چگونه SSL وب سایت شما را ایمن تر می کند؟

آیا تاکنون توجه کرده‌اید که برخی از URLها با «http://» شروع می‌شوند، در حالی که برخی دیگر با «https://» شروع می‌شوند؟ شاید هنگام بازدید از وب سایت‌هایی که نیاز به دادن اطلاعات مهم دارند مانند وقتی که قبض‌های آنلاین را پرداخت می‌کردید، متوجه این «s» اضافه شده اید حتی ممکن است که از بقیه در مورد اس اس ال ssl شنیده باشید!

اما این «s» مربوط به SSL ازکجا آمده است و معنی آن چیست؟

به عبارت ساده، «s» به معنای اتصال شما به وب سایت ایمن و رمزگذاری هر داده‌ای که وارد می‌کنید است و بدون هیچ خطری با آن وب سایت به اشتراک گذاشته می‌شود. فن آوری‌ای که به «s» این قدرت را می‌دهد SSL نام دارد که مخفف Secure Sockets Layer است.

در این پست، می‌خواهم SSL را بررسی کنم، یک نسخه به روز شده از Google Chrome که سریعا وب سایت‌های ناامن را پرچم گذاری می‌کنند، اما شما چگونه می‌توانید SSL را ارزیابی و نصب کنید.

SSL چیست؟

ابتدا با تعریفی از سایت SSL.com شروع می‌کنیم:

SSL یک فناوری امنیتی استاندارد برای ایجاد پیوند رمزگذاری شده بین یک سرور وب و یک مرورگر است. این پیوند تضمین می‌کند که کلیه اطلاعات منتقل شده بین سرور وب و مرورگر محرمانه باقی بماند.

بیایید آن را بررسی کنیم:

وقتی در صفحه وب سایتی که دارای یک فرم است قرار می‌گیرید، پس از آن که فرم تکمیل شد و آن را ارسال کردید، این اطلاعاتی که وارد کرده‌اید توسط یک هکر در وب سایت نا امن قابل رهگیری است. این اطلاعات می‌تواند از جزئیات مربوط به معامله بانکی، تا هر اطلاعات ارزشمندی که برای ثبت نام در یک فرم وارد می‌کنید باشد. در زبان هکرها این «رهگیری» اغلب به عنوان «Man in the middle attack» منسوب می‌شود.

حمله واقعی می‌تواند از چند طریق اتفاق بیفتد، اما یکی از متداول‌ترین آن‌ها این است: هکر یک برنامه شنود کوچک و غیرقابل شناسایی را روی سرور وب سایت میزبان قرار می‌دهد. این برنامه در پس زمینه منتظر می‌ماند تا یک بازدیدکننده شروع به تایپ کردن اطلاعات در وب سایت کند آنگاه فعال می‌شود تا شروع به گرفتن اطلاعات کرده و سپس آن را مجددا به هکر ارسال کند. موردهای ترسناک دیگر فقط فیلم‌های علمی تخیلی نیستند.

اما زمانی که به وب سایت رمزگذاری شده توسط SSL مراجعه می‌کنید، مرورگر شما با وب سرور ارتباط برقرار می‌کند، به تاییدیه SSL نگاه می‌کند و سپس مرورگر شما و سرور را به هم وصل می‌کند. این اتصال ایمن است به طوری که هیچ کس غیر از شما و وب سایتی که اطلاعات را برای آن ارسال می‌کنید به هرآنچه تایپ می‌کنید دسترسی ندارد.

این ارتباط بلافاصله اتفاق می‌افتد و در حقیقت بسیاری اظهار دارند که اکنون از اتصال به یک وب سایت نا امن سریعتر است. بسیار ساده است شما باید به وب سایت با SSL و voila مراجعه کنید: اتصال شما به طور خودکار ایمن می‌شود.

هر آن چیز که باید درباره Chrome 62 و SSL بدانید

گوگل آماده انتشار نسخه جدیدی از مرورگر محبوب Chrome خود (نسخه ۶۲) است که نشان می‌دهد یک صفحه زمانی امن نیست که دارای یک فرم است اما SSL فعال ندارد. Chrome تقریبا ۴۷٪ سهم بازار مرورگر را دارد، بنابراین هنگامی که این بروزرسانی به ثمر برسد، تعداد قابل توجهی از وب سایت‌ها بلافاصله تحت تأثیر قرار می‌گیرند.

طبق تحقیقات اخیر HubSpot، در صورت عدم امنیت وب سایت وردپرسی حداکثر ۸۵٪ از افراد از جستجو دست می‌کشند. در ژانویه سال ۲۰۱۷ گوگل به روزرسانی مشابهی را منتشر کرد که فقط برای سایت‌هایی که اطلاعات مهم مانند گذرواژه‌ها یا شماره کارت‌های اعتباری را جمع می‌کنند، اعمال شد. با توجه به این نکته کاربران اکنون با هشدار «امن نیست» آشنا هستند و طبق تحقیقات زیر اغلب سایت‌ها را به این علت ترک می‌کنند.

اگر از حالت ناشناس در مرورگر خود استفاده کنید Chrome همیشه در صورت عدم تاییداعتبار SSL هشدار «امن نیست» را نشان می‌دهد. اگر از Chrome خارج از حالت ناشناس استفاده می‌کنید هشدار «امن نیست» فقط هنگامی نمایش داده می‌شود که شروع به وارد کردن اطلاعات در فرم کنید.

این بدان معناست که هر جا میزبان محتوایی که حاوی فرمی است هستید، حتی اگر فقط درخواست یک آدرس ایمیل ساده را دارد باید SSL را فعال کنید. به خاطر داشته باشید اگر محتوا را در سیستم عامل‌های مختلف میزبانی می‌کنید، صحبت با هر یک از آن‌ها و اطمینان از راه اندازی SSL قبل از تحقق به روزرسانی Google Chrome حائز اهمیت است. در واقع، اگر این امر شما را منع نمی‌کند بهتر است SSL را در کل وب سایت خود فعال کنید، بدون توجه به اینکه فرم در صفحه وجود داشته باشد یا خیر، زیرا می‌تواند مزایای SEO را داشته باشد که در بخش بعدی به آن میپردازیم.

آیا SSL برای SEO مناسب است؟

بله در حالی که هدف اصلی SSL ایمن سازی اطلاعات بین بازدید کننده و وب سایت شماست مزایایی نیز برای سئو وجود دارد. مطابق با تحلیلگران ترندهای وب مستر گوگل زینب ایت بهاجی، SSL اکنون بخشی از الگوریتم رتبه بندی جستجوی Google است:

طی چند ماه گذشته ما با توجه به اینکه آیا سایت‌ها از اتصالات رمزگذاری شده و ایمن به عنوان سیگنال در الگوریتم‌های رتبه بندی جستجوی ما استفاده می‌کنند تست‌هایی را اجرا کرده‌ایم که نتایج آن مثبت بوده است، بنابراین ما درحال استفاده از HTTPS به عنوان یک سیگنال رتبه بندی هستیم.

در ادامه، گوگل علنا اعلام کرده که دو وب سایت متفاوت که در نتایج جستجو باهم برابرند، اگر یکی از آن‌ها دارای SSL فعال باشد، ممکن است ارتقا رتبهٔ مختصری در مقایسه با سایت دیگر پیدا کند در نتیجه فایده SEO برای فعال کردن SSL در وب سایت شما و در کل محتوای شما واضح است.

چگونه می‌توانم از  وجود SSL در وبسایت خود مطلع شوم؟

هنگام بازدید از یک وب سایت با SSL، تفاوت‌های واضحی در مرورگر وجود دارد.

•  اگر آدرس اینترنتی «https://» را نشان می‌دهد نه «http://»
• یک نماد قفل کوچک را در نوار URL مشاهده خواهید کرد که بسته به مرورگر شما، در سمت چپ یا راست نوار URL نمایش داده می‌شود. برای اطلاعات بیشتر در مورد وب سایت و شرکتی که این تاییدیه را ارائه داده است می‌توانید روی قفل آن کلیک کنید.
• اعتبار تاییدیه

حتی اگر یک وب سایت دارای «https://» و قفل باشد تاییدیه باز هم می‌تواند منقضی شده باشد، به این معنی که اتصال شما امن نخواهد بود. در بیشتر موارد سایتی که به عنوان https نمایش داده می‌شود ایمن خواهد بود، اما اگر با سایتی روبرو شدید که اطلاعات شخصی زیادی را درخواست می‌کند ارزش دوبار بررسی کردن را دارد تا مطمئن شوید که تاییدیه معتبر است.

برای اطلاع از اینکه تاییدیه در Chrome معتبر است، به قسمت Developer Tool بروید. از آنجا باید به قسمت security tab بروید و می‌توانید ببینید که تاییدیه SSL معتبر است یا منقضی شده است. اگر بر روی دکمه «View certificate» کلیک کنید می‌توانید اطلاعات بیشتری در مورد تاییدیه SSL و تاریخ اعتبار آن را مشاهده کنید.

چگونه می‌توانم برای وب سایت خود تاییدیه SSL دریافت کنم؟

اولین قدم این است که تعیین کنید چه نوع گواهی لازم دارید. به عنوان مثال، اگر محتوای میزبان در سیستم عامل‌های مختلف (on separate domains/subdomains) باشد، ممکن است به این معنی باشد که شما به تاییدیه‌های SSL مختلف نیاز دارید.

در اکثر مواقع، یک تاییدیه استاندارد SSL محتوای شما را پوشش می‌دهد، اما برای شرکت‌هایی با صنعت خاص، مانند امور مالی و بیمه، ممکن است ارزش صحبت با یک متخصص IT را داشته باشد، زیرا الزامات خاصی در صنعت شما وجود دارد که نوع تاییدیه SSL مورد نیاز شما را مشخص می‌کند.

هزینه تاییدیه‌های SSL متفاوت است، اما می‌توانید یک تاییدیه رایگان دریافت کنید یا چند صد دلار در ماه پرداخت کنید تا یک تاییدیه سفارشی دریافت کنید. در مورد اس اس ال رایگان؛ بعضی شرکت‌ها تاییدیه‌هایی را بدون هیچ هزینه‌ای ارائه می‌دهند اما من اکیداً توصیه می‌کنم که شخصی که در مورد DNS و راه اندازی فنی مطلع است برای وب سایت خود داشته باشید تا در این زمینه کمک کند. این تاییدیه‌ها همچنین هر ۹۰ روز منقضی می‌شوند، بنابراین باید اطمینان حاصل کنید که آن‌ها به روز هستند.

تعداد دیگری از ارائه دهندگان دامنه تاییدیه‌های SSL را که عموماً از ۵۰ دلار برای دریافت تاییدیه برای یک دامنه تا چند صد دلار برای چند دامنه در نظر گرفته شده به فروش می‌رسانند. این فرآیند آسانتر از استفاده از Let’s Encrypt خواهد بود اما در برابر تاییدیه هزینه دارد.

یکی از ملاحظات مهم دیگر، مدت زمان اعتبار اس اس ال است. بیشتر تاییدیه‌های استاندارد SSL که خریداری می‌کنید به طور پیش فرض برای یک یا دو سال در دسترس هستند، اما اگر به دنبال گزینه‌های بلند مدت هستید تاییدیه‌های پیشرفته‌تر که دوره زمانی طولانی‌تری را ارائه می‌دهند را بررسی کنید.

افزونه های WordPress برای نصب SSL

اگر از سیستم مدیریت محتوای وردپرس برای وب سایت خود استفاده می‌کنید بسته به ارائه دهنده دامنه ممکن است نیاز به اخذ تاییدیه SSL داشته باشید و سپس باید آن را نصب کنید. در اینجا چند افزونه وجود دارد که می‌توانند به شما کمک کنند:

۱. Really simple SSL

خرید تاییدیه SSL فقط اولین قدم است. این افزونه به شما کمک می‌کند تا آن را در تمام محتوای وردپرس خود نصب کنید. نسخه‌های پریمیوم برای کمک به نصب آن در سایت‌ها و تأیید اینکه هیچ اخطاری در وب سایت شما وجود ندارد، است. نسخه‌های پریمیوم از ۲۰ دلار تا ۱۴۵ دلار برای پیکربندی کامل خدمات و بهینه سازی SSL اجرا می‌شوند.

۲. Insecure content fixer

هنگامی که مجوز SSL دارید و آن را نصب می‌کنید، هنوز کار کامل انجام نشده است. اگر وب سایت شما با هرگونه منبع رمزی سخت به «http» مانند پرونده تصویری ساخته شده است هنگام تلاش برای بارگذاری آن هشداری را نشان می‌دهد. این افزونه می‌تواند به شما در یافتن و رفع هرگونه کدگذاری که از این طریق به سایت شما کمک کرده که به درستی و به طور ایمن برای بازدید کنندگان نمایش داده شود.

۳. WP Force SSL

اکنون که SSL  را دریافت و نصب کردید و هرگونه خطا را از بین بردید وقت آن است که اطمینان حاصل کنید که تمام ترافیک شما نسخه مطمئن سایت شما را دریافت می‌کند. این افزونه تمام ترافیک را به HTTPS سوق می‌دهد، بنابراین فقط سایت‌های ایمن را پردازش می‌کند. من اکیداً توصیه می‌کنم قبل از فعال کردن آن، محتوای ناامن (که همچنین به اسم محتوای ترکیبی میشناسیم) را بررسی کنید. بدون بررسی محتوای ترکیبی ابتدا سایت شما به دلیل فایل‌های ناامن ممکن است اخطار بدهد.