قبل از اینکه خیلی دیر شود شما هم از HTTPS استفاده کنید

ارسال شده توسط: سید محمد قائمی دیدگاه ها: 0 دیدگاه

قبل از اینکه خیلی دیر شود شما هم از HTTPS استفاده کنید

گوگل ، موزیلا و دیگر مراجع اینترنت به مالکان وبسایت ها فشار می آورند تا با HTTPS سازگاری یابند. به زودی ، گوگل کروم با نمایش هشداری به معنی “ایمن نیست” شروع به علامت گذاری سایت های غیر HTTPS می کند.

در واقع استفاده از HTTPS یکی از فاکتورهای مهم در طراحی سایت حرفه ای به حساب می آید. نسخه 68 کروم اخیرا به صورت بتا ارائه شده است. زیاد طول نمی کشد که هر کسی بتواند مرورگر خود را به کروم 68 ارتقاء دهد و هشدارهای “ایمن نیست” را در وبسایت های بدون SSL مشاهده کند.

دلایل انتقال به HTTPS

این یک حقیقت است که وبسایت های دارای HTTPS رتبه ی بالاتری در نتایج جستجوی گوگل به دست می آورند. بازاریابان دخیل در بهینه سازی موتور های جستجو باید این نکته را بدانند. وبسایت هایی که ایمن نیستند ، هیچ جایی در صدر و بالای SERPها (صفحات نتایج موتورهای جستجو) ندارند. این روشی است که گوگل برای تشویق کاربران به انجام اقدامات خوب امنیتی پیش گرفته است ، اما گوگل در این روش فقط به افرادی که اقدامات خوب انجام داده اند پاداش نمی دهد ، بلکه آن دسته افرادی که اقدامات امنیتی لازم را اتخاذ نکرده اند را نیز مجازات می کند.

یکی از همکارانم سال قبل مقاله ای با عنوان” گوگل سایت های بدون HTTPS را در لیست سیاه قرار می دهد” نوشت. اگر سایتی حاوی فرم های پرداخت با کارت اعتباری یا محل های ورود رمز عبود باشد ، اما مجوز SSL نداشته باشد ، اطلاعات بازدید کنندگان را به خطر می اندازد. عاقلانه است که پیش از اینکه کاربر اطلاعات شخصی اش را در چنین سایت های وارد کند به او هشدار داده شود. اگر وبسایت شما هر کدام از این موارد ذکر شده را دارا می باشد ، پس پرهیز از دریافت یک هشدار امنیتی از طرف موتورهای جستجو یک انگیزه ی دیگر برای شروع استفاده ی هر چه سریع تر از HTTPS است.

اگر تصمیم گرفته اید فعلا صبر کنید ، این ممکن است به کسب و کار شما صدمه بزند

وقتی کاربران در مرورگر کروم خود هشداری را مشاهده می کنند ، اما مرورگرهای فایرفاکس و دیگر مرورگرها چنین هشداری نمی دهند ، ممکن است سریعا از آن وبسایت خارج شوند. این حرف به خصوص برای وبسایت های فروشگاهی صدق می کند چون آنها ممکن است بیشترین خسارت را از این لحاظ ببینند. کاربران مسلما دوست ندارند از وبسایتی که در ابتدا هشدار نا ایمن بودن آن را مشاهده کرده اند چیزی بخرند.

SSL فقط از محتوای پویایی همچون فروشگاه اینترنتی ، اطلاعات ورود کاربر و داده های حساس محافظت نمی کند. برخی افراد ممکن است ادعا کنند که وبسایتشان استاتیک و ساده است (یعنی هیچ فرم ورود یا اطلاعات حساس کاربری ندارد) پس شاید دلیلی وجود ندارد که وبسایتشان را HTTPS کنند. این حرف کاملا نادرست است. نه تنها مرورگرها و موتورهای جستجو سایت هایی را تایید می کنند که از HTTPS استفاده می کنند ، بلکه SSL از دستکاری شدن صفحات در هنگام انجام تراکنش یا تغییر و تحول ها، نیز جلوگیری می کند. در دنیای امنیت ، این وضعیت را با عنوان “حمله ی همه جانبه” می شناسند.

من پیشبینی می کنم که به زودی بازدید کنندگان بدون توجه به اینکه از چه مرورگری استفاده می کنند، هشدارهای ایمن نبودن را در سایت های HTTP مشاهده خواهند کرد.

این هم آمارهایی که گوگل منتشر کرده است:

  • بیش از 68% از ترافیک کروم ، چه در اندروید و چه در ویندوزها در حال حاضر محافظت شده است.
  • بیش از 78% از ترافیک کروم هم در ویندوزها و هم در مک ها محافظت شده است.
  • 81 مورد از 100 سایت برتر اینترنت به صورت پیشفرض از HTTPS استفاده می کنند.

هشدارهای محتوای ترکیبی – غیر ایمن

این نکته نیز مهم است که  SSL را به صورت صحیح و بدون محتوای ترکیبی که امنیت را به خطر می اندازند پیاده سازی کنیم. محتوای ترکیبی زمانی اتفاق می افتند که منابع یک صفحه (مثلا تصاویر آن) کد نویسی نشده اند و HTTPS را به خطر انداخته اند. چنین کاری ممکن است باعث لو رفتن اطلاعات شود.

برطرف کردن محتوای ترکیبی ممکن است فرآیند مشکلی باشد و گاهی به همین دلیل وبسایت های دارای SSL معتبر هم با مشکلات و ارورهایی مواجه هستند. اگر کمی جستجو کنید مقاله هایی وجود دارند که توضیح می دهند چگونه می توانید “هشدارهای محتوای ترکیبی” را از بین ببرید.

اگر هنوز هم در تشخیص اینکه کدام محتوا باعث به وجود آمدن هشدارهای محتوای ترکیبی می شوند با مشکل مواجه هستید، می توانید از این ابزار استفاده کنید: https://www.whynopadlock.com

SSL رایگان Let’s Encrypt و فایروال Sucuri

شرکت Sucuri (از شرکت های معتبر در زمینه امنیت وردپرس) مدتی است که با Lets Encrypt همکاری می کند و همه ی کاربرانی که از فایروال تحت وب این شرکت برای وبسایتشان استفاده می کنند می توانند از سیستم SSL رایگان Lets Encrypt نیز بهره ببرند.

اگر هاست شما از HTTPS پشتیبانی نمی کند، فایروال Sucuri یک پشتیبانی یک طرفه (سمت کلاینت) فراهم می کند. این کار آنها را قادر می سازد تا اتصال و ارتباط بین کاربر و سرورهایشان را رمزگذاری کنند. مجوز HTTPS هیچ مشکلی بین Sucuri و سرور هاست اصلی ایجاد نمی کند. این یک کانفیگ و وضعیت ایده آل نیست ، اما به عنوان اولین گام به سمت بهبود وضعیت ایمنیتی اطلاعات (در صورتی که هاست شما از HTTPS پشتیبانی نکند) بد نیست.

نتیجه

هیچ دلیل خوبی برای استفاده نکردن وبسایت شما از HTTPS وجود ندارد. هنوز هم شایعاتی مبنی بر اینکه HTTPS برای پردازش های سرور و سرعت های شبکه مالیات می اندازد وجود دارند. به هر حال ، امروزه این مشکل بزرگی نیست. هر نوع مشکل عملکردی در این رابطه تا به امروز مدت هاست که برطرف شده است. همچنین دیگر مجبور نیستید برای یک مجوز SSL هزینه بپردازید. Lets Encrypt به طور رایگان این مجوز را برای شما فراهم می کند.

منبع: sucuri.net

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آنالیز رایگان سایت شما و رقبا

دوست دارید بدانید رقبا چه برتری هایی نسبت به شما دارند؟

کاملا رایگان سایت شما و رقبا را بررسی می‌کنیم.متوجه خواهید شد رقبا چه اقدامات مفیدی کرده اند که از آن بی خبرید!
فقط کافیست آدرس ایمیل و آدرس وبسایت خود یا رقیبتان را وارد کنید.