دانشگاه مریلند اخیراً با آمارهای وحشتناک دنیا را تکان داد – حملات هکرها هر 39 ثانیه یکبار اتفاق میافتند. اگرچه سیستمهای امنیتی از آن زمان تاکنون بسیار تکامل یافتهاند، تهدیدات سایبری نیز پیچیدهتر شدهاند و ایمنی آنلاین را در صدر فهرست اولویتهای کسبوکارها و صاحبان سایتها قرار دادهاند.
امروزه استفاده از HTTPS برای حفاظت از وبسایتها بهمنظور حفظ شهرت و کسب یا حفظ اعتماد کاربران ضروری است. تنها سوال باقی مانده این است که HTTPS چیست و چگونه از HTTP به HTTPS تغییر دهید؟
روشن شدن اصول اولیه: HTTP به HTTPS
قبل از بررسی نحوه تبدیل HTTP به HTTPS، اجازه دهید با برخی از تعاریف شروع کنیم.
یکی از اصلیترین چیزهایی که از یک وبسایت و کاربران آن محافظت میکند، درست در URL آنها پنهان است. پروتکل انتقال ابرمتن (HTTP) پروتکلی است که برای ارتباط یکپارچه بین سرور و مرورگر طراحی شده است. Hypertext Transfer Protocol Secure (HTTPS) یک برنامه افزودنی ایمن از پروتکل انتقال ابرمتن است که از رمزگذاری SSL/TLS برای محافظت از ارتباط بین سرور و مرورگر استفاده میکند.
تغییر HTTP به HTTPS، اگرچه برای سایت شما بسیار مهم است، ممکن است در ابتدا بسیار خستهکننده و چالشبرانگیز به نظر برسد. با این حال، اگر نقشه راه دقیقی برای این تغییر داشته باشید، میتواند آسانتر باشد. در راهنمای زیر، ما به شما خواهیم گفت که چگونه این انتقال را مرحلهبهمرحله انجام دهید:
- گواهی مناسب SSL را انتخاب کنید
- گواهی SSL را دریافت و نصب کنید
- بهروزرسانی لینکها و منابع داخلی
- تنظیم تغییر مسیرها
- بهروزرسانی خدمات خارجی و حفظ UX
چگونه در 5 مرحله ساده سایت خود را با HTTPS ایمن کنید
مرحله 1: گواهی SSL مناسب را انتخاب کنید
گواهی SSL یک سند دیجیتالی است که هویت یک وبسایت را تأیید میکند و امکان اتصال رمزگذاریشده را فراهم میکند. پیادهسازی پروتکل HTTPS بدون SSL غیرممکن است، بنابراین مهم است که آن را عاقلانه انتخاب کنید.
گواهیهای SSL در سه نوع اصلی وجود دارند:
- اعتبارسنجی دامنه (DV): مقرونبهصرفهترین، آسانترین و اساسیترین گواهی که پس از بررسی مالکیت دامنه دریافت میشود. این گواهی پایینترین سطح حفاظت را ارائه میدهد.
- اعتبارسنجی سازمان (OV): این نوع گواهی مانند DV مالکیت دامنه را بررسی میکند، اما علاوه بر آن، سازمان قانونی پشت یک سایت خاص را تأیید میکند. برای بهدستآوردن آن زمان بیشتری طول میکشد زیرا بررسی سوابق کسبوکار شما به زمان نیاز دارد، اما سطح بالاتری از حفاظت را ارائه میدهد.
- اعتبارسنجی توسعهیافته (EV): این گزینه درجهیک سختترین و گرانترین گزینه است. با این حال، بالاترین سطح حفاظت را ارائه میدهد. روند دریافت آن شامل بررسی مالکیت دامنه (DV)، بررسی سوابق شرکت (OV) و تماس تلفنی با صادرکننده است.
برای تبدیل HTTP به HTTPS، نوع مناسبی را بر اساس نیاز سایت خود انتخاب کنید. سایتهایی که به بالاترین سطح حفاظت نیاز دارند، مانند سایتهای بانکها، شرکتهای بزرگ تجارت الکترونیک و سازمانهای دولتی، باید EV را انتخاب کنند. برای وبلاگها و مشاغل کوچکتر، گواهی DV باید کار خود را بهخوبی انجام دهد.
علاوه بر این، تعداد دامنهها و زیر دامنههای تحت پوشش را نیز در نظر بگیرید:
- تک دامنه: اگر فقط یک دامنه بدون زیر دامنه دارید، گواهی DV تک دامنهای پایه کار خواهد کرد.
- چند دامنه: اگر چندین دامنه دارید، به یک گزینه چند دامنه نیاز خواهید داشت.
- Wildcard SSL: اگر سایت شما دارای یک دامنه و چندین زیر دامنه است، به SSL wildcard نیاز دارید.
بر اساس تعداد دامنهها/زیر دامنهها و سطح اعتبارسنجی، بهترین نوع SSL را برای سایت خود انتخاب کنید. همچنین فراموش نکنید که بررسی کنید آیا ارائهدهنده هاست شما از گواهینامههای SSL پشتیبانی میکند و آیا آنها گزینههای SSL داخلی دارند یا خیر.
مرحله 2: گواهی SSL را دریافت و نصب کنید
اگر میخواهید پس از انتخاب نوع گواهی مناسب برای سایت خود، چگونه HTTP را به HTTPS تغییر دهید، باید گواهی خود را به یکی از روشهای زیر دریافت کنید:
- از ارائهدهنده هاست خود خریداری کنید: این سادهترین روش است. تنها کاری که باید انجام دهید این است که نوع مناسب خود را انتخاب کنید، یک درخواست امضای گواهی (CSR) را تکمیل کنید، یک کلید رمزگذاری خصوصی با ارائهدهنده هاست خود ایجاد کنید، گواهی را از فروشنده موردنظر خود سفارش دهید، فایل CSR را آپلود کنید، از طریق اعتبارسنجی بگذرید و گواهی خود را دانلود کنید. در نهایت، باید فایل دریافتی را در سرور هاست خود آپلود کنید.
- خرید مستقیم از صادرکننده: اگر ارائهدهنده میزبانی شما گزینههای خرید SSL را ارائه نمیدهد، باید آن را مستقیماً از صادرکننده (مرجع صدور گواهی یا CA) انتخابی خود خریداری کنید. تعداد زیادی صادرکننده قابلاعتماد مانند Comodo، GeoTrust، Symantec و غیره وجود دارند. گزینهها را مقایسه کنید و بهترین را برای خود انتخاب کنید.
- گواهی رایگان دریافت کنید: میتوانید گواهیهای رمزگذاریشده را بهصورت رایگان از طرحهایی مانند Let’s Encrypt دریافت کنید. SSLهای رایگان درست مانند SSLهای پولی کار میکنند. تنها تفاوت این است که فقط گواهیهای DV پشتیبانی میشوند و فقط برای سه ماه اعتبار دارند (بهجای یک سال برای گزینههای پولی)، که به این معنی است که باید آنها را مرتباً تمدید کنید.
نصب گواهی SSL تنها چند مرحله طول میکشد:
- آن را در یک پوشه اختصاصی روی سرور خود آپلود کنید.
- سرور خود را مجدداً راهاندازی کنید.
- گواهی آپلود شده را از طریق ابزارهای خاصی مانند تست سرور SSL Labs بررسی کنید.
مرحله 3: پیوندها و منابع داخلی را بهروزرسانی کنید
پس از نصب گواهی SSL، چند بهروزرسانی وجود دارد که باید انجام دهید:
- لینکهای داخلی را جایگزین کنید: دو نوع URL در سایت شما استفاده میشود: 1) URLهای مطلق که از یک آدرس وب کامل تشکیل شدهاند و 2) URLهای نسبی که پروتکل را مشخص نمیکنند و حتی ممکن است دامنه را مشخص نکنند. شما باید تمام URLهای مطلق قدیمی را با پیوندهای نسبی برای پیوندهای داخلی، اسکریپتها، مسیرهای برگههای سبک، تصاویر، ویدیوها و سایر منابع (مانند فایلهای CSS یا جاوا اسکریپت) جایگزین کنید. اگر پیوندهای داخلی را به پیوندهای نسبی بهروزرسانی کنید، مرورگر خود پروتکل گمشده را اضافه میکند، بنابراین، HTTP را به HTTPS تغییر میدهد و به شما کمک میکند از مشکلات محتوای مختلط جلوگیری کنید.
- پیوندهای سخت کد شده را بررسی کنید: از ابزارهای قابلاعتمادی مانند ابزار ممیزی رتبهبندی SE برای ممیزی سایت خود و شناسایی هرگونه پیوند HTTP کدگذاریشده استفاده کنید. در گزارش حسابرسی، به بخش امنیت وبسایت بروید و بررسی کنید که آیا ریدایرکتها یا برچسبهای متعارفی وجود دارد که به صفحات ناامن، نشانیهای اینترنتی HTTP در sitemap.xml شما، صفحاتی با محتوای ترکیبی یا سایر مشکلات امنیتی وبسایت اشاره میکنند. اگر هر یک از این مشکلات را تشخیص دادید، پیوندهای قدیمی را با URLهای HTTPS بهروزرسانی کنید.
مرحله 4: راهاندازی HTTP به HTTPS Redirects
برای انتقال سایت به HTTPS، باید اطمینان حاصل کنید که بازدیدکنندگان شما (و همچنین رباتهای موتور جستجو) هنگام تلاش برای دسترسی به صفحه شما به نسخه مناسب هدایت میشوند و به HTTP تغییر نمیدهند. برای این کار باید ریدایرکتهای 301 را پیادهسازی کنید. این تغییر مسیرها اطمینان حاصل میکنند که ترافیک URLهای HTTP قدیمی شما بهطور خودکار به سمت URLهای امن دلخواه شما هدایت میشود.
به فایلهای پیکربندی وب سرور خود (در صورت امکان) دسترسی داشته باشید و قوانین تغییر مسیر را بنویسید. قالب و ساختار قوانین تغییر مسیر به سرور شما بستگی دارد.
نکته حرفهای: هنگام ایجاد ریدایرکتها، گاهی اوقات ممکن است چندین تغییر مسیر بین URL اولیه و URL ترجیحی داشته باشید. توصیه میکنیم این موارد را به حداقل برسانید، زیرا چنین زنجیرههای تغییر مسیری میتوانند باعث تأخیر شوند و بر سرعت، تجربه کاربری و سئوی سایت شما تأثیر بگذارند.
مرحله 5: سرویسهای خارجی را بهروزرسانی کنید و تجربه کاربری را به خاطر بسپارید
بعد از بهروزرسانی وبسایت خود به HTTPS، برخی از صفحات HTTP قدیمی شما ممکن است همچنان در گوگل رتبهبندی شوند و در مسیر کاربران قرار بگیرند. این به این دلیل اتفاق میافتد که موتورهای جستجو به زمان نیاز دارند تا نسخههای جدید صفحات شما را خزیده و ایندکس کنند و صفحات جدید HTTPS شما را رتبهبندی کنند.
برای سرعت بخشیدن به این فرآیند، باید یک sitemap.xml جدید ایجاد کنید که تغییرات اخیر HTTP شما به HTTPS را در نظر بگیرد و نقشه سایت بهروزرسانی شده را در کنسول جستجوی گوگل آپلود کنید.
در نهایت، زمانی که به HTTPS میروید، باید به تجربه کاربری (UX) توجه ویژهای داشته باشید. برخی از کاربران قدیمی شما ممکن است صفحات گذشته شما را ذخیره یا نشانکگذاری کرده باشند و ممکن است پس از تغییر از HTTP به HTTPS دچار اشتباه شوند یا در تلاش برای دسترسی به آنها با خطا مواجه شوند. برای جلوگیری از این خطاها و سایر مشکلات، با وارد کردن URL وبسایت خود با پروتکل HTTP در نوار جستجو، بررسی کنید که کدام صفحات قدیمی هنوز ایندکس میشوند. سپس از عملگر “site:” با URL HTTP برای تعیین اینکه کدام صفحات ایندکس شدهاند استفاده کنید.
خلاصه
امروزه، پروتکل انتقال ابرمتن امن (HTTPS) دیگر یک گزینه نیست، بلکه یک ضرورت برای هر وبسایتی است که در تلاش برای جلب اعتماد کاربران و موتورهای جستجو است. این پروتکل به سایت شما یک لایه ایمنی اضافی میدهد و تجربه کاربری بهتری را تضمین میکند که معمولاً با ترافیک، رتبهبندی و نرخ تبدیل بالاتر پاداش میگیرد.
اکنون شما یک راهنمای گامبهگام در مورد چگونگی انتقال از HTTP به HTTPS دارید. از نکاتی که با شما به اشتراک گذاشتیم استفاده کنید تا سایت خود را بهدرستی ایمن کنید!
ترجمه:
پیشگامان تجارت امن ایرانیان