آیا لازم است وب سایت HTTPS باشد؟

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 
آیا لازم است وب سایت HTTPS باشد؟

تکنولوژی های وب روز به روز در حال پیشرفت هستند. در این رهگذر امنیت ارتباطات و کاربران اهمیت فراوانی دارد. HTTPS نیز یکی از پروتکل های بهبود امنیت ارتباط کاربر و وب سایت در فضای اینترنت است.

HTTPS (Hypertext Transfer Protocol Secure) که با آیکون قفل در نوار آدرس مرورگر اینترنتی نمایش داده می شود، راهی برای رمزگذاری و امنیت وب سایت است. استفاده از HTTPS تقریبا برای همه وب سایت ها، وب سایت هایی که دارای فرم و یا اطلاعات حساس هستند ضروری است. با این حال سایت های شرکتی با صفحات استاتیک شاید نیازی به استفاده از این روش کد گذاری نداشته باشند. در این مقاله از دارکوب به بررسی بیشتر در این زمینه می پردازیم.

وقتی شما با HTTP عادی به یک وب سایت متصل می شوید، مرورگر شما به دنبال آدرس IP سایت مقصد و اتصال به آن است و تصور می کند که به یک وب سرور صحیح متصل شده است. داده هایی که در یک ارتباط HTTP انتقال داده می شود بصورت متن های ساده هستند. بنابراین انواع شنود ها، چه از طریق یک شبکه WiFi نا امن و هکر ها، شرکت فراهم کننده سرویس اینترنت ISP یا دولت و سازمان های اطلاعاتی ممکن است. و صفحات مشاهده شده توسط کاربر و اطلاعات رد و بدل شده نیز برای آن ها آشکار است.

HTTP مشکلاتی دارد، یکی از آن ها این است که تاییدی برای اتصال به وب سایت واقعی در آن وجود ندارد. شاید کاربر فکر کند که به سایت بانک خود متصل شده است، اما در حقیقت وی در یک شبکه نا امن به یک وب سایت جعلی شبیه به سایت بانک باز مسیردهی (Redirect) شده است.

کلمات رمز و اطلاعات حساس (مانند رمزهای بانکی) نباید از طریق یک ارتباط HTTP انتقال داده شوند که در این صورت توسط شنود های مختلف قابل سوء استفاده هستند.

این مسائل در HTTP اتفاق می افتد چون بر خلاف HTTPS رمز گذاری و ایمن سازی نشده است.

SSL و HTTPS

HTTPS  HTTP over SSL) یا HTTP Secure ) استفاده از لایه یSecure Socket Layer (SSL)  یا Security Layer Security (TLS)  به عنوان یک زیر لايه تحت لایه بندی نرم افزار HTTP معمولی است. HTTPS رمزگذاری و رمزگشایی درخواستهای صفحه کاربر و نیز صفحاتی است که توسط سرور وب به آنها بازگشته است. استفاده از HTTPS محافظت در برابر استراق سمع و حملات افراد میانی می باشد. HTTPS توسط Netscape توسعه داده شد.

HTTPS و SSL از استفاده از گواهی های دیجیتال X.509 از سرور پشتیبانی می کنند تا در صورت لزوم کاربر بتواند فرستنده را تأیید کند. اگر پورت مشخص نشده باشد، HTTPS از پورت 443 به جای پورت 80 HTTP در تعاملات آن با لایه پایین تر، TCP / IP استفاده می کند.

یکی از مهمترین اجزای کسب و کار آنلاین، ایجاد یک محیط مورد اعتماد است که مشتریان بالقوه در خرید آنها اعتماد دارند. گواهینامه های SSL با ایجاد یک اتصال امن این اعتبار را ایجاد می کند.

گواهینامه های SSL یک جفت کلید دارد: یک کلید عمومی و یک کلید خصوصی. این کلیدها برای ایجاد یک اتصال رمزگذاری شده با هم کار می کنند. گواهی همچنین شامل آنچه که "موضوع" نامیده می شود، هویت صاحب گواهینامه / وب سایت است.

برای دریافت گواهی، شما باید یک درخواست امضای گواهی CSR در سرور خود ایجاد کنید. این فرایند یک کلید خصوصی و کلید عمومی در سرور شما ایجاد می کند. فایل داده CSR که به صادرکننده گواهی SSL ارسال می کنید (به نام گواهی اعتبار یا CA ) حاوی کلید عمومی است. CA با استفاده از فایل داده CSR برای ایجاد یک ساختار داده برای مطابقت با کلید خصوصی خود بدون ایجاد اختلال در کلید است. CA هرگز کلید خصوصی را نمی بیند.

پس از دریافت گواهینامه SSL، آن را بر روی سرور خود نصب کنید. شما همچنین یک گواهی میانی نصب می کنید. که معتبر بودن گواهینامه SSL شما را با گواهی ریشه CA شما را انجام می دهد.

مهم ترین بخش یک گواهی SSL این است که به صورت دیجیتال توسط یک CA معتبر خریداری شده امضا شده باشد. هر کس می تواند یک گواهینامه ایجاد کند، اما مرورگرها فقط گواهی هایی را که از یک سازمان در لیست خودشان از CA های مورد اعتماد هستند، اعتماد می کنند. مرورگرها با یک لیست از قبل نصب شده از CA های مورد اعتماد به نام فروشگاه معتبر ریشه CA شناخته می آیند. به منظور افزودن به فروشگاه معتبر ریشه CA و در نتیجه تبدیل شدن به یک گواهینامه اعتبار، یک شرکت باید بر اساس استانداردهای امنیتی و احراز هویتی که توسط مرورگر ایجاد شده است، مورد بازبینی قرار گیرد.

یک گواهی SSL صادر شده توسط CA به یک سازمان و دامنه یا وب سایت آن حاکی از آن است که شخص ثالث هویت آن سازمان را تأیید کرده است. از آنجا که مرورگر به CA اعتماد دارد، مرورگر هم اکنون هویت این سازمان را نیز مورد اعتماد قرار می دهد. مرورگر به کاربر اجازه می دهد تا بداند که وبسایت امن است و کاربر می تواند با امنیت سایت را مرور کند و حتی اطلاعات محرمانه خود را وارد کند.

 

چطور رمزگذاری HTTPS از کاربر محافظت می کند؟

وقتی کاربر با HTTPS یا همان HTTP امن به سرور متصل می شود، سایت های امن مانند بانک ها شما را به HTTPS هدایت می کنند و مرورگر کاربر گواهینامه امنیت وب سایت را بررسی و تایید می کند که گواهینامه وب سایت توسط مقامی معتبر ایجاد شده باشد. این به شما کمک می کند که اگر در نوار آدرس مرورگر اینترنتی خود HTTPS را مشاهد می کنید اطمینان داشته باشید که به سایت واقعی بانک خود متصل هستید و سروری که گواهینامه HTTPS را برای سایت صادر کرده آن را تایید می کند. با این حال گاهی اوقات این گواهینامه دچار مشکل می شوند اما به طور کلی این روش امن حساب می شود.

HTTPS یک ارتباط بانکی یا خرید آنلاین امن را ممکن می سازد. و اگر شما در این ارتباط اطلاعات حساس یا رمز بانکی را رد و بدل کنید به دلیل استفاده از رمزگذاری کسی قادر به شنود آن نخواهد بود.

همچنین این روش حریم خصوصی بیشتری برای کاربر فراهم می کند. برای مثال موتور جستجوگر گوگل به طور پیش فرض از HTTPS استفاده می کند یعنی دیگران نمی توانند ببینند که کاربر چه چیزی را جستجو می کند. همین روش نیز در ویکیپدیا نیز به کار رفته است. پیش از این هر کسی از جمله ISP ها اینترنت را برای کاربر فراهم می کنند می توانستند جستجوها کاربر را مشاهد کنند.

 

چرا HTTPS

HTTPS ابتدا برای ایمن سازی انتقال داده های پرداخت ها، کلمات عبور و سایر اطلاعات حساس به کار برده می شد اما امروز بسیاری از وب سایت ها دارند به سوی آن مهاجرت می کنند.

در ایالات متحده ISP ها اجازه دارند که تاریخچه مرورگر های اینترنتی کاربر را بکاوند تا اطلاعات آن را به کمپانی های تبلیغاتی بفروشند. اگر همه وب سایت ها از HTTPS استفاده کنند دیگر ISP ها تا این حد به اطلاعات کاربر دسترسی ندارند. آنها تنها از اینکه کاربر به چه وب سایتی متصل هستند مطلع می شوند و نه اینکه دقیقا به چه چیزی و چه صفحه ایی. این به معنای حریم خصوصی بیشتر برای کاربر است. حتی بدتر از آن ISP ها اجازه دارند اگر بخواهند در صفحاتی که کاربر بازدید می کند درت ببرند. آن ها می تواند محتوایی را به صفحات وب اضافه، حذف یا ویرایش کنند. برای مثال ISP ها در ایالات متحده می توانند از روشی برای تزریق تبلیغات در صفحات وب استفاده کنند. HTTPS از دستکاری صفحات وب سایت و هر گونه دخالت از این قبیل توسط ISP ها جلوگیری می نماید.

و البته، نمی توان درباره رمزگذاری صفحات وب سایت صحبت کرد و یاد ادوارد اسنودن نیافتاد. اسناد منتشر شده توسط اسنودن در سال 2013 نشان داد که دولت ایالات متحده صفحات وب بازدید شده توسط کاربران اینترنت را در سراسر جهان  مانیتور می کند. این مسئله باعث شد که موجی در بین شرکت های تکنولوژی به راه بیافتد تا رمزگذاری و حریم خصوصی را بهبود دهند. با حرکت به سوی HTTPS، دولت ها در سراسر جهان کار سخت تری را برای مشاهده تمام فعالیت های کاربران دارند.

در حالی که مرورگرهای اینترنتی با امکانات جدیدشان  HTTPS را جذاب تر می سازد، گوگل نیز سعی دارد که سایت های HTTPS را نیز با استفاده از یک پرچم مشخص کرده تا کاربران از تا امن بودن آن سایت آگاه باشند. به علاوه گوگل سایت هایی را که از HTTPS استفاده می کنند را در نتایج جستجو اولویت می دهد. این خود یک سیگنال مشوق برای صاحبان وب سایت برای مهاجرت به این پروتکل است.

 

چطور متوجه بشویم که با HTTPS به یک وب سایت متصل هستیم

شما با نگاه کردن به نوار آدرس وب سایت می توانید متوجه شوید که به یک وب سایت با پروتکل HTTPS متصل شده اید. در آدرس شما نام پروتکل را مشاهده خواهید نمود و همچنین یک آیکون به بشکل قفل و عبارت Secure نیز در کنار نوار آدرس وجود خواهد داشت. برای اطلاعات بیشتر شما می توانید که بر روی این آیکون کلیک کنید تا اطلاعات گواهینامه آن را مشاهده نمایید. البته ممکن است برخی مرورگرهای اینترنتی بخشی از آدرس یا آیکون HTTPS را پنهان کرده یا به شکل متفاوتی نمایش دهند. اما با این حال معمولا با کلیک بر روی نوار آدرس می توانید به این اطلاعات دست پیدا کنید.

این نکته برای سایت هایی مانند بانک ها بسیار حیاتی است. چون همیشه هکر های سود جو تلاش می کنند که کاربران و مشتریان بانک ها را به سایت های جعلی که شبیه سایت اصلی بانک است هدایت کنند. در این وضعیت کاربران با وارد کردن مشخصات خود و رمز عبور در سایت جعلی، اطلاعات حساب بانکی خود را در اختیار هکر های قرار می دهند. روشی که سال ها توسط هکرهای کشور های مختلف استفاده شده است. با اینکه این روش بسیار شناخته شده است اما امروزه هنوز هم کاربران نا آگاه را هدف قرار داده و هزینه هایی برای آن ها به بار می آورد.

 

محافظت در مقابل روش های فیشینگ

تنها وجود HTTPS نمی تواند نشان دهنده اعتبار یک سایت باشد. برخی هکر های (Phisher) باهوش دریافته اند که کاربران تنها به آیکون قفل و یا HTTPS نگاه کرده و اطمینان می یابند که سایت برای تراکنش های مهم ایمن است. بنابراین فیشر ها به دنبال راه هایی هستند که وب سایت خود را به ظاهر ایمن نشان دهند. این روش ها می تواند بسیار متفاوت باشند. بنابراین هرگز به عنوان کاربر بر روی ایمیل های Phishing کلیک نکنید چون احتمالا سر از یکی از این سایت های پر خطر در خواهید آورد. برخی کلاه برداران اینترنتی (Scammer) نیز می توانند که گواهینامه HTTPS را از سرورها دریافت کنند. به صورت تئوری آنها تنها از شبیه سازی سایت هایی که مالک آن نیستند منع شده اند. شما ممکن است که آدرس سایتی مانند https://example.com.3526347346435.com مشاهده نمایید. در این مورد کاربر از یک ارتباط HTTPS استفاده می کند اما در حقیقت به یک زیر دامنه به نام 3526347346435.com متصل شده است و نه  سایت https://example.com.

برخی دیگر از کلاه برداران ممکن است آیکون HTTPS را در نوار آدرس مرورگر اینترنتی را جعل کرده تا کاربران را فریب دهند که سایت ایمن به نظر آید.

 

HTTPS و آینده وب

ویژگی های قدرتمند و جدید پلت فرم وب مانند گرفتن عکس یا ضبط صدا، قادر ساختن برنامه آفلاین به کار کردن با service worker ها، ایجاد برنامه های پیشرفته وب، نیاز به اجازه صریح از کاربر قبل از اجرا را دارند. بسیاری از API های قدیمی تر نیز به روزرسانی شده اند و برای اجرا نیاز به مجوز کاربر دارند مانند API Geolocation. و HTTPS یک مولفه کلیدی برای گردش کار مجوز برای هر دوی این ویژگی های جدید و API های به روز شده است.

 

کلام آخر

کسب و کارهای اینترنتی برای فعالیت های خود نیاز به ایمن سازی دارند. HTTPS با فراهم کردن کلید های خصوصی و عمومی این امکان را فراهم می کند که کاربران در ارتباط خود از رمزنگاری استفاده کنند. بدون این رمز گذاری تمام فعالیت های کاربر توسط انواع هکر های سیاه و سفید قابل مشاهده می باشد. علاوه بر دسترسی به اطلاعات کاربر توسط هکر های ISP ها نیز می توانند به این اطلاعات دسترسی داشته و فعالیت های آن ها را بررسی کنند.

HTTPS با رمزنگاری ارتباط کاربر و وب سایت مورد نظر می تواند تا حد زیادی ایمنی اینترنت را افزایش دهد. از سوی دیگر با توسعه تکنولوژی و API ها HTTPS یک ضرورت برای استفاده از این امکان است که تایید کاربران را در استفاده از این امکان ممکن می سازد.

آینده وب به سوی استفاده روز افزون از ارتباط های HTTPS است. و موتور جستجوگر اینترنتی گوگل نیز برای سایت هایی که از این پروتکل استفاده می کند تا حدی اولویت در رتبه بندی قائل می شود.

اگر چه شاید از نظر سئو استفاده از HTTPS خیلی در رتبه بندی محسوس نیست با این حال می تواند مقداری نیز بر تجربه کار و حس امنیت دهی به وی موثر باشد. بنابراین استفاده از این پروتکل برای سایت هایی که تراکنش مالی و یا انتقال اطلاعات شخصی کاربر را بر عهده دارند اجباری است. این نوع تبادل می تواند تنها محدود به فرم در سایت باشد و یا اینکه یک ترانکش مالی در سایت بانکی را شامل شود. بنابراین تا می توان گفت که استفاده از HTTPS برای سایت ها می تواند مفید باشد اما برای سایت هایی کوچک استاتیک (سایت های شرکتی) استفاده چندانی ندارند.

طراحی سایت دارکوب


طراحی سایت دارکوب | هاست دارکوب | دارکوب نام و علامت تجاری ثبت شده این مجموعه می باشد