Technical Writer - https://arastoo.net
آشنایی با HTTPS برای مبتدیان
اگر اهل گردش در وبسایتهای مختلف و سرچ کردن در گوگل و... باشید مطمئنا با عبارت https در ابتدا نام وبسایتها برخورد کردهاید. اما مطمئنا همگان نمیدانند که https چه معنایی دارد و یا اینکه چه اهمیتی دارد. در این مقاله از وبسایت راکت قصد داریم به صورت ابتدایی و کاملا مقدماتی در ارتباط با چیستی https صحبت بکنیم.
HTTPS از Hyper Text Transfer Protocol Secure گرفته شده است، به عبارت دیگر همان پروتکل HTTP بوده که امنیت بیشتری دارد.
دادهها به دو روش از طریق مرورگر ارسال و دریافت میشوند: Standard و Secured. وقتی از سایتهایی بازدید میکنید که از HTTP استاندارد استفاده میکنند، به این معنی است که ارتباط شما با سرور بدون رمز عبور برقرار میشود که در بیشتر موارد چیز خوبی است، زیرا در این حالت فقط محتوای ارائه شده توسط وب سایت را میخوانید و دادههای شخصی خود را رد و بدل نمیکنید.
اما در مواردی که اطلاعات شخصی ارائه میدهید (به ویژه دادههای صورتحساب یا بانکی)، این روش بهینه نیست زیرا یک هکر میتواند آن محتوا را ردیابی کرده و در همان لحظه آنها را تغییر دهد، که به نوبه خود میتواند منجر به تلاش برای هک یا سرقت اطلاعات شود. این بدان معناست که برای مشاغل آنلاین و وب سایتهای تجارت الکترونیک، استفاده از HTTP مطلقا قابل قبول نیست.
بنابراین تبادل دادههای خصوصی مانند تراکنش کارت اعتباری به HTTPS نیاز دارد، اما با گسترش حملات مخرب در حوزه هک، تقاضا برای آنچه Google HTTPS Everywhere نامیده میشود روز به روز در حال افزایش است.
چرا HTTPS اهمیت پیدا میکند؟
اکنون که HTTPS را میشناسید، باید بدانید چرا مهم است. به عبارت ساده HTTPS به ایمن نگه داشتن فعالیتهای مرور وب کمک میکند.
یک سایت HTTP که رمزنگاری ندارد، میتواند بیشتر در معرض حملات قرار گیرد. هک شدن سایت ممکن است منجر به نصب نرمافزارهای مخرب بر روی آن شود و بر بازدیدکنندگان هم تأثیر بگذارد، چرا که بدافزارها به مرورگر منتقل میشوند. این وضعیت با تلاشهای هک خودکار در سراسر جهان به یک نگرانی فزاینده تبدیل شده است. پس استفاده از HTTPS به خنثی کردن بسیاری از این حملات با تبدیل انتقال دادهها به اتصالات رمزگذاری شده کمک میکند، زیرا شکستن مکانیزمهای رمزگذاری دشوارتر است.
استفاده از HTTPS میتواند به وب سایت ایمنتر منجر شود. تاکنون راه طولانی طی شده، اما هنوز کارهای زیادی برای فراگیرشدن HTTPS وجود دارد. همچنین مهم است به یاد داشته باشید که HTTPS تنها عاملی نیست که در ایجاد وب سایتهای ایمن باید در نظر گرفته شود، بلکه مراحل دیگری نیز وجود دارد که مدیران وب باید برای امنیت سایتها اجرا کنند.
HTTPS در گذشته ایرادات زیادی داشت
چرا HTTPS اکنون اهمیت بیشتری پیدا کرده است؟ HTTPS برای به دست آوردن محبوبیت تلاش زیادی کرده، زیرا قبلا گواهیهای SSL (مسئول ایجاد مکانیزمهای رمزگذاری) رایگان نبودند. بنابراین برای اعتبار بخشیدن به سایت باید گواهی خاصی صادر شود.
از این رو تنها گزینه برای افرادی که بودجه کمی دارند، استفاده از گواهینامههای self-signed است. هرچند جایگزین مناسبی نیستند (به این دلیل که هشداری را روی مرورگر ارسال میکنند)، اما همین اخطار به منظور جلوگیری از تلاش کاربران برای دسترسی به سایت کافی است، چرا که نادیده گرفتن آن بسیار خطرناک به نظر میرسد. از طرفی هم باعث میشود تلاش برای افزایش حضور کاربران آنلاین بیفایده باشد.
این یک نقطه ضعف بزرگ برای وبلاگ نویسان و مشاغل کوچک در سراسر جهان بوده است. با اینکه شرکتهای بزرگتر مشکلی با هزینه ندارند، وبلاگ نویسان با بودجهای که هنوز درآمد کافی از وب سایت خود ایجاد نمیکنند، به سادگی نمیتوانند برای چنین گواهیهایی هزینه کنند.
علاوه بر همه اینها هنگامی که یک وب سایت با HTTPS بارگیری شود، زمان بارگذاری سایت نیز کاهش مییابد. این امر به دلیل سربار اضافی است که سرور باید با رمزگذاری تمام دادهها قبل از ارسال آن متحمل شود.
نسخه سوم SSL منسوخ شده است
آخرین نسخه SSL به نام ورژن 3 که در سال 1996 شروع به کار کرد، روز به روز نقصهای بیشتری را آشکار نمود، به طوری که کمیته مهندسی اینترنت (IETF) تصمیم گرفت آن را منسوخ کند.
پروتکل جدید TLS از هر نظر بسیار امنتر است که منجر به ممنوعیت SSL ورژن 3 در مرورگرهای اصلی شده است.
قدرت بیشتر پردازندهها، مکانیزمهای رمزنگاری، TLS و HTTP/2 همه چیز را تغییر دادهاند
با ظهور سختافزارهای جدید، پردازندههای قوی، وب سرورهای سریع (مانند nginx و lighttpd) و مکانیزمهای کش (مانند varnish)، هزینههای سربار برای پشتیبانی از HTTPS بسیار کاهش یافته است. این بدان معناست که پذیرندگان جدید SSL نیازی به نگرانی در مورد کاهش زمان بارگذاری ندارند.
به علاوه پروتکل جدید TLSv1.2 معرفی شده برای SSL، ورژن 3 آن را منسوخ کرده و راه را برای پذیرش سریعتر SSL هموار کرده است.
همچنین راهاندازی HTTP/2 نیز آخرین میخ کوبیده شده در تابوت حامیان HTTP خواهد بود. HTTP/2 یک پروتکل بهبود یافته نسبت به HTTP اصلی است که طراحی و توسعه یافته است. HTTP unencrypted پروتکل قدیمیتری است که به خوبی کار میکند، اما برای نیازهای امروزی بهینهسازی نشده است.
HTTP/2 از روش مالتی پلکسینگ برای بهبود عملکرد نسبت به HTTP سنتی بهره میگیرد
گوگل حساسیت زیادی برای استفاده از HTTPS در افزایش رتبهبندی سئو دارد
گوگل قبلا در سال 2015 پذیرش HTTPS را به عنوان بخشی از الگوریتم رتبهبندی سئوی خود در نظر گرفته بود. سپس در سال 2016 اعلام کرد که قصد دارد یک افزایش رتبه بسیار جزئی را برای همه وب سایتهایی که از HTTP به HTTPS سویچ میکنند، در نظر بگیرد. هرچند در حال حاضر به اندازهای نیست که بر رتبهبندی تأثیر زیادی بگذارد، اما احتمالا در آینده تاثیر بیشتری خواهد داشت.
با وجود پروتکل HTTP/2 که اکنون به طور گسترده پذیرفته شده و حتی افزایش تعداد کاربران Let’s Encrypt که به میلیونها نفر در سراسر جهان رسیده، گوگل حرکت بعدی خود را آغاز کرده است. آنها اعلام کردند که نمایش علامت تعجب برای همه سایتهایی که رمزگذاری نشدهاند (از بهروزرسانی اخیر کروم) را در نظر میگیرند.
به علاوه وب سایتهای HTTP که دادههای حساس کاربر (مانند رمز عبور، اطلاعات کارت اعتباری و ...) را منتقل میکنند، با علامت هشدار قرمز علامتگذاری کردند. این کار بدون شک منجر به ایجاد بیاعتمادی نسبت به تمام سایتهایی که تغییر را انجام نمیدهند، میشود.
با تغییر روزافزون سایتها به HTTPS و افزایش استفاده از اینترنت در سراسر جهان، HTTPS دیگر به یک استاندارد واقعی تبدیل شده است.
جمعبندی
بالاخره فناوریهای جدید وارد شدند تا HTTPS را بسیار جذابتر کنند. با آمدن وب سرورهای سریع، پردازندههای قوی، مکانیزمهای رمزگذاری بهتر از طریق TLSv1.2، پروتکل HTTP/2 و Let’s Encrypt که به هر کسی گواهینامه رایگان ارائه میدهد، راه برای پذیرش HTTPS هموارتر شده است. به علاوه اعمال تغییر گوگل توسط بهروزرسانیهای اخیر، فشار دیگری برای حرکت به سمت HTTPS تحمیل میکند.
اما نگران نباشید همانطور که در ابتدای مطلب گفته شد، برای وبلاگها و سایتهای کوچک نیاز نیست در گرفتن HTTPS عجله کنید. شما باید به دقت در مورد حرکت خود از HTTP به HTTP تصمیم بگیرید، زیرا میتواند بر رتبهبندی سئوی شما تأثیر بگذارد. اما برای وبسایتهای مبتنی بر تجارت الکترونیک باید HTTPS در صفحات لاگین و درگاه پرداخت حتما فعال باشد تا از مشاهده هشدار جلوگیری شود.
مطلبی دیگر از این انتشارات
نکاتی برای برنامه نویسان تازه کار پایتون
مطلبی دیگر از این انتشارات
تفاوت میان احراز هویت و اعتبار سنجی چیست؟
مطلبی دیگر از این انتشارات
راه های کسب درآمد از سایت شخصی