SSL و تاثیرات آن‌ بر روی وبسایت

در این مقاله ابتدا به ارائه توضیحی ساده در مورد مبانی HTTPS و سپس به صورت کاربردی به بحث شیرین SSL یعنی انواع و تاثیرات آن بر روی سئو و امنیت وبسایت می‌پردازیم.

تفاوت HTTP و HTTPS

آیا تا به حال به این موضوع توجه کردید که وقتی نام وبسایتی را در مرورگر خود وارد می‌کنید، کنار آدرس آن HTTP قرار دارد یا HTTPS؟ تفاوت‌هایشان را می‌دانید؟
بنظر من اولین تفاوتی که خیلی به چشم می‌آید و نظر ما را به خود جلب می‎‌کند، علامت قفلی است که کنار پروتکل HTTPS قرار دارد و معنیش این است که این وبسایت امن و یا کدگذاری شده هست.
HTTPS تلفیقی از HTTP و لایه‌ای امن به نام SSL هست که وظیفه‌ی تأمین امنیت وبسایت شما را بر عهده دارد. اگر می‌خواهید اطلاعاتتان را در فضایی امن‌تر به اشتراک بگذارید بهتر است گواهینامه‌ی SSLای را تهیه کنید که وبسایت و اطلاعاتتان از طریق آن از امنیت بیشتری برخوردار باشه. درواقع با نصب SSL بر روی وبسایت، علامت HTTP آن به HTTPS تبدیل می‌شود که حرف “S” اضافه شده به آن، علامت “Secure” یا همان ایمن بودن است.
شاید در حالت عادی زیر و بم جزئیات این دو نوع پروتکل برایتان خیلی مهم نباشد ولی اگر بخواهید به عنوان یک مدیر یا طراح و کدنویس وبسایت عمل کنید این موضوع برایتان جالب می‌شود.
در تصویر زیر پروتکل HTTPS را می‌بینید. اگر این علامت را در وبسایتی با رنگ سبز ببینید، به این معنی است که این وبسایت توسط SSL امن شده است:

وظیفه‌ی اصلی HTTP، رد و بدل کردن اطلاعات افراد بین کامپیوتر‌ها و سرور هست ولی این امکان هم وجود دارد که شخص سومی در این ارتباط حضور پیدا کند و اطلاعات شخصی را سرقت کند (حملات استراق سمع یا مرد میانی) و اینجاست که HTTPS نقش خودش را به خوبی نشان می‌دهد؛ یعنی چه؟ خوب خیلی سادست.
HTTPS این اطلاعات را دریافت کرده و آن را بصورت کد شده یعنی رمزنگاری شده در این مسیر جابجا می‌کند. پس این شخص سوم که تبهکار به حساب می‌آید، اطلاعاتتان را فقط بصورت کدهای نامفهوم و بی‌معنی می‌بیند و دیگر امکان دسترسی به آن‌ها ندارد.

حال بیایید این دو پروتکل را در موارد ظریفی باهم مقایسه کنیم:
HTTP://
پورت: 80
در لایه‌ی Application عمل می‌کند.
اطلاعات به همان شکلی که هست (بدون رمزنگاری) در شبکه ارتباطی منتقل می‌شود.

HTTPS://
پورت: 443
از لایه‌ی امنیتی انتقال اطلاعات (TLS) استفاده می‌کند.
نیازمند وجود گواهینامه SSL است.
تمام اطلاعات قبل از اینکه ارسال شوند، رمزگذاری می‌شوند.

مزایا و معایب HTTPS:

مزایای HTTPS
• وبسایتتان را در مقابل هک شدن و به سرقت رفتن اطلاعات (به روش استراق سمع یا شنود) حفظ می‌کند.
• به کاربر‌های وبسایتتان آرامش خاطر میدهد. مشتریان بیشتر مایل به خرید از سایت‌هایی هستند که از هویت آن مطمئن هستند. تحقیقات نشان داده %84 خریداران به محض مشاهده‌ی ارتباطی ناامن، از تصمیمشان صرف‌نظر می‌کنند. درحالی که %29 از افراد به دنبال وبسایت‌هایی می‌گردند که در کنار آدرس و نام دامنه‌ی آن‌ها HTTPS را ببینند.
• وبسایت شما رو بهینه می‌کند. بطوری که رتبه‌ی آن را در موتور جستجوی گوگل بسیار بالا می‌برد (اهمیت بسیار زیادی از لحاظ SEO دارد) که البته در ادامه بیشتر به این موضوع می‌پردازیم.
• از آنجایی که این روزها اکثر افراد از موبایلشان برای خرید یا انجام هر عملیات دیگری استفاده می‌کنند، استفاده از پروتکل امن بسیار مهم بوده و HTTPS قابلیت ایمن سازی انتقال اطلاعات بر روی موبایل را هم به آن‌ها می‌دهد.

و اما معایب HTTPS
SSL و HTTPS تماماً مزیت است و هیچگونه عیب و نقصی ندارد. با این‌حال در هنگام فعالسازی SSL بد نیست که بهترین شرایط را فراهم کنید:
o نصب اس اس ال کمی هزینه‌بر است ولی شما باید شرکت میزبانی وبی را پیدا کنید که در ازای دریافت مبلغی کمتر نسبت به جاهای دیگر، این سرویس را با کیفیت بالا به شما ارائه دهد که خوشبختانه دیگر نیازی به جستجو ندارید. HiSupport مراقب هزینه‌هایتان هم است.

SSL و تأثیر آن بر گوگل و سئوی وبسایت

تغییراتی که SSL بر روی وبسایت شما ایجاد می‌کند چیزی فراتر از امن کردن آن فضای مجازیست؛ درواقع با نصب اس‌اس‌ال از سرمایه و درآمد وبسایتتان محافظت می‌کنید.
تصور کنید که در چند سال آینده زندگی می‌کنید و وبسایت فروشگاهی با بازدید بسیار بالا و سئوی عالی دارید و مشتریان شما به راحتی خریدهایشان را انجام می‌دهند.
و یک روز ناگهان تمام این روند متوقف می‌شود. نه بازدید و نه خریدی…
وبسایتتان را زیر و رو می‌کنید تا دلیل این مشکل را پیدا کنید و ببینید که چرا عملکرد وبسایتتان مثل چند ماه پیش نیست. حتی ممکن است تمام مواردی که در سئوی سایتتان رعایت کرده‌اید را بروز کنید. اما…
حساب بانکیتان را چک می‌کنید و می‌بینید که هیچ گردشی صورت نگرفته و پرداخت‌ها قابل قبول نبوده‌اند. مدت‌ها روبه روی کامپیوتر خود می‌نشینید و به دلیل این اتفاق فکر می‌کنید. اما بهتره بدانید که دلیل همه این مانع‌های ایجاد شده بر سر راه شما، تغییراتی است که گوگل ایجاد کرده و SSL و HTTPS را ملاک خودش قرار داده‌ است.


ولی ممکن است این سؤال رو از خودتان بپرسید که آیا اگر از SSL استفاده نکنیم، واقعاً مشکلی در فروش آینده وبسایتمان ایجاد می‌شود؟ چرا گوگل این تغییرات رو انجام داده؟ آیا هدفش جریمه کردن وبسایت تجاری شما بوده؟
خیر، در سال 2014 گوگل اعلام کرد که تمام وبسایت‌ها باید از HTTPS استفاده کنند و دلیل اعمال این تغییرات، ایمن‌تر کردن وبسایت‌ها بوده تا با این کار به افراد کمک کند وبسایت‌های قابل اعتماد را تشخیص دهند و اطلاعاتشان را در امان نگه دارند. در واقع گوگل می‌خواهد با این کار نه تنها یک امنیت اجباری در سطح وب ایجاد کند، بلکه داشتن HTTPS و گواهی‌نامه SSL را به عنوان یک ابزار قطعی برای قابل اعتماد بودن یک وبسایت تعیین کند. اما در حال حاضر این پروژه بزرگ در مراحل میانی خود به سر می‌برد. چه بسیار در آینده این پیشبینی که در بالا گفته شد به حقیقت بپیوندد و لازم است که از هم‌اکنون به اهمیت HTTPS و گواهینامه SSL پی ببریم و ضمن توجه به سه دلیل اصلی گوگل که در زیر به آن می‌پردازیم، وبسایت‌ها و اپلیکیشن‌های خود را با تهیه گواهینامه SSL و فعالسازی HTTPS ایمن کنید.
• احراز هویت
• یکپارچگی داده
• رمزگذاری


و اما تغییراتی که گوگل اعمال کرده دقیقاً چیست؟
احراز هویت: مطمئناً همیشه افرادی هستند که قصد سوء استفاده از اطلاعات وبسایت شما دارند که شنود و یا دزدیدن اطلاعات جزو این موارد است. حال در صورتی که از SSL استفاده کنید، نه تنها امکان انجام این کارها را به حداقل می‌رسانید، بلکه از ابزاری برخوردار شده‌اید که امروزه به عنوان یک عامل مهم در احراز صلاحیت و هویت یک وبسایت یا اپلیکیشن عامل اساسی و غیرقابل انکار است. با نصب SSL بر روی وبسایت یا اپلیکیشن به کاربرانتان این اطمینان را می‌دهید که به وبسایتی معتبر مراجعه کرده‌اند؛ چرا که این روزها همه می‌دانند که اول از هر چیزی باید به علامت قفل سبز رنگ کنار اسم وبسایت توجه کنند و پس از مشاهده‌ی آن، مشخصات فردی خودشان را در اختیار آن بگذارند.

یکپارچگی داده: این موضوع ثابت می‌کند که آیا داده‌های مورد نظر در مسیر انتقال دستکاری شدند یا نه. اگر افراد سودجو بدانند که وبسایت شما به اندازه‌ی کافی ایمن نیست، داده‌هایتان را حین انتقال دستکاری خواهند کرد.

رمزگذاری: در واقع این عمل، ارتباط بین کاربر و سرور رو ایمن می‌کند و به ما این اطمینان را می‌دهد که شخص دیگری قادر به خواندن اطلاعات ما نیست. این مسأله‌ی بسیار مهمی است که اطلاعات موجود در فرم‌ها و همچنین اطلاعات کارت اعتباری افراد برای وبسایت‌های تجاری رمزگذاری شود.

موضوع خیلی مهمی که در این مقاله قصد کردیم تمرکز بیشتری روی آن داشته باشیم این است که گوگل به وبسایت‌هایی که از پروتکل HTTPS استفاده می‌کنند بهای بیشتری می‎دهد. به این منظور که در صفحه‌ی نتیجه‌ی جستجو در گوگل که به اصطلاح به آن (SERP (Search Engine Result Pag هم می‌گویند، وبسایت امن شما برای به نمایش درآمدن در لیست، جزو اولویت‌های گوگل قرار می‌گیرد. جالب است بدانید که 55 درصد از وبسایت‌هایی که در صفحه اول گوگل به نمایش درمی‌آیند، امن هستند و طبق پیش‌بینی‌ها، تا پایان سال جاری این درصد به 66 خواهد رسید. از تاریخ 1 اکتبر 2017 گوگل از طریق مرورگر محبوب کروم، هشدارهای خود را نسبت به سایت‌هایی که HTTPS ندارند اجرا کرده و در نظر دارد که کاربران را از بازدید این وبسایت‌ها منصرف کند. این موضوع تأثیر زیادی بر ترافیک وبسایت‌های ناامن دارد. چرا که وجود هشدار تجربه‌ی منفی برای کاربر ایجاد می‌کند و بر روی UX تاثیر می‌گذارد. در این مرحله دیگر هیچ اهمیتی ندارد که چه اقداماتی برای مارکتینگ و یا سئوی وبسایتتان از قبل انجام داده‌اید، مهم این است که از گواهینامه‌ی SSL استفاده نمی‌کنید. پس اگر کسب وکار شما بر پایه‌ی وبسایتتان می‌چرخد، بهتر است از همین الان یک گواهینامه‌ی SSL دریافت و وبسایتتان را ایمن کنید.
وبسایتتان بدون داشتن SSL ممکن است به عنوان یک وبسایت قانونی برای کاربرانی که به تازگی شما را به‌صورت آنلاین جستجو می‌کنند به نمایش درنیاید. حتی کاربران همیشگی شما ممکن است بیش از این قادر به خرید از وبسایت شما نباشند چرا که تمامی گردش‌های بانکی از طریق وبسایت‌های ناامن بسته خواهد شد.

تفاوت SSL رایگان و پولی (غیر رایگان)

گاهاً یک سوال بسیار کلیدی برای کاربران پیش می‌آید و آن اینکه فرق بین اس اس ال رایگان و پولی چیست؟
SSLهای رایگان در گذشته تنها از جانب مراکزی ارائه می‌شد که خود ارائه دهنده‌ی ایمن‌ترین گواهی‌نامه‌های SSL در دنیا بودند و تنها تفاوت محصولات رایگان با پولی در زمان اعتبار آن‌ها بود. اما از سال 2014 به همت جمعی از متخصصین و علاقه‌مندان به حوزه امنیت، یک پروژه Open Source با عنوان Let’s Encrypt به جهان وب معرفی شد. هدف این پروژه این بود که بتوانند با کمترین هزینه‌ها، یک هدف عمومی و استاندارد قابل دفاع در سطح وب ایجاد کنند. بنابراین با جذب متخصصین مطرح و حمایت شرکت‌های بزرگ و متولی از جمله گوگل، پلسک، سی پنل، توسعه‌دهندگان مرورگرها، سیستم‌عامل‌های لینوکس و ویندوز موفق به ارائه یک گواهینامه استاندارد و ایمن با شرایط خاص به عموم کاربران شدند. همچنین یک پل ارتباطی قوی ایجاد کردند که کاربران بتوانند با هر پنل و سیستم عاملی به زیرساخت Let’s Encrypt متصل شده و وبسایت خود یا کاربرانشان را ایمن کنند.

اما اگر Let’s Encrypt و احتمالاً دیگر گواهینامه‌های رایگان و معتبر SSL این مزیت را دارند، پس چه دلیلی دارد که هزینه کنیم و SSLهای غیررایگان استفاده کنیم؟

بهترین پاسخ به این سوال، بیان شرایط خاص و محدودیت‌های Let’s Encrypt است:

بازه فعالسازی و درواقع اعتبار Let’s Encrypt برای هر دامنه تنها 3 ماه است، بنابراین گواهینامه‌های اس‌اس‌ال Let’s Encrypt هیچگاه بیشتر از سه ماه اعتبار ندارند.
تضمینی در خصوص ضریب امنیتی Let’s Encrypt وجود ندارد. بنابراین گارانتی مالی ارائه نمی‌شود.
Let’s Encrypt به DNS وابسته است. به آن معنا که تنها زمانی امکان استفاده از این نوع SSL وجود دارد که دامنه مورد نظر از DNSهای سرور میزبان استفاده کند. بنابراین چنانچه دامنه به سرور دیگری منتقل شود که Let’s Encrypt را پشتیبانی نکند، آن دامنه از SSL بی‌بهره خواهد ماند و این مورد موجب کاهش رنک سئو می‌شود (زیرا ایندکس‌های قبلی گوگل از وبسایت دارای پروتکل HTTPS بوده‌اند).
برخی مجوزها و رتبه بندی‌ها فقط با SSLهای شناخته شده و معتبر ارائه می‌شوند. به عنوان مثال Enamad در کشورمان ایران، تنها زمانی نماد 2 ستاره ارائه می‌دهد که حداقل دوره زمانی SSL یکساله باشد. بنابراین با Let’s Encrypt امکان اخذ نماد 2 ستاره وجود ندارد.
CSR یا همان کد شناسایی SSL در Let’s Encrypt غیرقابل سفارشی‌سازیست؛ بنابراین SSL به نام و مشخصات شخص یا سازمان صادر نمی‌شود.
الگوریتم های استفاده شده در گواهی‌های SSL غیررایگان بسیار قوی و منسجم طراحی شده است.
بسیاری از متخصصان سئو بر این باورند که گواهی‌نامه‌های SSL غیررایگان موجب می‌شوند که گوگل رنک سئو بهتری به وبسایت اختصاص دهد. به همین دلیل برای افزایش رتبه SEO سایت از اس‌اس‌ال‌های پولی استفاده می‌کنند. این باور می‌تواند صحیح باشد اما هیچگاه توسط گوگل تایید یا نقض نشده است.
اگر SSL را برای SubDomainهای یک دامنه تنظیم کنید، حداکثر مجاز به فعال‌سازی 20 SSL در هفته خواهید بود و لذا از این لحاظ نیز محدودیت در Let’s Encrypt وجود دارد.

توجه فرمایید همه نکاتی که به عنوان ضعف یا کمبود در Let’s Encrypt اعلام شده، در دیگر گواهینامه‌های SSL تأمین شده و نقطه قوت آن‌هاست. چه بسا که در برخی از گواهینامه های SSL چون Positive و Essential امکانات امنیتی بیشتری نیز ارائه شده است. البته همانطور که در ابتدا توضیح داده شد، Let’s Encrypt به جهت حمایت‌های همه‌جانبه و رعایت استانداردها بی‌ارزش نبوده و قابل اطمینان است.

خوب حالا که دیگر کاملاً درجریان تمام نکات این پروتکل‌ها قرار گرفتید پس حتی با فکر کردن در این مورد، وقتتان را هدر ندهید. خیلی سریع SSLتان را از طریق لینک خرید اس اس ال سفارش داده و امنیت وبسایتتان را بالا ببرید.