چند توصیه ی مهم برای مهاجرت از پروتکل HTTP به HTTPS به منظور افزایش امنیت کاربران سایت

[سیده آمین ارمان]

هر روز به تعداد صفحاتی که توسط مروگر گوگل کروم به عنوان صفحات ناامن معرفی می‌شوند، اضافه می‌شود. همه وب مسترها باید با قوانین و قواعد جدید گوگل آشنایی داشته باشد تا از نظر امنیتی وب سایت شان برچسب ضعیف و یا خطرناک نخورد! در همین راستا، در این ترفند قصد داریم به 5 نکته ی مهم در مورد پروتکل امن HTTPS اشاره کنیم که با استفاده از آن‌ها می‌توانید تأیید امنیتی گوگل برای وب سایتتان را در آینده به دست آورید. با سکان آکادمی همراه باشید.

اگر بخواهیم تعریفی خیلی خلاصه از HTTPS ارائه کنیم، بایستی بگوییم که HTTPS پروتکلی همچون HTTP است که از آن طریق داده ها در بستر اینترنت رد و بدل می شوند با این تفاوت که HTTPS ایمن است (حرف S پایانی مخفف واژه ی Secure به معنی «ایمن» است.)
گوگل ترجیح می‌دهد اتصال میان کروم و وب سایت‌ها کاملاً ایمن و بدون هیچ ریسک و خطری باشد. اگر احیاناً شما یک وب مستر یا به زبان ساده‌تر یک مدیر وب سایت هستید، باید حتماً در مورد قوانین جدید امنیتی گوگل خبر داشته باشید چرا که گوگل به زودی قرار است معیارهای جدیدش برای امنیت وب سایت ها را به اجرا بگذارد (برای آشنایی بیشتر با این موضوع، به مقاله ی چرا گوگل از پروتکل HTTP در وب سایت‌ها خوشش نمی‌آید؟ مراجعه نمایید.)

از آن زمان به بعد، وب سایت‌هایی جان سالم به در خواهند برد که صفحات دارای پسورد یا فیلدهای اتصال به درگاه بانک را با پروتکل HTTPS در دسترس کاربرانشان قرار دهند؛ بنابراین اگر هنوز این نوع صفحات را با پروتکل غیر رمزگذاری شده -یعنی HTTP- در معرض دید کاربرانتان قرار می دهید، احتمالاً در آینده‌ای نزدیک صفحات وب سایت شما برچسب «غیر ایمن» مگر آن که هر چه زودتر به حال آن فکری کنید.

با یک ترفند خیلی ساده به راحتی می‌توانید متوجه شوید که آیا وب سایت شما از HTTPS پشتیبانی می‌کند یا خیر. برای این کار فقط کافی است یک صفحه را با کروم باز کنید و به نوار URL نگاهی بیندازید. یک علامت قفل مانند در کنار و سمت چپ آدرس وب سایتتان می‌بینید (گاهی هم به جای علامت قفل، یک علامت i برگرفته از Information به معنی اطلاعات قرار دارد.) این عبارت یا آیکون وضعیت امنیت وب سایت شما را نشان می‌دهد. روی این آیکون که کلیک کنید، یک منو نمایش داده می‌شود. از آن جا، گزینه Details به معنی «جزئیات» را انتخاب کنید تا اطلاعات بیشتری در مورد صفحه وب مد نظر به دست بیاورید. قفل سبز رنگی برای وب سایت‌هایی که از پروتکل HTTPS استفاده می کنند نمایش داده می‌شود.

آیکونی که سمت چپ آدرس وب سایت قرار دارد، در واقع نمایش دهنده این است که آیا وب سایت شما از اتصال ایمن (HTTPS) استفاده می‌کند یا خیر. به‌طور کلی باید گفت که گوگل قصد دارد در دراز مدت کاری کند که همه ی وب سایت‌ها HTTPS را پشتیبانی کنند؛ البته این طرح بسیار کلی است و فقط محدود به صفحات دارای فیلدهای رمزعبور یا پرداخت نمی‌شود.

برای این که اتصال میان سایت و مرورگرهای بازدید کننده را HTTPS کنید باید یک گواهینامه SSL برای وب سایتتان نصب کنید. احتمالاً این نکاتی که در ادامه در مورد استفاده از HTTPS گفته شده، برای این منظور به کارتان خواهد آمد.

پیش از هر چیز، شرکت میزبانی هاست وب‌ سایت شما باید حتماً از HTTPS پشتیبانی کند؛ مثلاً Automattic که سایت wordpress.com را پشتیبانی می‌کند، در ماه آوریل 2016 گواهینامه ی SSL را برای مشتریانش پیاده سازی کرد. این کار طوری انجام شد که وب مسترها عملاً نیازی به انجام هیچ کاری نداشتند و فقط لازم بود که از wordpress.com برای هاست کردن وب سایت شان استفاده می‌کردند.

علاوه بر این، برخی شرکت‌های هاستینگ خیلی راحت و به صورت رایگان گواهینامه نصب می‌کنند به طوری که استفاده از پروتکل اچ تی تی پی اس را به عنوان یک گزینه ی رایگان به مشتریان خود پیشنهاد می‌کنند.

پروژه Let’s Encrypt یک پروژه گروه تحقیقات غیرانتفاعی امنیتی اینترنت است که برای سایت هایی همچون یعنی Dreamhost، Squarespace و Wordpress گواهینامه ی SSL تعریف و تنظیم می‌کند (البته شرکت‌های زیاد دیگری هم هستند که مراحلی ساده و آسان برای نصب گواهینامه دارند.)

مهم‌ترین ویژگی Let’s Encrypt این است که سرویس‌ گواهینامه های SSL آن رایگان هستند. با این حال برخی شرکت‌های هاست وب سایت همچنان هزینه‌های قابل توجهی برای چنین گواهینامه‌هایی دریافت می‌کنند. یعنی اگر قرار باشد سرویس‌های امنیتی یا اعتبارسنجی دریافت کنید ممکن است مجبور شوید بابت آن هزینه‌ای پرداخت کنید.

اگر از هاست اشتراکی استفاده می‌کنید می‌توانید از ارتقا استفاده کنید
در مورد گواهینامه‌ها باید توجه داشته باشید که ممکن است این گواهینامه‌ها برای همه تنظیمات ‌هاست قابل اجرا نباشند. مثلاً برخی اوقات یک تأمین کننده هاست وب سایت می‌تواند فقط SSL را در یک سرور اختصاصی پیشنهاد کند. به عبارت دیگر، ممکن است برای استفاده از پروتکل اچ تی تی پی اس، هزینه‌های هاستینگ شما افزایش پیدا کنند.

گاهی اوقات هم گواهینامه به درستی کارش را انجام می‌دهد ولی با مرورگرهای قدیمی مشکل پیدا می‌کند. مثلاً در مورد شرکت Dreamhost باید گفت که مشتری می‌تواند یک آدرس آی پی منحصر به فرد در کنار گواهینامه Let’s Encrypt به هاستش اضافه کند. این کار به کار باعث می‌شود که یک اتصال ایمن بتواند با نسخه‌های مختلف اینترنت اکسپلورر در ویندوز اکس پی و همچنین برخی دستگاه‌های اندروید قدیمی تر سازگاری داشته باشد.

بررسی لاگین و فرآیند بازرسی
بسیاری از وب سایت‌ها برای ثبت نام، تجارت الکترونیک، ثبت نام در خبرنامه، رویدادها و ... به شرکت‌های شخص ثالث وابسته هستند. بیشتر شرکت‌های معتمد و معتبر این صفحات را با اتصال ایمن HTTPS در دسترس کاربران قرار می دهند. در چنین مواقعی، باید مطمئن شد شرکتی که با آن همکاری دارید حتماً به بازدید کنندگان شما همان اتصال ایمنی که مد نظر شما است را ارائه می‌دهد.

بعد از تغییر پروتکل از HTTP به HTTPS، لینک‌های وب سایت را بررسی کنید
پس از اتمام کار حتماً وقت بگذارید و بررسی کنید و ببینید که آیا همه لینک‌های وب سایتتان به درستی کار می‌کنند یا خیر. برای این کار فقط کافی است دستورالعمل‌های تأمین کننده هاست وب سایتتان را دنبال کنید تا مطمئن شوید تمام درخواست‌ها برای دسترسی به یک صفحه ناامن -یعنی HTTP- به‌طور خودکار به یک اتصال ایمن -HTTPS- منتقل می‌شود.
در ضمن توجه داشته باشید که اگر از سرویس Google Search Console استفاده می کنید، حتما باید سایت خود را این بار با آدرس

Please, ورود or عضویت to view URLs content!

تعریف کنید.

استفاده از HTTPS
مدت زمان کوتاهی تا اجرای قوانین سخت‌گیرانه‌تر برای اتصالات ایمن HTTPS زمان باقی مانده است و این در حالی است از آن به بعد، صفحات ناامن با هشدار رو به رو خواهند شد. اگر قبلاً صفحات وب سایتتان را ایمن کرده‌اید، خیلی خوب است و احتمالاً مشکلی نخواهید داشت!