https چیست ؟ همه آنچه لازم است درباره https بدانید

https چیست ؟ همه آنچه لازم است درباره https بدانید

اگر شما هم اهل وب‌گردی در سایت‌های مختلف باشید، بی‌شک در نوار بالای صفحه مرورگر خود با عبارت http یا https مواجه شده‌اید. اگر دوست دارید درباره این پروتکل‌ها بیشتر بدانید و متوجه شوید که https چیست ، این مقاله از شبکه دانش فراپیام را از دست ندهید.

شروع داستان http

پروتکل http کوتاه شده عبارت Hyper Text Transfer Protocol است. این عبارت به معنای پروتکل انتقال ابر متنی است و وظیفه ارسال و دریافت داده‌ها بین کلاینت و سرور را بر عهده دارد.

هنگام استفاده از این پروتکل، وقتی در آدرس بار مرورگر چیزی می‌نویسید، درخواست شما سمت سرور ارسال شده و در مقابل داده‌هایی به شما نمایش داده خواهد شد؛ اما از آنجا که امنیت دریافت در پروتکل http بر عهده دریافت‌کننده است، همه اطلاعت ردوبدل شده در http در بستری ناامن قرار دارند. به همین دلیل پروتکل امن https برای بالا بردن امنیت بستر تبادل اطلاعات درفضای وب تعریف شد. تا مدت‌ها انتخاب بین استفاده از این پروتکل‌ها اختیاری بود و هر سایتی بنا بر سیاست‌های خود یکی از این دو پروتکل را مورد استفاده قرار می‌داد.

اما عدم وجود امنیت کافی در بستر پروتکل http باعث شد گوگل در ژوئن ۲۰۱۷ تصمیم جدیدی بگیرد. طبق اعلام گوگل از آن تاریخ به بعد سایت‌هایی که پروتکل امن https را نداشتند، با برچسب Not Secure به معنای ناامن بودن کنار آدرس سایتشان، به کاربر نمایش داده می‌شدند. در مقابل سایت‌هایی که از بستر امن https استفاده کنند، هم در گوگل رتبه بهتری کسب خواهند کرد و هم در مرورگر با برچسب Secure یا امن به کاربر نمایش داده خواهند شد.

امنیت؛ نقطه قوت https

HyperText Transfer Protocol Secure که به اختصار https نوشته می‌شود، در واقع یک نسخه رمزگذاری شده از http است که به عنوان پروتکل اصلی مورد استفاده برای انتقال داده‌ها از طریق شبکه جهانی وب شناخته می‌شود.

https از ارتباط بین مرورگر و سرور شما در برابر رهگیری و دستکاری مهاجمان محافظت می‌کند. این محرمانگی بالا، صداقت و احراز هویت باعث شده ترافیک ورودی سایت‌ها به بیش از زمانی باشد که کاربران از http استفاده می‌کردند. همان‌طور که پیش‌تر گفته شد، گوگل کنار آدرس سایت‌هایی که از https استفاده می‌کنند، برچسب Secure قرار داده است. به همین دلیل هر وب‌سایتی که نماد قفل را در نوار آدرس نشان دهد، از https استفاده می‌کند.

http یا https؛ نگاهی به مفاهیم اصلی

مهاجمان یا هکرها می‌توانند اطلاعات حساس مانند ورود به اکانت‌ها و جزییات پرداخت را به دست آورند یا کد مخربی را به جای پاسخ درخواست‌های شما ارسال کنند. حملات احتمالی شبکه می‌تواند با یک روتر یا ISP غیرقابل‌اعتماد در هر جایی اتفاق بیفتد. بنابراین طبیعتا هر شبکه WiFi عمومی در معرض چنین حملاتی است. خوشبختانه به نظر می‌رسد اغلب مردم از این موضوع آگاه هستند و برای استفاده از شبکه‌های WiFi عمومی محتاطانه عمل می‌کنند.

با این حال، مسئولیت افزایش امنیت برای استفاده از سایت بر عهده مدیران وب است و اینجاست که https نقش پررنگی پیدا می‌کند.

https درخواست‌ها و پاسخ‌های http را رمزگذاری می‌کند، بنابراین یک هکر به جای دست پیدا کردن به جزییات کارت اعتباری، فقط نویسه‌های تصادفی را خواهد دید.

اگر بخواهیم نحوه عملکرد https را به چیزی تشبیه کنیم، این سیستم درست مانند ارسال اشیای قیمتی در یک جعبه ترکیبی قفل‌شده و تخریب‌ناپذیر است. جعبه‌ای که فقط طرفین فرستنده و دریافت‌کننده از رمز و محتویات آن مطلع هستند و اگر مهاجمان بخواهند از آن استفاده کنند، نمی‌توانند وارد آن شوند.

حالا هنگام ایجاد اتصال https، اتفاقات زیادی رخ می‌دهد. در کل عملکرد https به TLS متکی است. TLS مخفف Transfer Layer Security و به معنای پروتکل امنیتی لایه انتقال است. می‌توان گفت TLS نوعی رمزگذاری برای ایمن‌سازی اتصالات به شمار می‌آید.

گواهی‌نامه‌های TLS چگونه کار می‌کنند؟

تنها راه فعال کردن https در سایت شما دریافت گواهی TLS و نصب آن روی سرور است. ممکن است هنگام دریافت این گواهی‌نامه، آن را با نام SSL یا SSL/TLS بگیرید؛ اما نگران نباشید. این دو حالت کاملا یکسان هستند و تفاوتی با هم ندارند. هنوز هم به طور گسترده‌ای اغلب افراد هنگام صحبت درباره TLS واژه SSL را به کار می‌گیرند؛ حتی اگر از نظر فنی از جانشین آن یعنی TLS استفاده کرده باشند!

گواهینامه‌های TLS توسط مقامات صدور گواهینامه (CA) صادر می‌شوند. نقش CA این است که یک شخص ثالث قابل‌اعتماد در روابط مشتری و سرور باشد. در مجموع هرکسی می‌تواند گواهی TLS صادر کند؛ اما فقط CAهای مورداعتماد عموم توسط مرورگرها پشتیبانی می‌شوند.

شما می‌توانید گواهی TLS و صدور آن از سمت CA را برای هر سایتی بررسی کنید. برای این کار کافی است روی نماد قفل در نوار آدرس مرورگر خود کلیک کنید.

شما می‌توانید برای کسب اطلاعات بیشتر روی گواهی‌نامه کلیک کنید. مهم‌ترین چیز در این بخش خط مربوط به عبارت “Issued to:” یا همان «صادر شده برای:» است.

در این بخش می‌توانید به انواع استانداردهای تأیید اعتبار برای گواهی‌نامه‌های TLS دست پیدا کنید. توضیحات این قسمت همان چیزی است که به طور عمده مجوزهای رایگان و غیررایگان را از یکدیگر متمایز می‌کند.

DV، OV و EV: هریک چه معنی دارد و کدام را انتخاب کنید؟

گواهینامه‌های TLS رایگان با هاستینگ و برنامه CDN، فقط برای اعتبارسنجی دامنه ((domain validation هستند. گواهی‌ DV TLS تأیید می‌کند که مالک این گواهی نام دامنه مشخصی را کنترل می‌کند. چنین روشی نوعی تأیید اولیه و البته رایگان است. این گواهی فقط برای وبلاگ‌ها یا سایت‌هایی مناسب است که حاوی اطلاعات حساسی نیستند. در نظر داشته باشید سایت‌هایی که از گواهینامه DV TLS استفاده می‌کنند، ایمن به نظر می‌رسند، اما با کلیک روی نماد قفل خط مربوط به “Issued to:” را برای آن‌ها نخواهید دید.

رایج‌ترین گواهینامه DV TLS از یک CA غیرانتفاعی به نام Let’s Encrypt تهیه می‌شود. این همان چیزی است که اکثر شرکت‌های ارائه‌دهنده گواهی‌نامه‌های TLS به طور رایگان و خودکار از آن استفاده می‌کنند. گواهی‌نامه‌های DV هیچ مشکلی ندارند. بالاخره این گزینه تنها نوع گواهی‌های TLS است که می‌تواند به صورت خودکار صادر شود.

در مقابل اگر سایت شما امکان ساخت اکانت، اجازه ورود یا پرداخت را دارد، باید برای آن یک گواهی‌نامه TLS از نوع اعتبار سازمان (organization validation)یا اعتبارسنجی گسترده (extended validation) تهیه کنید. هرچند این دو نوع TLS تا حد زیادی شبیه هم هستند، اما مراحل دریافت گواهی نوع EV با سختگیری و دقت بسیار بیشتری همراه است.

اگر می‌خواهید فقط یک TLS برای سایت خود تهیه کنید، بهتر است مستقیما سراغ گواهی‌نامه EV TLS بروید؛ چراکه این نوع قابل اعتمادترین بوده و هزینه آن هم بیش از گواهی OV نیست.

گواهی‌های TLS نوع Wildcard و SAN چه چیزی هستند؟

https چیست ؟ حالا که استانداردهای اعتبارسنجی را شناختید، اجازه دهید سراغ دسته دیگری از گواهی‌نامه‌های TLS برویم.

Wildcard و گواهی‌نامه‌های SAN برای برقراری امنیت چندین ساب‌دامین یا زیردامنه به صورت همزمان استفاده می‌شوند. برای درک بهتر این موضوع در نظر داشته باشید اگر یک گواهی‌نامه استاندارد EV TLS برای مثال com. خریداری کرده‌اید، حالا برای blog.example.com به یک گواهی‌نامه جداگانه نیاز دارید.

اگر بخواهیم به تفاوت گواهی‌های Wildcard و SAN بپردازیم، باید گفت گواهی‌نامه‌های Wildcard می‌توانند زیردامنه‌های نامحدود (example.com، blog.example.com، docs.example.com) را ایمن کنند؛ در حالی که گواهی‌نامه‌های SAN می‌توانند دامنه‌های دیگر (example.com، blog.example.com، different.org ) را نیز ایمن نگه دارند.

این دو نوع TLS با انواع اعتبارسنجی که پیش‌تر گفته شد، ترکیب می‌شوند. بنابراین هنگام مرور گزینه‌های ارائه شده توسط CA، انواع مختلفی را مشاهده خواهید کرد.

https چگونه به بهبود SEO کمک می‌کند؟

تقریبا تمام مزایای https در بهبود وضعیت SEO موثر است:

• سیگنال رتبه‌بندی ساده‌تر
• امنیت و حریم خصوصی بهتر
• حفظ اطلاعات ارجاع
• استفاده از پروتکل‌های مدرن برای افزایش امنیت و سرعت سایت

در ادامه هریک از این موارد را به طور کامل توضیح خواهیم داد.

سیگنال رتبه‌بندی ساده‌تر

گوگل در سال ۲۰۱۴ اعلام کرد استفاده از https در سایت، یک عامل مهم و تاثیرگذار بر رتبه‌بندی ساده‌تر و بهتر سایت است. این موضوع اساسا سهم Google در تصویب سریع‌تر و همگانی شدن استفاده از https در سراسر جهان است.

امنیت و حریم خصوصی بهتر

کمی پیش درباره این مورد صحبت کردیم. اما حریم خصوصی و امنیت بیشتر چگونه به بهبود SEO کمک خواهد کرد؟

اگر شما از http استفاده کنید، کاربران با ورود به سایت شما با پیام «اتصال شما به این سایت امن نیست.» مواجه خواهند شد. به عنوان یک کاربر مشاهده چنین پیامی احساس ناامنی زیادی ایجاد خواهد کرد و طبیعی است که افراد با دیدن این پیام بخواهند هرچه زودتر از سایت شما خارج شوند.

در مقابل وقتی کاربر این احساس را داشته باشد که در یک سایت امن قرار دارد، با خیال آسوده دقایق زیادی را در آن سپری خواهد کرد. حضور فعال کاربر در سایت، همان چیزی است که شما می‌خواهید و همین حضور فعال به بهبود سئو و ترافیک ورودی سایت شما کمک خواهد کرد.

حفظ اطلاعات ارجاع

اگر سایت شما هنوز روی http است و شما از سرویس‌های تجزیه و تحلیل وب مانند Google Analytics استفاده می‌کنید، خبر بد برای این است که هیچ اطلاعات ارجاعی از https به صفحات http منتقل نمی‌شود.

از آنجا که این روزها بیشتر وب با https کار می‌کند، ترافیک ورودی از منابع و کانال‌های دیگر (مثل کلیک روی لینک‌های موجود در سایت‌های دیگر) در اغلب نرم‌افزارهای تجزیه و تحلیل به طور مستقیم روی https در نظر گرفته می‌شود و اطلاعات ارجاعی صفحات https به صفحات http در سرویس‌های تجزیه و تحلیل ثبت نخواهد شد.

این موضوع باعث می‌شود داده‌های مربوط به مخاطبان، ترافیک ورودی و… سایت شما قابل‌اعتماد و واقعی نباشند. مورد دیگر این است که شما قادر به دیدن بهترین کانال‌های ترافیک ورودی به سایت خود نیستید و نمی‌توانید یک تحلیل صحیح از شرایط سایتتان داشته باشید. در نتیجه ایده‌ای هم برای بهبود وضعیت سئو نخواهید داشت.

استفاده از پروتکل‌های مدرن برای افزایش امنیت و سرعت سایت

هرچند روی کاغذ و به شکل عدد و رقم https به دلیل داشتن ویژگی‌های امنیتی اضافه، کندتر از http است، اما داشتن https پیش شرط استفاده از جدیدترین فناوری امنیتی و عملکرد وب است.

به عبارت دیگر، https علاوه‌بر ایجاد امنیت بیشتر، به سایت شما این امکان را می‌دهد هنگام استفاده از پروتکل‌هایی مانند TLS1.3 و http/2 سرعت صفحات را بهبود دهد. جدای از تجربه کاربری بهتر، گوگل سرعت صفحه را به عنوان یک عامل رتبه‌بندی و بهبود سئو در نظر می‌گیرد.

https چیست ؟ چطور https را روی سایت تنظیم و فعال کنید؟

این موضوع به وضعیت کنونی سایت شما بستگی دارد.

1. اگر در حال راه‌اندازی یک سایت جدید هستید…

شما برنده شده‌اید. از همان ابتدای کار سایت را با https همراه کنید. پس دیگر نگران http یا خطاهای مرتبط با انتقال از آن نخواهید بود.

تمام کاری که باید انجام دهید، این است که یک ارائه‌دهنده هاستینگ خوب داشته باشید که شما را در روند کار راهنمایی کرده و از آخرین نسخه‌های پروتکل http و TLS پشتیبانی کند. بعد از انجام این کار و راه‌اندازی سایت، به عنوان آخرین مرحله HSTS را برای تکمیل اقدامات امنیتی سایت پیاده‌سازی کنید.

2. اگر یک سایت https دارید…

ممکن است علی‌رغم اینکه سایت شما همین حالا هم روی پروتکل‌ امن https قرار گرفته است، مشکلاتی داشته باشد. اغلب اوقات این مشکل ناشی از آن هستند که تنظیمات https به درستی انجام نگرفته‌اند. در بخش بعدی به مشکلات احتمالی در تنظیم و پیاده‌سازی https پرداخته‌ایم.

3. اگر سایتی دارید که روی http اجرا می‌شود…

طبیعتا مدتی طول می‌کشد تا همه چیز آماده و انجام شود. پیچیدگی انتقال از http به https به موارد زیر بستگی دارد:

• اندازه و پیچیدگی سایت
• نوع CMS مورد استفاده
• میزبان/ارائه‌دهندگان CDN
• توانایی‌های فنی مالک سایت

پیشنهاد می‌کنیم مستندات مربوط به CMS/سرور/میزبان/CDN خود را بررسی کرده و طبق آن پیش بروید. برای این انتقال مراحل زیادی وجود دارد که باید یکی پس از دیگری به دقت اجرا شوند. بنابراین یک چک‌لیست انتقال http به https ایجاد و مراحل را از روی آن دنبال کنید.

اگر همه این موارد برای شما خیلی فنی به نظر می‌رسد و دانش کافی در این زمینه را ندارید، یک متخصص استخدام کنید. این کار باعث صرفه‌جویی در وقت، اعصاب و هزینه خواهد شد. همچنین سپردن کار به دست یک متخصص قابل اطمینان‌تر به نظر می‌رسد.

چگونه خطاهای احتمالی انتقال به HTTPS را بررسی کنید؟

حتی اگر کل چک‌لیست انتقال https را به درستی طی کرده باشید، به احتمال زیاد همچنان با بعضی مشکلات مواجه خواهید شد. در سال ۲۰۱۶ ، حدود ۱۰۰۰۰ دامنه برتر برای اشتباهات مختلف انتقال https مورد تجزیه و تحلیل قرار گرفته و موارد زیر در آن‌ها گزارش شدند:

• حدود ۹۰٫۹٪ دامنه‌ها در اجرای https بهینه عمل نکرده بودند.
• https روی ۳۵/۶۹% دامنه‌ها به درستی کار نمی‌کرد.
• به طور تقریبی ۲۳٫۰۱٪ دامنه‌ها به جای استفاده از تغییر مسیر ۳۰۱s دائمی از تغییر مسیر ۳۰۲ موقت استفاده کرده بودند.

هرچند در این سال‌ها تغییرات و بهبودهای زیادی به دست آمده، اما توصیه می‌کنیم پنج اشتباه متداول در انتقال به https را روی سایت خود بررسی کنید. این کار مدت زیادی طول نخواهد کشید و رفع بسیاری از آنها کار دشواری نیست.

اشتباه اول: صفحات http هنوز باقی مانده‌اند

اولین و مهم‌ترین چیزی که باید از آن اطمینان پیدا کنید، این است که  همه صفحات سایت شما در https هستند یا خیر؟

با جستجوی کامل سایت می‌توانید صفحات باقی‌مانده از http را کشف کنید. اگر به چک‌لیست انتقال https پایبند باشید، بررسی صفحات سایت برای یافتن صفحات http برای شما چیز جدیدی نخواهد بود. فقط مطمئن شوید که خزنده تمام منابع URL مورد نیاز را داشته باشد تا صفحات را پشت سر نگذارد.

اشتباه دوم: صفحات https دارای محتوای http هستند

این اشتباه زمانی رخ می‌دهد که فایل HTML اولیه با https بارگیری شود؛ اما فایل‌های منبع آن (تصاویر، CSS، JavaScript و…) هنوز به https منتقل و به‌روزرسانی نشده باشند.

اگر این مساله در سایت شما وجود دارد، می‌توانید آن را هم در نمای کلی خزش کراولر روی صفحات و هم در گزارش صفحات داخلی مشاهده کنید. تمام خطاها، هشدارها و اعلان‌ها در حسابرسی سایت شرح مساله و توصیه‌هایی برای رفع آن را به شما ارائه خواهند کرد.

اشتباه سوم: لینک‌های داخلی به https به روز نمی‌شوند

https چیست ؟ به روزرسانی نکردن پیوندهای داخلی به https باعث تغییر مسیرهای غیرضروری می‌شود. هرچند چنین وضعیتی از قرار گرفتن در صفحه http بهتر است، اما شما قبلا این اشتباه را پشت سر گذاشته‌اید. تشخیص این لینک‌های داخلی و رفع آنها آسان است.

این مشکل را در Links report بخش Site Audit پیدا خواهید کرد.

پس از پیدا کردن این صفحات، کافی است URLها را به https: // بازنویسی کنید. البته این روش فقط درصورتی قابل استفاده است که پیش از این، اطمینان داشته باشید هیچ صفحه http دیگری در سایت باقی نمانده باشد.

اشتباه چهارم: تگ‌ها به https به‌روز نشده‌اند

دو نوع تگ وجود دارد که ممکن است در سایت خود استفاده کنید که عبارت هستند از: تگ‌های Canonical و تگ Open Graph. شما باید URLهای آن‌ها را هم به https به‌روزرسانی کنید.

تگ‌های کنونیکال، تگ‌هایی هستند که به گوگل می‌گویند از بین چندین صفحه تکراری و مشابه، کدام‌یک از نظر شما معتبرترین صفحه است؟ در چنین شرایطی اگر بین صفحات مدنظرتان به صفحه‌ نسخه HTTP اشاره کنید، می‌تواند سیگنال بدی به Google ارسال کند و به احتمال زیاد چنین صفحه‌ای با همه اهمیتی که برای شما دارد، از طرف گوگل نادیده گرفته خواهد شد.

اگر شما برای بهینه‌سازی پست‌های شبکه‌های اجتماعی خود از تگ‌های Open Graph استفاده می‌کنید، پس لازم است تگ‌های URL توسط Facebook اصلاح شوند. آنها باید مانند URLهای کنونیکال باشند.

اشتباه پنجم: تغییر مسیرها ناموفق هستند

تغییر مسیرها ممکن است در ظاهر خوب به نظر رسیده و برای شما قابل‌قبول باشد؛ اما موارد زیادی وجود دارد که می‌تواند اشتباه تنظیم شده باشد.

خوشبختانه تشخیص این خطاها با نگاهی به بخش Site Audit آسان است. کافی است گزارش تغییر مسیرها را بررسی و همه مسائل را مرور کنید.

در آخر…

باید بدانید حدود ۹۸% سایت‌های فعال در گوگل از https استفاده می‌کنند. طبق آمار موجود می‌توان گفت اغلب سایت‌های معروف با بازدید قابل‌توجه توانسته‌اند به خوبی به https منتقل شوند و حتی پس از این انتقال رشد و ترافیک ورودی بیشتری داشته باشند.

فراموش نکنید از نظر کیفیت پشتیبانی TLS هنوز خیلی جای رشد و بهبود دارد. همانطور که در این مقاله گفته شد، نصب HTTPS با روند انتقال پایان پیدا نمی‌کند، بلکه همگام شدن با روند عملکرد و امنیت وبسایت و اجرای جدیدترین تکنولوژی‌ها روی آن به نفع همه افراد درگیر با سایت است.

اگر درباره https، انتقال به آن و شیوه‌های مدرن افزایش امنیت سایت تجربه و نظری دارید، آن را با ما در میان بگذارید.

نویسنده: احسان مهدیزاده