این نکات را در مورد HTTPS بدانید

HTTPS از Hyper Text Transfer Protocol Secure گرفته شده است، به عبارت دیگر همان پروتکل HTTP بوده که امنیت بیشتری دارد. داده‌ها به دو روش از طریق مرورگر ارسال و دریافت می‌شوند: Standard و Secured. وقتی از سایت‌هایی بازدید می‌کنید که از HTTP استاندارد استفاده می‌کنند، به این معنی است که ارتباط شما با سرور بدون رمز عبور برقرار می‌شود که در بیشتر موارد چیز خوبی است، زیرا در این حالت فقط محتوای ارائه شده توسط وب سایت را می‌خوانید و داده‌های شخصی خود را رد و بدل نمی‌کنید.

اما در مواردی که اطلاعات شخصی ارائه می‌دهید (به ویژه داده‌های صورت‌حساب یا بانکی)، این روش بهینه نیست زیرا یک هکر می‌تواند آن محتوا را ردیابی کرده و در همان لحظه آن‌ها را تغییر دهد، که به نوبه خود می‌تواند منجر به تلاش برای هک یا سرقت اطلاعات شود. این بدان معناست که برای مشاغل آنلاین و وب سایت‌های تجارت الکترونیک، استفاده از HTTP مطلقا قابل قبول نیست. بنابراین تبادل داده‌های خصوصی مانند تراکنش کارت اعتباری به HTTPS نیاز دارد، اما با گسترش حملات مخرب در حوزه هک، تقاضا برای آنچه Google HTTPS Everywhere نامیده می‌شود روز به روز در حال افزایش است.

اهمیت HTTPS چه زمانی مشخص می شود؟

اکنون که HTTPS را می‌شناسید، باید بدانید چرا مهم است. به عبارت ساده HTTPS به ایمن نگه داشتن فعالیت‌های مرور وب کمک می‌کند. یک سایت HTTP که رمزنگاری ندارد، می‌تواند بیشتر در معرض حملات قرار گیرد. هک شدن سایت ممکن است منجر به نصب نرم‌افزارهای مخرب بر روی آن شود و بر بازدیدکنندگان هم تأثیر بگذارد، چرا که بدافزارها به مرورگر منتقل می‌شوند. این وضعیت با تلاش‌های هک خودکار در سراسر جهان به یک نگرانی فزاینده تبدیل شده است. پس استفاده از HTTPS به خنثی کردن بسیاری از این حملات با تبدیل انتقال داده‌ها به اتصالات رمزگذاری شده کمک می‌کند، زیرا شکستن مکانیزم‌های رمزگذاری دشوارتر است.

استفاده از HTTPS می‌تواند به وب سایت ایمن‌تر منجر شود. تاکنون راه طولانی طی شده، اما هنوز کارهای زیادی برای فراگیرشدن HTTPS وجود دارد. همچنین مهم است به یاد داشته باشید که HTTPS تنها عاملی نیست که در ایجاد وب سایت‌های ایمن باید در نظر گرفته شود، بلکه مراحل دیگری نیز وجود دارد که مدیران وب باید برای امنیت سایت‌ها اجرا کنند.

ایرادات در گذشته

چرا HTTPS اکنون اهمیت بیشتری پیدا کرده است؟ HTTPS برای به دست آوردن محبوبیت تلاش زیادی کرده، زیرا قبلا گواهی‌های SSL (مسئول ایجاد مکانیزم‌های رمزگذاری) رایگان نبودند. بنابراین برای اعتبار بخشیدن به سایت باید گواهی خاصی صادر شود. از این رو تنها گزینه برای افرادی که بودجه کمی دارند، استفاده از گواهینامه‌های self-signed است. هرچند جایگزین مناسبی نیستند (به این دلیل که هشداری را روی مرورگر ارسال می‌کنند)، اما همین اخطار به منظور جلوگیری از تلاش کاربران برای دسترسی به سایت کافی است، چرا که نادیده گرفتن آن بسیار خطرناک به نظر می‌رسد. از طرفی هم باعث می‌شود تلاش برای افزایش حضور کاربران آنلاین بی‌فایده باشد.

این یک نقطه ضعف بزرگ برای وبلاگ نویسان و مشاغل کوچک در سراسر جهان بوده است. با این‌که شرکت‌های بزرگتر مشکلی با هزینه ندارند، وبلاگ نویسان با بودجه‌ای که هنوز درآمد کافی از وب سایت خود ایجاد نمی‌کنند، به سادگی نمی‌توانند برای چنین گواهی‌هایی هزینه کنند. علاوه بر همه این‌ها هنگامی که یک وب سایت با HTTPS بارگیری شود، زمان بارگذاری سایت نیز کاهش می‌یابد. این امر به دلیل سربار اضافی است که سرور باید با رمزگذاری تمام داده‌ها قبل از ارسال آن متحمل شود.

قدرت بیشتر پردازنده‌ها، مکانیزم‌های رمزنگاری را تغییر داده‌اند

با ظهور سخت‌افزارهای جدید، پردازنده‌های قوی، وب سرورهای سریع (مانند nginx و lighttpd) و مکانیزم‌های کش (مانند varnish)، هزینه‌های سربار برای پشتیبانی از HTTPS بسیار کاهش یافته است. این بدان معناست که پذیرندگان جدید SSL نیازی به نگرانی در مورد کاهش زمان بارگذاری ندارند. به علاوه پروتکل جدید TLSv1.2 معرفی شده برای SSL، ورژن 3 آن را منسوخ کرده و راه را برای پذیرش سریع‌تر SSL هموار کرده است.

همچنین راه‌اندازی HTTP/2 نیز آخرین میخ کوبیده شده در تابوت حامیان HTTP خواهد بود. HTTP/2 یک پروتکل بهبود یافته نسبت به HTTP اصلی است که طراحی و توسعه یافته است. HTTP unencrypted پروتکل قدیمی‌تری است که به خوبی کار می‌کند، اما برای نیازهای امروزی بهینه‌سازی نشده است.

HTTP/2 از روش مالتی پلکسینگ برای بهبود عملکرد نسبت به HTTP سنتی بهره می‌گیرد مجموع این عوامل با هم تأثیر اجرای یک سایت با HTTPS را تقریبا به صفر می‌رساند. اما هزینه آن چگونه است؟ پاسخ این سوال را با معرفی Let’s Encrypt خواهیم داد.

حساسیت گوگل برای استفاده از HTTPS

گوگل قبلا در سال ۲۰۱۵ پذیرش HTTPS را به عنوان بخشی از الگوریتم رتبه‌بندی سئوی خود در نظر گرفته بود. سپس در سال ۲۰۱۶ اعلام کرد که قصد دارد یک افزایش رتبه بسیار جزئی را برای همه وب سایت‌هایی که از HTTP به HTTPS سویچ می‌کنند، در نظر بگیرد. هرچند در حال حاضر به اندازه‌ای نیست که بر رتبه‌بندی تأثیر زیادی بگذارد، اما احتمالا در آینده تاثیر بیشتری خواهد داشت.

با وجود پروتکل HTTP/2 که اکنون به طور گسترده پذیرفته شده و حتی افزایش تعداد کاربران Let’s Encrypt که به میلیون‌ها نفر در سراسر جهان رسیده، گوگل حرکت بعدی خود را آغاز کرده است. آن‌ها اعلام کردند که نمایش علامت تعجب برای همه سایت‌هایی که رمزگذاری نشده‌اند (از به‌روزرسانی اخیر کروم) را در نظر می‌گیرند.

به علاوه وب سایت‌های HTTP که داده‌های حساس کاربر (مانند رمز عبور، اطلاعات کارت اعتباری و …) را منتقل می‌کنند، با علامت هشدار قرمز علامت‌گذاری کردند. این کار بدون شک منجر به ایجاد بی‌اعتمادی نسبت به تمام سایت‌هایی که تغییر را انجام نمی‌دهند، می‌شود. با تغییر روزافزون سایت‌ها به HTTPS و افزایش استفاده از اینترنت در سراسر جهان، HTTPS دیگر به یک استاندارد واقعی تبدیل شده است.

جمع‌بندی مقاله

بالاخره فناوری‌های جدید وارد شدند تا HTTPS را بسیار جذاب‌تر کنند. با آمدن وب سرورهای سریع‌، پردازنده‌های قوی، مکانیزم‌های رمزگذاری بهتر از طریق TLSv1.2، پروتکل HTTP/2 و Let’s Encrypt که به هر کسی گواهینامه‌ رایگان ارائه می‌دهد، راه برای پذیرش HTTPS هموارتر شده است. به علاوه اعمال تغییر گوگل توسط به‌روزرسانی‌های اخیر، فشار دیگری برای حرکت به سمت HTTPS تحمیل می‌کند. اما نگران نباشید همانطور که در ابتدای مطلب گفته شد، برای وبلاگ‌ها و سایت‌های کوچک نیاز نیست در گرفتن HTTPS عجله کنید. شما باید به دقت در مورد حرکت خود از HTTP به HTTP تصمیم بگیرید، زیرا می‌تواند بر رتبه‌بندی سئوی شما تأثیر بگذارد. اما برای وب‌سایت‌های مبتنی بر تجارت الکترونیک باید HTTPS در صفحات لاگین و درگاه پرداخت حتما فعال باشد تا از مشاهده هشدار جلوگیری شود.