همانطور که همه میدانیم ، Google شروع به جریمه کردن وبسایت های بدون HTTPS کرد ، این وبسایت رسماً فقط با HTTPS کار کرده و میکند. در فعالیت ماه های اخیر یک افزایش سرعت دیده میشود اما هنوز تا ایمن کردن تمام ترافیک موجود در اینترنت راه زیادی مانده است. برخلاف زحمات زیادی که در این راه کشیده می شود و تمام دلایل معتبری که برای ادامه ی این کار وجود دارد، افرادی هستند که فکر میکنند داشتن یک وب ایمن کار درستی نیست.
از دیروز ، یعنی ۲۳جولای ، Google شروع به دادن لغب Unsecure “نا امن” (فاقد گواهی نامه SSL) به سایت هایی کرده است که در Chrome بدون HTTPS بارگذاری می شوند.
Google نقشه هایی را که داشت، در ماه فوریه اعلام کرده است و در آن زمان ، درصد سایت هایی که با HTTPS بارگذاری می شدند ۶۹.۷% بود . دقیقاً یک سال قبل از آن فقط ۵۲.۵% از سایت ها با استفاده از SSL/TLS – پروتکل رمزگذاری شده HTTPS – پیشرفت عظیمی به وجود آمده است.
متاسفانه تقریبا تعداد اندکی از سایت های محبوب در وب ، هنوز HTTPS را ساپورت نمی کنند (یا در هدایت کردن درخواست های نا امن باز می مانند) و به زودی توسط Google معلق می شوند.
HTTPS مد جدید است
فقط Alexa Top 1 Million را بررسی کنید ؛ در آن بخش شما یک میلیون از بزرگترین سایت ها را در وب می بینید و می توانید تعداد زیادی استانداردهای متنوع را درباره ی امنیت اندازه گیری کنید. رشد HTTPS نه تنها ادامه دارد ، بلکه در حال تسریع است.
مهم نیست چطور به این داده ها نگاه کنید ، و مهم نیست چطور آن را اندازه گیری کنید ؛ در حال حاضر ، استفاده از HTTPS در یک دوره ی رشد کلان است. بر اساس این گزارش ، ما در شش ماه شاهد ۳۲% رشد در استفاده از HTTPS در یک میلیون سایت اول بودیم.
Mozilla اندازه از راه دور و ناشناس را از مرورگرFirefox ردیابی میکند و رشد سرسام آوری را در میزان صفحات بارگذاری شده با HTTPS را مشاهده کرده است.
داده ها نشان میدهند که ۷۵% از صفحات بارگذاری شده در Firefox با HTTPS هستند، نه HTTP.
آخرین ، ولی قطعا نه کم ازرش ترین نکته این است که ، بزرگترین مرورگر نیز نتیجه ی یکسانی را گزارش میدهد. سنجش از راه دور Chrome نیز ۷۵% را نشان می دهد.
این روند به مدتی طولانی است که به نمایش گذاشته شده است. در واقع، نمی توان هیچ داده ای پیدا کرد که در آن کمی کاهش از تعداد HTTPS در وب وجود داشته باشد. این افزایش تا جایی که داده ها نشان می دهند همیشه وجود داشته است پس خبر جدیدی نیست. ما فقط در سال های اخیر پیشرفت بهتر و بیشتری داشتیم.
افراد Cloudflare نیز یک میلیون سایت اول را مورد بررسی قرار دادند و این چیزی است که آنان درباره ی ۹۴۶,۰۳۹ متن ساده (رمزگذاری نشده) در دسترس با HTTP دریافتند.
اگر از اپراتورهای این سایت ها بپرسید که چرا خود و بازدیدکنندگان خود را با HTTPS محافظت نمی کنند، جواب هایی که دریافت می کنید از این سه گروه هستند: “نیازی به آن نداریم.”، “کار سختی است.”، یا اینکه “کند است”.
هیچ کدام از آن ها پاسخ درست نیستند. اما تصورات غلطی در این باره رایج هستند پس به آن ها میپردازیم.
باور نادرست اول: “HTTPS به سختی گسترش مییابد“
این در اواسط ۱۹۹۰ راست بود. اما حالا که ۲۰۱۸ است می توان گفت همه چیز بهتر شده است.
خوشبختانه، از آن دوره زمان زیادی گذشته است. امروزه شما می توانید تنها در عرض چند ثانیه و کاملا رایگان، چه با ثبت نام در Cloudflare و چه با استفاده از CA مثل Let’s Encrypt ، از سایت خود با استفاده از HTTPS محافظت کنید.
باور نادرست دوم: “به HTTPS نیازی نداریم.“
این استدلال از همه گیج کننده تر است؛ مخصوصاً وقتی که این را کسانی بگویند که باید بهتر از بقیه بدانند. حتی اگر به کارایی اهمیتی ندهید (باور نادرست سوم را ببینید)، حتما به امنیت و حریم شخصی بازدیدکنندگان سایتتان اهمیت می دهید.
بدون HTTPS هر کس مابین مرورگر بازدیدکننده ی شما و سایتتان یا API ، می تواند جاسوسی کند یا حتی تغییری در محتوی بدون موافقت شما ایجاد کند. این شامل دولت ها، کارفرماها، و حتی به خصوص ارائه دهندگان خدمات اینترنت می شود.
اگر به اینکه کاربرانتان مفاد شما را بدون تغییر دریافت کنند و همچنین به در امان ماندن از تبلیغات مزاحم و بدافزارها اهمیت می دهید، باید از HTTPS استفاده کنید.
در کنار امنیت، منافع دیگری نیز مانند SEO و دسترسی به قابلیت های جدید وب وجود دارد: به طور فزاینده، فروشندگان مرورگرهای بزرگ مثل Apple، Google، Mozilla، و Microsoft در حال محدود کردن عملکردها هستند تا فقط با HTTPS کار کنند. همچنین برای اپلیکیشن های موبایل، Google به زودی اتصال های رمزگذاری نشده را در ورژن جدید اندروید، به طور خودکار مسدود خواهد کرد. Apple نیز اعلام کرده که اپلیکیشن ها باید از HTTPS استفاده کنند.
باور نادرست سوم: “HTTPS کند است.”
اخیراً، تصوری غلط درباره ی HTTPS رایج شده و آن این است که “کند” است. این باور از زمانی سرچشمه می گیرد که SSL/TSL واقعاً با کاراییشان تاثیر منفی روی سایت گذاشتند ؛ اما امروزه این مشکل نیست. در واقع، HTTPS برای فعال کردن و لذت بردن از کارایی HTTP/2 لازم است.
بدگویان معمولاً به دو دلیل ابتدایی فکر می کنند HTTPS کند است:
- به اندازه ای کاملا نامحسوس قدرت CPU بیشتری برای رمزگذاری و رمزگشایی داده ها نیاز است؛ و
- برای ایجاد یک TLS session باید دو رفت و برگشت شبکه ای بین مرورگر و سرور رخ دهد.
وقتی مفاد HTTPS فراخوانده می شوند، که اگر کاربر از Cloudflare استفاده کند معمولاً ۱۰-۲۰ هزارم ثانیه طول می کشد، سایت هایی که SSL/TSL برایشان فعال است، خیلی سریع و کاربردی هستند. و حتی اگر فراخوانده نشوند، SSL/TSL عملکردی تحمیلی ندارد! پس بهانه ای برای استفاده نکردنش وجود ندارد.
نکته برای حرفه ای ها: کاربران پیشرفته همچنین باید در نظر داشته باشند که با استفاده از HSTS به مرورگر دستور دهد تا همیشه محتوی آنان را با HTTPS بارگذاری کند که باعث می شود با صرفه جویی یک رفت و برگشت (و مدت زمان بارگذاری صفحه) به درخواست های بعدی زودتر رسیدگی شود.
اگر برای محافظت از امنیت و حریم شخصی خودتان و مشتری هایتان در تلاش هستید، ما می توانیم در رهام تکنولوژی به شما در این روند کمک کنیم .
3 دیدگاه. دیدگاه جدید بگذارید
مقاله مفیدی بود.
آفرین به سایت خوب شما
ممنون از مطلب خوبی که گذاشتین
[…] PageSpeed / YSlow با معیارهای Google’s Lighthouse ، استاندارد […]