http یا https - پروتکل ssl

پروتکل SSL چطوری کار می‌کنه و چرا مهمه؟

پروتکل SSL مخفف Secure Sockets Layer هست.

این پروتکل، یه پروتکل مهم برای ایمن‌سازی و احراز هویت داده‌ها تو اینترنته.

به‌خاطر جنبش‌هایی مثل «همه‌چیز رو رمزگذاری کنید» و فشار گوگل برای پذیرش گسترده‌تر این پروتکل، SSL یه موضوع مشهور تو حوزۀ وب هست.

ولی با وجود این اهمیت، خیلی از وب‌مسترها هنوز مطمئن نیستن که SSL چطوری کار می‌کنه و چرا مهمه؟ یا حتی در وهلۀ اول، SSL مخفف چیه!

با وجود اینکه معنای این مخفف رو گفتیم، تو این مطلب کمی عمیق‌تر می‌شیم و به شما می‌گیم که SSL چیه، به‌علاوۀ اینکه چطوری کار می‌کنه تا وب رو به مکان بهتری هم برای شما و هم برای بازدیدکننده‌های سایتتون تبدیل کنه.

پروتکل SSL مخفف چیه؟ SSL چطوری کار می‌کنه؟

فقط برای تکرار، SSL مخفف Secure Sockets Layer هست.

این پروتکل، پروتکلیه که برای رمزگذاری و احراز هویت داده‌های ارسال‌شده بین یه برنامه (مثلاً مرورگر شما) و یه وب‌سرور استفاده می‌شه.

این باعث می‌شه که یه وب امن‌تر هم برای شما و هم برای بازدیدکننده‌های سایتتون ایجاد بشه.

پروتکل SSL، نزدیک به یه مخفف دیگه به‌اسم TLS هم هست. TLS، مخفف عبارت Transport Layer Security، جانشین و نسخۀ به‌روزتر پروتکل اصلی SSL هست.

خب! SSL ابتدا از کجا اومد و چطوری با TLS به جایگاه امروزی رسیدیم؟ SSL نسخۀ ۱.۰، توسط Netscape در اوایل دهۀ ۱۹۹۰ توسعه پیدا کرد. ولی به‌دلیل نقص‌های امنیتی، هرگز برای عموم منتشر نشد.

اولین انتشار عمومی SSL، نسخۀ SSL 2.0 بود که تو فوریه ۱۹۹۵ انجام شد.

در حالی که این نسخه نسبت به نسخۀ SSL 1.0 که منتشر نشده بود، بهبود پیدا کرده بود، SSL 2.0 هم شامل مجموعه‌ای از نقص‌های امنیتی بود که منجر به طراحی مجدد کامل شد و یه سال بعد، نسخۀ SSL 3.0 منشتر شد.

نسخۀ SSL 3.0 آخرین نسخۀ عمومی بود و تو سال ۱۹۹۹ زمانی که TLS به‌عنوان جایگزین معرفی شد، از بین رفت.

تو این مرحله، SSL 3.0 منسوخ شده و به‌دلیل آسیب‌پذیری‌ش در برابر حملۀ POODLE، دیگه ایمن در نظر گرفته نشد.

در مورد TLS، الان نسخۀ TLS 1.3 هست که تعدادی بهبود تو عملکرد و امنیت داشته.

پس چرا همۀ ما از گواهینامه‌های TLS استفاده نمی‌کنیم؟

یحتمل شما دارید این کار رو می‌کنید.

اگرچه جامعۀ وب عموماً به‌سادگی از این گواهی‌ها به‌عنوان گواهی SSL یاد می‌کنه، اما در واقع گواهی‌ها تابع پروتکل خاصی به اسم خودشون نیستن. در عوض پروتکل واقعی استفاده‌شده توسط سرور شما تعیین می‌شه. این به این معنیه که حتی اگه فکر می‌کنید چیزی به اسم گواهی SSL رو نصب کردید، احتمالاً در واقع دارید از پروتکل TLS به‌روزتر و امن‌تر استفاده می‌کنید.

با این حال، تا زمانی که جامعۀ وب اصطلاحات TLS رو نپذیره، احتمالاً به‌خاطر راحتی، چنین گواهی‌هایی رو که اغلب بهشون گواهی‌های SSL می‌گن، مشاهده می‌کنید.

پروتکل‌های HTTPS و SSL چه ربطی به هم دارن؟

کسایی که اینترنت رو ساخته‌ن، عاشق کلمه‌های مخفف خودشون هستن. اصطلاح دیگه‌ای که معمولاً موقع صحبت در مورد SSL/TLS مورد بحث قرار می‌گیره، HTTPS هست. HTTP (بدون S) مخفف عبارت Hypertext Transfer Protocol هست.

پروتکل HTTP و جانشین اون، HTTP/2، هر دو پروتکل‌های کاربردی‌ای هستن که نحوۀ انتقال اطلاعات تو اینترنت رو پایه‌ریزی می‌کنن.

اینا اساساً پایه و اساس ارتباطات داده تو اینترنت هستن.

وقتی S رو به آخر HTTP اضافه می‌کنید، به‌سادگی به پروتکل انتقال ابرمتن امن تبدیل می‌شه (یا HTTP از طریق TLS یا HTTP از طریق SSL).

اساساً، SSL/TLS اطلاعات ارسال و دریافت‌شده از طریق HTTP رو ایمن می‌کنه.

این یه سری مزایا داره…

مزایای استفاده از SSL/TLS چیه؟

خیلی از وب‌مسترها با این فرضِ غلط کار می‌کنن که SSL/TLS فقط برای سایت‌هایی که اطلاعات حساسی مثل کارت‌های اعتباری یا جزئیات بانکی رو پردازش می‌کنن، مزایایی دارن.

و در حالی که SSL/TLS مطمئناً برای اون سایت‌ها ضروریه، مزایای SSL/TLS به‌هیچ‌وجه محدود به اون حوزه‌ها نیست.

یکی از مزایای اصلی SSL/TLS، رمزگذاریه.

هر زمان که شما یا کاربرهاتون اطلاعاتی رو تو سایتتون وارد می‌کنید، اون داده‌ها قبل از رسیدن به مقصد نهایی، از چندین نقطۀ تماس عبور می‌کنه.

بدون SSL/TLS، این داده‌ها به صورت متن ساده ارسال می‌شن و عوامل مخرب می‌تونن این داده‌ها رو استراق سمع کنن یا تغییر بدن. SSL/TLS حفاظت نقطه‌به‌نقطه رو برای اطمینان از ایمن‌بودن داده‌ها در طول حمل‌ونقل ارائه می‌ده.

حتی یه صفحۀ ورود به سایت هم باید رمزگذاری بشه!

اگه گواهی SSL وجود داشته باشه اما معتبر نباشه، بازدیدکننده‌های شما ممکنه با خطای «اتصال شما خصوصی نیست» مواجه بشن.

یکی دیگه از مزایای کلیدی، احراز هویت هست.

یه اتصال SSL/TLS کارآمد تضمین می‌کنه که داده‌ها به‌جای یه «مرد وسط» مخرب، به سرور صحیح ارسال و دریافت می‌شن. یعنی به جلوگیری از جعل هویت نادرست یه سایت توسط عوامل مخرب کمک می‌کنه.

سومین مزیت اصلی SSL/TLS یکپارچگی داده‌هاست.

اتصالات SSL/TLS با قرار دادن کد احراز هویت پیام یا MAC تضمین می‌کنه که داده‌ها در حین انتقال از بین نمی‌رن یا تغییری توشون ایجاد نمی‌شه.

این تضمین می کنه که داده‌هایی که ارسال می‌شن، بدون هیچ‌گونه تغییر یا تغییرات مخرب دریافت می‌شن.

فراتر از رمزگذاری، اصالت و یکپارچگی، مزایای کمتر فنیِ دیگه‌ای مثل موارد زیر هم وجود دارن:

پتانسیلی برای بهبود رتبه‌بندی در جست‌وجوی ارگانیک گوگل

افزایش اعتماد بازدیدکننده‌ها

چطوری می‌تونید تشخیص بدید که یه وب‌سایت از SSL/HTTPS استفاده می‌کنه؟

ساده‌ترین راه برای دیدن اینکه آیا یه وب‌سایت از SSL/TLS استفاده می‌کنه اینه که به مرورگرتون نگاه کنید.

اکثر مرورگرها اتصالات ایمن رو با یه آیکن قفل در کنار آدرس سایت و یا یه پیام علامت‌گذاری می‌کنن.

آیا گوگل سایت‌هایی رو که از SSL استفاده نمی‌کنن، جریمه می‌کنه؟

گوگل مجموعه‌ای از مجازات‌ها یا هشدارهای شدید رو در Google Chrome برای سایت‌هایی که نصب گواهی‌های SSL رو نصب نمی‌کنن، در نظر گرفته.

این جریمه‌ها تو ژانویه ۲۰۱۷ با ارائۀ یه هشدار غیر ایمن در صفحاتی که جزئیات کارت اعتباری یا رمزهای عبور بدون گواهی SSL رو درخواست می کردن، شروع شد.

این تغییر، اولین فشار در تلاش گوگل برای افزایش استفاده از SSL و HTTPS بود. اما بعدا گوگل پاش روفراتر از این هم گذاشت.

افزایش هشدارهای غیر ایمن در اکتبر ۲۰۱۷

تو اکتبر ۲۰۱۷، گوگل اعلان‌های تهاجمی‌تری رو منتشر کرد. با شروع Chrome 62 (منتشرشده در ۱۷ اکتبر ۲۰۱۷)، Google اخطار غیر ایمن رو به موارد زیر، اضافه کرد:

همۀ صفحات HTTP که تو اون‌ها، کاربرها هر نوع داده‌ای رو وارد می‌کنن، از جمله چیزهای ساده‌ای مثل کادر جست‌وجو. این هشدار تو بارگذاری اولیۀ صفحه ظاهر نمی‌شه، ولی هر زمانی که کاربر شروع به واردکردن داده‌ها تو یه فیلد بکنه، ظاهر می‌شه.

گوگل داره بیشتر از پیش، تهاجمی می‌شه!

برنامۀ بلندمدت گوگل اینه که در نهایت همۀ صفحه‌های HTTP رو با عنوان غیر ایمن علامت‌گذاری کنه. این به این معنیه که حتی اگر از کاربرها نخواید که هیچ نوع فرمی رو پر کنن، در نهایت بدون توجه به هر چیزی، گرفتار این هشدار می‌شید.

به همین دلیل، مهمه که همین الان برنامه‌ریزی برای انتقال به SSL/TLS و HTTPS رو شروع کنید.

تو سال ۲۰۲۰، Chrome شروع به نمایش اعلان‌های هشدارِ ERR_SSL_OBSOLETE_VERSION زمانی که سایت‌ها از TLS 1.0 یا TLS 1.1 (نسخه‌های قدیمی) استفاده می‌کنن، کرد.

بعد از نصب گواهی SSL باید چی‌کار کرد؟

بله! اقدامات فنی و غیرفنی‌ای وجود داره که باید بعد از نصب گواهی SSL انجام بدید.

اول، تو سطح فنی، مهمه که همۀ ترافیک HTTP رو به HTTPS هدایت کنید. همچنین باید مطمئن بشید که هیچ دارایی‌ای (Asset) رو از طریق HTTP بارگیری نمی‌کنید. معمولاً، این تصاویر یا محتوای خارجی شما خواهد بود، مثل اسکریپت‌ها یا خدمات تبلیغات خارجی. این به شما کمک می‌کنه تا از هشدار محتوای مختلط جلوگیری کنید.

فراتر از این دو جزئیات فنی، بسته به ابزاری که استفاده می‌کنید، بهتره که کارهای زیر رو هم انجام بدید:

نسخۀ HTTPS سایتتون رو تو Google Webmaster Tools اضافه کنید.

مطمئن بشید که اسکریپت‌های ردیابی مثل Google Analytics یا بقیه، برای کار با HTTPS تنظیم شده‌ن.

مطمئن بشید که هیچ پیام خطای مربوط به اتصال SSL دریافت نمی‌کنید.

در مجموع، SSL/TLS یه پروتکل مهم برای ایجاد یه وب امن و ایمنه.

و حالا که می‌دونید SSL چطوری کار می‌کنه، اگه تا الان این تغییر رو انجام ندادید، توصیه می‌کنیم یه گواهی SSL/TLS نصب کنید و سایتتون رو به HTTPS منتقل کنید.

اگه این موضوع براتون گیج کننده بود و فکر می‌کنید که نمیتونید سایت‌تون رو به پروتکل SSL/TLS مجهز کنید، نگران نباشید ما تمامی سایت‌هایی که طراحی می‌کنیم رو به صورت امن با پروتکل SSL/TLS به شما تحویل میدیم و شما نیاز به انجام هیچ کار اضافه‌ای ندارید.

برای دریافت اطلاعات بیشتر و مشاوره رایگان با ما تماس بگیرید.

شماره تماس (شنبه تا چهارشنبه، ساعت ۹ تا ۱۷): ۰۱۳۳۳۶۰۹۰۶۴

وب‌سایت کاراوب: https://www.karawebco.ir

طراحی سایت فروشگاهی: https://www.karawebco.ir/ecommerce.html

برای خوندن مطالب بیشتر، به صفحۀ اصلی وبلاگ کاراوب مراجعه کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.