HTTPS چیست و تفاوت آن باHTTP
HTTPچیست و چرا باید از آن استفاده کنیم؟
HTTP مخفف HyperText Transfer Protocol (پروتکل انتقال فرا متنی) است. این پروتکل امکان ایجاد ارتباط بین سیستمهای مختلف را فراهم میکند. پروتکل یاد شده عموما به منظور انتقال دادهها از یک وبسرور به یک مرورگر وب که در آن صفحات وبسایتها به نمایش در میآیند مورد استفاده واقع میشود.
مشکل اینجا است که HTTP دادهها را رمزنگاری نمیکند و به همین دلیل افراد شخصثالث میتوانند به اطلاعاتی که بین سیستمها و تحت این پروتکل منتقل میشوند دسترسی داشته باشند.
اما میتوان با بهره بردن از HTTPS (حرف S در اینجا به معنی امن است) انتقال اطاعات بین سیستمها را با امنیت انجام داد.
بدین منظور باید از یک گواهی SSL استفاده کنید تا یک لایهی امنیتی در اتصال بین وبسرور و مرورگر وب ایجاد شود.
بدون HTTPS دادههایی که بین سرور و مرورگر رد و بدل میشوند، ناامن خواهند بود. اهمیت این موضوع بخصوص برای سایتهایی که در آنها اطلاعات مهم و حساس ارسال و دریافت میشود بیشتر است که از این جمله میتوان به وبسایتهایی که فعالیت اقتصادی دارند یا از درگاههای پرداخت آنلاین بهره میبرند اشاره کرد.
اطلاعات و دادهها در فضای آنلاین
به صورت کلی دادهها دو نوع هستند:
• دادههای غیر امنیتی که به صورت عادی در فضای آنلاین مشاهده میشوند و شامل انواع محتوای اینترنتی هستند.
• دادههای حساس مانند مشخصات افراد، شماره تلفن، آدرس ایمیل، اطلاعات شخصی، رمزهای حسابهای بانکی، گذرواژهها و … که لو رفتن آنها میتواند آسیبهای جبران ناپذیری در پی داشته باشد.
پروتکل https چگونه کار میکند؟
https معمولاً از یکی از دو پروتکل امن SSL و TLS برای رمزگذاری ارتباطات استفاده میکند. هر دو این پروتکلها، از چیزی که امروزه به نام سیستم ساختار نامتقارن کلیدِ عمومی (PKI) شناخته میشود، استفاده میکنند. یک سیستم “نامتقارن” برای رمزگذاری ارتباطات از دو کلید “عمومی” و “خصوصی” استفاده میکند. هر چیزی که با کلید عمومی رمزگذاری شده باشد، میتواند با کلید خصوصی باز شود و البته بالعکس!
همانطور که از این نامها متوجه میشویم، کلید خصوصی باید تنها در اختیار صاحبِ خود باشد. برای مثال وقتی که وبسایتی در کار است، کلید خصوصی تنها در اختیار سرور وبسایت قرار دارد. از طرف دیگر، کلید عمومی در اختیار همه است و برای باز کردن اطلاعاتی که با کلید خصوصی رمزگذاری شده به کار میرود.
وقتی که مرورگر شما از یک صفحۀ وب درخواست ارتباط https میکند، وبسایت گواهینامه SSL خود را به مرورگر شما میفرستد. در این گواهینامه، کلید عمومی مورد نیاز برای شروع ارتباط امن قرار دارد. در این هنگام است که ارتباط SSL به صورت کاملاً سری و کدگذاری شده بین مرورگر شما و سرور برقرار میشود. نشانه این ارتباط، همان آیکونِ قفل در کنار نمایش پروتکل https در نوار آدرس مرورگر است که به شما اطمینان میدهد اتصال بین شما و سرور کاملاً امن و خصوصی است.
دلیل سوئیچ کردن به HTTPS
مهمترین دلیل برای سوئیچ کردن به HTTPS این است که این کار باعث میشود امنیت وبسایت شما به میزان قابل توجهی افزایش یابد.
مطمئنا محدودیتهایی در این مورد وجود دارد. HTTPS شبیه به یک اپلیکیشن فایروال وب نیست. این پروتکل از حملهی هکرها به وبسایت شما جلوگیری نمیکند. علاوه بر این، HTTPS از ارسال و دریافت ایمیلهای اسپم نیز جلوگیری نخواهد کرد.
اگر از یک سیستم مدیریت محتوا (CMS) مثل وردپرس استفاده میکنید یا وبسایت شما دارای صفحات ورود اطلاعات مهم است، در این شرایط استفاده از ورود امن (HTTPS Login) میتواند یک روش بسیار خوب برای برقراری امنیت باشد.
در واقع، HTTPS یک بخش پایه برای برقراری امنیت در زمان حاضر است. این مورد یکی از حداقل کارهایی است که
از نظر امنیتی میتوانید به بازدیدکنندگان سایت خود ارائه دهید.
علاوه بر افزایش امنیت، استفاده از HTTPS باعث افزایش اعتماد کاربران وبسایت شما خواهد شد.
بر اساس تحقیق جدیدی که توسط GlobalSign انجام شده، ۸۰ درصد دلیل اینکه افراد در وبسایتها اقدام به خرید آنلاین نمیکنند، استفاده نکردن از HTTPS توسط وبسایت یاد شده است.
همانطور که اشاره شد برای پذیرندگان آنلاین پول نیز مناسب است، اما آیا HTTPS باعث افزایش اعتماد به کسبوکارهایی که پرداخت آنلاین ندارند نیز خواهد شد؟ پاسخ به این سوال نیز مثبت است چراکه مشخص شده استفاده از HTTPS میتواند تا ۴۰ درصد، اعتماد بازدیدکنندگان این نوع وبسایتها را نیز افزایش دهد.
نه تنها بازدیدکنندگان، بلکه گوگل نیز به امنیت وبسایت شما اهمیت میدهد. در واقع باید گفت، امنیت مهمترین کاری است که گوگل در این روزها انجام میدهد. به همین دلیل است که غول جستجوگرهای اینترنتی، امنیت را به عنوان یکی از مهمترین فاکتورها برای رتبهدهی به وبسایتها میداند.
مراحل سوئیچ به HTTPS
- خرید یک گواهی SSL و یک آیپی اختصاصی از شرکت وبهاستیگ (میزبانی وب).
- نصب و پیکربندی گواهی SSL.
- تهیهی نسخهی پشتیبان از وبسایت کنونی تا در صورت لزوم بتوان آن را بازگردانی کرد.
- تنظیم مجدد تمامی لینکهای داخلی وبسایت و تغییر آنها از http به https.
- بروزرسانی کتابخانههای کد از جمله جاوا اسکریپت، آژاکس و هر پلاگین شخصثالث دیگر.
- هدایت تمام لینکهای خروجی از جمله لیست پوشهها به HTTPS.
- بروزرسانی اپلیکیشنهای htaccess از جمله وبسرور آپاچی، لایتاسپید، NGinx و نیز آپدیت کردن توابع مدیریت سرویسهای اینترنتی (از جمله وبسرور ویندوز) به منظور هدایت ترافیک HTTP به HTTPS.
- اگر از شبکهی تحویل محتوا (CDN) استفاده میکنید باید تنظیمات SSL آن را بروزرسانی کنید.
- پیادهسازی صفحهی خطای ۳۰۱.
- بروزرسانی تمامی لینکها از جمله لینکهای ایمیل، با استفاده از ابزارهای اوتوماسیون بازاریابی.
- بروزرسانی لینکهای جستجوی پولی و صفحات اصلی وبسایت.
- ثبت نسخهی HTTPS سایت در کنسول جستجوی گوگل و نیز سرویس گوگل آنالیتیکز.
اما باید اشاره کنیم که معمولا مرحلهی اول و دوم که به گواهی SSL مربوط میشود توسط شرکت میزبان وب شما انجام خواهد گرفت و این کمپانیها میتوانند در انجام این کار به شما کمک کنند.
در نظر داشته باشید که برای وبسایتهای کوچک که به عنوان مثال عمدتا از CDN استفاده نمیکنند، نیاز به گذراندن برخی از مراحل بالا نخواهد بود. در هرحال، برای سایتهای بزرگتر شما باید با یک وبمستر با تجربه در این مورد مشورت کنید و از وی کمک بخواهید.
با انجام این کار و با استفاده از یک گواهی SSL، باید تصمیم بگیرید که آیا مایل هستید که آدرس وبسایت شما در کنار یک نشان سبز امنیتی در مرورگر نمایان شود یا خیر. این نوع SSL ها معمولا هزینهی بیشتری خواهند داشت. اما به غیر از این تفاوت، هیچ فرق دیگری بین SSL ها وجود ندارد و عملکرد اصلی آنها یکسان است.
چرا به گواهینامه SSL نیاز داریم؟
تمامی ارتباطات http از نوع متنی هستند و هر هکری که بتواند وارد اتصال شما و وبسایت شود، میتواند آنها را بخواند. نیاز به توضیح نیست که این خطر در مورد اطلاعات محرمانه و شخصی تا چه حد میتواند زیاد باشد.
اما در مورد ارتباط https، این امر اهمیت چندانی ندارد زیرا اگر حتی هکری موفق شود وارد این مسیر شود و به دادهها دسترسی پیدا کند، چیزی به جز رشتهای از کاراکترهای بینظم و بیمعنی نصیبش نخواهد شد چون ابزار مورد نیاز برای رمزگشایی از آنها را در اختیار ندارد.
حرف آخر …
سالهاست در کشور ما استفاده از شبکههای اجتماعی و درگاههای پرداخت اینترنتی (که هر دو نیاز به انتقال امنِ اطلاعات محرمانه دارند) بسیار معمول شده است. با وجود آنکه امنیت پروتکل https تضمین شده است، هکرها و سارقان اطلاعات بیکار ننشستهاند. برای آنکه در چنین فرآیندهایی امنیت بیشتری داشته باشید، توصیه میکنیم به نکات زیر هم توجه کنید:
⊗ اول از همه، گذرواژهها و رمزهای خود را با دقت انتخاب کنید و آنها را هرگز در اختیار کسی قرار ندهید. بهترین گذرواژهها، آنهایی هستند که طولانی بوده و شامل اعداد، حروف بزرگ و کوچک و کاراکترهای دیگر مثل @ و $ باشند.
⊗ نکته دوم که باید به خاطر بسپارید این است که در هنگام انجام یک تراکنش بانکی، علاوه بر آیکون قفل و عبارت https، به آدرس وبسایت در بالای صفحه هم دقت کنید. سارقان اطلاعات ممکن است شما را به وبسایتهای خود (که اتفاقاً آنها نیز از پروتکل https استفاده میکنند) هدایت کرده و اطلاعات شما را به سرورهای خود هدایت کنند.
⊗ برای مثال، در هنگام کار با یک درگاه پرداخت اینترنتی، دقت کنید که آدرس سایت به صورت bpm.shaparak.ir نوشته شده باشد، نه به شکل bpm.shaaparak.ir! چندی پیش نیز وبسایت گوگل قلابی که حرف G اول آن با یک حرف یونانی جابهجا شده بود، بسیار خبر ساز شد.
نوشتههای تازه
دستهها
- امنیت سایت
- ایندکس مطالب سایت در گوگل
- بایدها و نباید های طراحی سایت
- بک لینک
- بک لینک با کیفیت
- بهینه سازی وب سایت
- دنیای طراحی سایت
- دنیای کامپیوتر
- راهکارهای افزایش فروش
- ریدایرکت
- زبان برنامه نویسی کودکان
- زبان های برنامه نویسی
- سئو وب سایت
- صفحه ساز وردپرس
- طراحی اپلیکیشن
- طراحی سایت
- کد ریدایرکت 301
- کد ریدایرکت 404
- لزوم طراحی سایت
- محتوا گذاری
- معرفی وب سایت به گوگل
- وردپرس