنند؛ البته این طرح بسیار کلی است و فقط محدود به صفحات دارای فیلدهای رمزعبور یا پرداخت نمیشود.
برای این که اتصال میان سایت و مرورگرهای بازدید کننده را HTTPS کنید باید یک گواهینامه SSL برای وب سایتتان نصب کنید. احتمالاً این نکاتی که در ادامه در مورد استفاده از HTTPS گفته شده، برای این منظور به کارتان خواهد آمد.
پیش از هر چیز، شرکت میزبانی هاست وب سایت شما باید حتماً از HTTPS پشتیبانی کند؛ مثلاً Automattic که سایت wordpress.com را پشتیبانی میکند، در ماه آوریل 2016 گواهینامه ی SSL را برای مشتریانش پیاده سازی کرد. این کار طوری انجام شد که وب مسترها عملاً نیازی به انجام هیچ کاری نداشتند و فقط لازم بود که از wordpress.com برای هاست کردن وب سایت شان استفاده میکردند.
علاوه بر این، برخی شرکتهای هاستینگ خیلی راحت و به صورت رایگان گواهینامه نصب میکنند به طوری که استفاده از پروتکل اچ تی تی پی اس را به عنوان یک گزینه ی رایگان به مشتریان خود پیشنهاد میکنند.
پروژه Let’s Encrypt یک پروژه گروه تحقیقات غیرانتفاعی امنیتی اینترنت است که برای سایت هایی همچون یعنی Dreamhost، Squarespace و Wordpress گواهینامه ی SSL تعریف و تنظیم میکند (البته شرکتهای زیاد دیگری هم هستند که مراحلی ساده و آسان برای نصب گواهینامه دارند.)
مهمترین ویژگی Let’s Encrypt این است که سرویس گواهینامه های SSL آن رایگان هستند. با این حال برخی شرکتهای هاست وب سایت همچنان هزینههای قابل توجهی برای چنین گواهینامههایی دریافت میکنند. یعنی اگر قرار باشد سرویسهای امنیتی یا اعتبارسنجی دریافت کنید ممکن است مجبور شوید بابت آن هزینهای پرداخت کنید.
اگر از هاست اشتراکی استفاده میکنید میتوانید از ارتقا استفاده کنید
در مورد گواهینامهها باید توجه داشته باشید که ممکن است این گواهینامهها برای همه تنظیمات هاست قابل اجرا نباشند. مثلاً برخی اوقات یک تأمین کننده هاست وب سایت میتواند فقط SSL را در یک سرور اختصاصی پیشنهاد کند. به عبارت دیگر، ممکن است برای استفاده از پروتکل اچ تی تی پی اس، هزینههای هاستینگ شما افزایش پیدا کنند.
گاهی اوقات هم گواهینامه به درستی کارش را انجام میدهد ولی با مرورگرهای قدیمی مشکل پیدا میکند. مثلاً در مورد شرکت Dreamhost باید گفت که مشتری میتواند یک آدرس آی پی منحصر به فرد در کنار گواهینامه Let’s Encrypt به هاستش اضافه کند. این کار به کار باعث میشود که یک اتصال ایمن بتواند با نسخههای مختلف اینترنت اکسپلورر در ویندوز اکس پی و همچنین برخی دستگاههای اندروید قدیمی تر سازگاری داشته باشد.
بررسی لاگین و فرآیند بازرسی
بسیاری از وب سایتها برای ثبت نام، تجارت الکترونیک، ثبت نام در خبرنامه، رویدادها و ... به شرکتهای شخص ثالث وابسته هستند. بیشتر شرکتهای معتمد و معتبر این صفحات را با اتصال ایمن HTTPS در دسترس کاربران قرار می دهند. در چنین مواقعی، باید مطمئن شد شرکتی که با آن همکاری دارید حتماً به بازدید کنندگان شما همان اتصال ایمنی که مد نظر شما است را ارائه میدهد.
بعد از تغییر پروتکل از HTTP به HTTPS، لینکهای وب سایت را بررسی کنید
پس از اتمام کار حتماً وقت بگذارید و بررسی کنید و ببینید که آیا همه لینکهای وب سایتتان به درستی کار میکنند یا خیر. برای این کار فقط کافی است دستورالعملهای تأمین کننده هاست وب سایتتان را دنبال کنید تا مطمئن شوید تمام درخواستها برای دسترسی به یک صفحه ناامن -یعنی HTTP- بهطور خودکار به یک اتصال ایمن -HTTPS- منتقل میشود.
در ضمن توجه داشته باشید که اگر از سرویس Google Search Console استفاده می کنید، حتما باید سایت خود را این بار با آدرس تعریف کنید.
استفاده از HTTPS
مدت زمان کوتاهی تا اجرای قوانین سختگیرانهتر برای اتصالات ایمن HTTPS زمان باقی مانده است و این در حالی است از آن به بعد، صفحات ناامن با هشدار رو به رو خواهند شد. اگر قبلاً صفحات وب سایتتان را ایمن کردهاید، خیلی خوب است و احتمالاً مشکلی نخواهید داشت!
اگر بخواهیم تعریفی خیلی خلاصه از HTTPS ارائه کنیم، بایستی بگوییم که HTTPS پروتکلی همچون HTTP است که از آن طریق داده ها در بستر اینترنت رد و بدل می شوند با این تفاوت که HTTPS ایمن است (حرف S پایانی مخفف واژه ی Secure به معنی «ایمن» است.)
گوگل ترجیح میدهد اتصال میان کروم و وب سایتها کاملاً ایمن و بدون هیچ ریسک و خطری باشد. اگر احیاناً شما یک وب مستر یا به زبان سادهتر یک مدیر وب سایت هستید، باید حتماً در مورد قوانین جدید امنیتی گوگل خبر داشته باشید چرا که گوگل به زودی قرار است معیارهای جدیدش برای امنیت وب سایت ها را به اجرا بگذارد (برای آشنایی بیشتر با این موضوع، به مقاله ی چرا گوگل از پروتکل HTTP در وب سایتها خوشش نمیآید؟ مراجعه نمایید.)
از آن زمان به بعد، وب سایتهایی جان سالم به در خواهند برد که صفحات دارای پسورد یا فیلدهای اتصال به درگاه بانک را با پروتکل HTTPS در دسترس کاربرانشان قرار دهند؛ بنابراین اگر هنوز این نوع صفحات را با پروتکل غیر رمزگذاری شده -یعنی HTTP- در معرض دید کاربرانتان قرار می دهید، احتمالاً در آیندهای نزدیک صفحات وب سایت شما برچسب «غیر ایمن» مگر آن که هر چه زودتر به حال آن فکری کنید.
با یک ترفند خیلی ساده به راحتی میتوانید متوجه شوید که آیا وب سایت شما از HTTPS پشتیبانی میکند یا خیر. برای این کار فقط کافی است یک صفحه را با کروم باز کنید و به نوار URL نگاهی بیندازید. یک علامت قفل مانند در کنار و سمت چپ آدرس وب سایتتان میبینید (گاهی هم به جای علامت قفل، یک علامت i برگرفته از Information به معنی اطلاعات قرار دارد.) این عبارت یا آیکون وضعیت امنیت وب سایت شما را نشان میدهد. روی این آیکون که کلیک کنید، یک منو نمایش داده میشود. از آن جا، گزینه Details به معنی «جزئیات» را انتخاب کنید تا اطلاعات بیشتری در مورد صفحه وب مد نظر به دست بیاورید. قفل سبز رنگی برای وب سایتهایی که از پروتکل HTTPS استفاده می کنند نمایش داده میشود.
آیکونی که سمت چپ آدرس وب سایت قرار دارد، در واقع نمایش دهنده این است که آیا وب سایت شما از اتصال ایمن (HTTPS) استفاده میکند یا خیر. بهطور کلی باید گفت که گوگل قصد دارد در دراز مدت کاری کند که همه ی وب سایتها HTTPS را پشتیبانی کنند؛ البته این طرح بسیار کلی است و فقط محدود به صفحات دارای فیلدهای رمزعبور یا پرداخت نمیشود.
برای این که اتصال میان سایت و مرورگرهای بازدید کننده را HTTPS کنید باید یک گواهینامه SSL برای وب سایتتان نصب کنید. احتمالاً این نکاتی که در ادامه در مورد استفاده از HTTPS گفته شده، برای این منظور به کارتان خواهد آمد.
پیش از هر چیز، شرکت میزبانی هاست وب سایت شما باید حتماً از HTTPS پشتیبانی کند؛ مثلاً Automattic که سایت wordpress.com را پشتیبانی میکند، در ماه آوریل 2016 گواهینامه ی SSL را برای مشتریانش پیاده سازی کرد. این کار طوری انجام شد که وب مسترها عملاً نیازی به انجام هیچ کاری نداشتند و فقط لازم بود که از wordpress.com برای هاست کردن وب سایت شان استفاده میکردند.
علاوه بر این، برخی شرکتهای هاستینگ خیلی راحت و به صورت رایگان گواهینامه نصب میکنند به طوری که استفاده از پروتکل اچ تی تی پی اس را به عنوان یک گزینه ی رایگان به مشتریان خود پیشنهاد میکنند.
پروژه Let’s Encrypt یک پروژه گروه تحقیقات غیرانتفاعی امنیتی اینترنت است که برای سایت هایی همچون یعنی Dreamhost، Squarespace و Wordpress گواهینامه ی SSL تعریف و تنظیم میکند (البته شرکتهای زیاد دیگری هم هستند که مراحلی ساده و آسان برای نصب گواهینامه دارند.)
مهمترین ویژگی Let’s Encrypt این است که سرویس گواهینامه های SSL آن رایگان هستند. با این حال برخی شرکتهای هاست وب سایت همچنان هزینههای قابل توجهی برای چنین گواهینامههایی دریافت میکنند. یعنی اگر قرار باشد سرویسهای امنیتی یا اعتبارسنجی دریافت کنید ممکن است مجبور شوید بابت آن هزینهای پرداخت کنید.
اگر از هاست اشتراکی استفاده میکنید میتوانید از ارتقا استفاده کنید
در مورد گواهینامهها باید توجه داشته باشید که ممکن است این گواهینامهها برای همه تنظیمات هاست قابل اجرا نباشند. مثلاً برخی اوقات یک تأمین کننده هاست وب سایت میتواند فقط SSL را در یک سرور اختصاصی پیشنهاد کند. به عبارت دیگر، ممکن است برای استفاده از پروتکل اچ تی تی پی اس، هزینههای هاستینگ شما افزایش پیدا کنند.
گاهی اوقات هم گواهینامه به درستی کارش را انجام میدهد ولی با مرورگرهای قدیمی مشکل پیدا میکند. مثلاً در مورد شرکت Dreamhost باید گفت که مشتری میتواند یک آدرس آی پی منحصر به فرد در کنار گواهینامه Let’s Encrypt به هاستش اضافه کند. این کار به کار باعث میشود که یک اتصال ایمن بتواند با نسخههای مختلف اینترنت اکسپلورر در ویندوز اکس پی و همچنین برخی دستگاههای اندروید قدیمی تر سازگاری داشته باشد.
بررسی لاگین و فرآیند بازرسی
بسیاری از وب سایتها برای ثبت نام، تجارت الکترونیک، ثبت نام در خبرنامه، رویدادها و ... به شرکتهای شخص ثالث وابسته هستند. بیشتر شرکتهای معتمد و معتبر این صفحات را با اتصال ایمن HTTPS در دسترس کاربران قرار می دهند. در چنین مواقعی، باید مطمئن شد شرکتی که با آن همکاری دارید حتماً به بازدید کنندگان شما همان اتصال ایمنی که مد نظر شما است را ارائه میدهد.
بعد از تغییر پروتکل از HTTP به HTTPS، لینکهای وب سایت را بررسی کنید
پس از اتمام کار حتماً وقت بگذارید و بررسی کنید و ببینید که آیا همه لینکهای وب سایتتان به درستی کار میکنند یا خیر. برای این کار فقط کافی است دستورالعملهای تأمین کننده هاست وب سایتتان را دنبال کنید تا مطمئن شوید تمام درخواستها برای دسترسی به یک صفحه ناامن -یعنی HTTP- بهطور خودکار به یک اتصال ایمن -HTTPS- منتقل میشود.
در ضمن توجه داشته باشید که اگر از سرویس Google Search Console استفاده می کنید، حتما باید سایت خود را این بار با آدرس تعریف کنید.
استفاده از HTTPS
مدت زمان کوتاهی تا اجرای قوانین سختگیرانهتر برای اتصالات ایمن HTTPS زمان باقی مانده است و این در حالی است از آن به بعد، صفحات ناامن با هشدار رو به رو خواهند شد. اگر قبلاً صفحات وب سایتتان را ایمن کردهاید، خیلی خوب است و احتمالاً مشکلی نخواهید داشت!