مزایا و معایب استفاده از سرویس های HTTPS

اگر وب سایتی دارید که در کنسول جستجوی گوگل تایید شده و با HTTPS امن نشده است ممکن است پیامی را در داشبورد خود دریافت کنید که نشان می دهد کاربران به هنگام وارد کردن آدرس شما در مرورگر پیامی مبنی بر نا امن بودن آن دریافت خواهند کرد.

بعد از ماه ها صحبت و  تردید، گوگل در نهایت  برنامه خود برای حرکت به سمت استفاده از HTTPS را عملی کرد.  اگرچه این سرویس قبلا برای سایت های تجارت الکترونیک و سایت هایی که نیازمند لاگین کاربران بود اهمیت زیادی داشت اما به روز رسانی های جدید، سایت های دیگر را نیز به استفاده از آن ملزم می کند. اکثریت قریب به اتفاق سایت هایی که صفحه تماس با ما دارند، فرم  ثبت نظرات یا تماس را نیز در خود خواهند داشت. این فرم ها همیشه در برگیرنده فیلدهای متنی  هستند که گوگل در مورد آن ها نیز هشدار داده است. خطای NOT SECURE در حال حاضر بر روی سایت هایی که امن نیستند نمایش داده می شوند. خوب حالا که چنین هشداری برای درصد بزرگی از وب سایت ها به نمایش در می اید، وب مستران نمی توانند استفاده از سرویس HTTPS را به تعویق بیندازند. متاسفانه، توصیه گوگل به وبمستران برای حل این مشکل مبهم است و نمی تواند کمک زیادی بکند. در عین حال، استفاده و اجرای HTTPS در صفحات سایت فرآیند ساده ای نیست. بیشتر سایت ها بعد از مهاجرت به این نسخه،  نوسانات زیادی را در ترافیک خود تجربه کرده اند. زمان و منابعی که برای این مهاجرت نیاز است برای برخی از سایت ها سرمایه گذاری بزرگی محسوب می شود و موانعی هم سر راه سایت ها وجود دارد. تمرکز یک وجهی گوگل در این ناحیه برای فراهم آوردن تجربه کاربری خوب برای بازدید کنندگان سایت ها و  بهبود امنیت اینترنت است. در این سطح، هیچ موضوع اشتباهی در مورد این مهاجرت وجود نخواهد داشت. با اینحال گوگل پیچیدگی های موجود در این شرایط را نادیده گرفته است.  خوشبختانه روش هایی برای بهبود این شرایط وجود دارد. در این مقاله قصد داریم مزایا و معایب سرویس های مختلف HTTPS را با هم مرور کنیم. پس همراه وب ایده باشید.

همانطور که می دانید سه روش برای مهاجرت به سمت نسخه HTTPS سایت وجود دارد:

• اجرای HTTPSسنتی
• استفاده از کلودفلر(cloudflare)
• استفاده ازLet's Encrypt

روش اول: اجرایHTTPS سنتی

خوب این روش با خرید گواهینامه ssl از یک فراهم کننده معتبر آغاز می شود.  بعد از خرید، باید گواهینامه را با Certificate Authority که از آن خرید کرده اید تایید کنید. اینکار از طریق درخواست امضای گواهینامه(CSR)انجام می شود. این موضوع تنها برای این است که مدیریت سایت خود را تایید کنید. در این مرحله، گواهینامه SSL شما تایید خواهد شد اما باید آن را در سایت خود اجرا کنید.بسته به نوع سروری که مورد استفاده قرار می دهید نصب گواهینامه SSL بر روی سایت متغیر خواهد بود. بعد از اینکه گواهینامه را نصب کردید، سایت شما امن خواهد بود و می توانید مراحل اضافی برای فعالسازی HSTS را انجام دهید.

مزایای این روش:

• امنیت کامل: با نصب گواهینامه ای که به طور کامل تایید شده است، احتمال وجود ارتباط نا امن بین سرور و سایت  یا سایت و بازدیدکننده وجود نخواهد داشت زیرا این گواهینامه در روت سرور نصب می شود.
• قابل سفارشی سازی: یکی از قابلیت های اجرای کامل SSL این است که می توانید گواهینامه SS با تایید گسترده(EV) را خریداری کنید. اینکار نه تنها باعث نمایش قفل سبز رنگ بر روی  مرورگر می شود بلکه نام شرکت شما را نیزدر بر می گیرد و اطمینان بیشتری برای بازدیدکننده فراهم می کند.
•   اجرای راحت تر در ساب دامین های متعدد:  اگر ساب دامین های متعددی دارید،  می توانید برای هر کدام گواهینامه جداگانه ای داشته باشید یا از گواهینامه wildcard برای تایید ساب دامین های خود استفاده کنید. سرویس SSL سنتی، اغلب ساده ترین و اسان ترین روش برای تنظیم گواهینامه  wildcard محسوب می شود.

معایب این روش:

• گران قیمت بودن: این گزینه نسبت به سایر روش ها هزینه زیادی بر روی سایت تحمیل می کند. البته این موضوع به پیچیدگی سایت نیز بستگی دارد.
• زمان اجرا: همانطور که در بخش های قبلی نیز ذکر کردیم، اجرای این روش به زمان زیادی نیاز دارد. شرکت های مختلفی بازه زمانی ۱۰ ماهه یا بیشتر از آن برای مهاجرت به سمت HTTPS گزارش کرده اند. این موضوع برای سایت های بزرگ تر و پیچیده تر بیشتر دیده می شود.

روش دوم: Let's Encrypt

همانطور که می دانید Let's Encrypt یک سرویس غیر انتفاعی رایگان ارائه شده توسط گروه تحقیقات امنیت اینترنت برای ارتقای امنیت وب با ارائه گواهی های SSL رایگان است. پیاده سازی Let's Encrypt خیلی شبیه اجرای سنتی HTTPS است: شما هنوز هم مجبور هستید اتوریتی گواهینامه را تایید کنید، گواهینامه را بر روی سرور خود نصب کنید و سپس HSTS را فعال نمایید. با اینحال اجرای Let's Encrypt از طریق سرویس های کمکی همچون Certbot بسیار ساده تر و آسان تر خواهد بود.

مزایای این روش:

• رایگان بودن: اجرای این روش رایگان است و جزییات پنهانی وجود ندارد
• اجرای اسان تر: تین گزینه را راحت تر از اجرای سنتی HTTPS می توان بر روی سایت پیاده کرد. اگرچه این روش به سادگی Cloudflare نیست اما اجرای ساده آن می تواند بیشتر مشکلات فنی که افراد به هنگام نصب گواهینامه با آن مواجه هستند را برطرف کند
• امنیت کامل: همانند اجرای سنتی HTTPS، این روش نیز ارتباط امنی بین بازدیدکننده و سرور فراهم می کند.

معایب این روش:

• مشکلات سازگاری: این گزینه با چند مورد از پلتفرم ها سازگار نیست. البته این ناسازگاری  به معنای از دست دادن حجم بالایی از ترافیک نیست
• گواهینامه ۹۰ روزه: گواهینامه SSL سنتی اغلب برای یکسال یا بیشتر از آن معتبر است اما گواهینامه Let's Encrypt تنها برای ۹۰ روز معتبر است و هر ۶۰ روز باید تجدید شود.
• سفارشی سازی محدود: این گزینه تنها گواهینامه تایید دامنه را دارد و این موضوع بدین معنی است که نمی توان گواهینامه هایی را برای نوار سبز رنگ EV خرید کرد. همچنین این گزینه گواهینامه wildcard را برای امن کردن تمامی ساب دامین ها ارائه نمی کند.

روش سوم: استفاده از Cloudflare

کلودفلر

این گزینه یکی از محبوب ترین روش های موجود برای مهاجرت به سمت HTTPS است زیرا فعالسازی آن بسیار ساده خواهد بود. Cloudflare سرویس SSL انعطاف پذیری را ارائه می کند  که تمامی دشواری های اجرای گواهینامه را از میان بر می دارد. این گزینه نسخه کش شده از سایت را بر روی سرورهای خود میزبانی خواهد کرد و ارتباط امنی برای بازدیدکنندگان سایت و از طریق محافظت SSL خود فراهم خواهد نمود. به همین خاطر استفاده از این روش بسیار ساده خواهد بود. تنها کاری که شما باید انجام دهید به روزرسانی رکوردهای DNS برای اشاره به نیم سرورهای Cloudflare است.

مزایای این روش:

• رایگان بودن: این روش رایگان است. Cloudflare قابلیت های پیشرفته زیادی را به هنگام ارتقا به نسخه پولی فراهم می کند اما سرویس اصلی رایگان است.
• اجرای اسان تر: همانطور که در بخش بالا اشاره کردیم، تنها کاری که برای اجرای این روش باید انجام دهید ایجاد اکانت و به روزرسانی رکورد DNS است. به روزرسانی برای پیکربندی های سررور نیاز نخواهد بود و زمانی برای حل مشکلات پیکربندی تلف نخواهد شد.  همچنین اجرای HSTS را می توان به طور مستقیم از طریق داشبورد آن انجام داد
• بهینه سازی سرعت صفحات سایت: این روش علاوه بر امنیتی که برای سایت فراهم می کند می تواند سرعت بارگذاری صفحات سایت را بهبود ببخشد. با اینکه اجرای سنتی HTTPS می تواند در برخی از موارد نتایج منفی بر روی سرعت بارگذاری سایت داشته باشد، Cloudflare توانایی کم کردن خودکار حجم JS، CSS و HTML را دارد .

معایب این روش:

• رمزگذاری ناقص: خوب یکی از مواردی که درباره این روش باید بدانید این است که Cloudflare رمزگذاری کاملی بین سایت و سرور ایجاد نمی کند البته رمزگذاری بین بازدیدکننده و نسخه کش شده سایت کامل است. با اینکه چنین موضوعی بدین معنی است که بازدیدکنندگان به هنگام مرور سایت احساس امنیت خواهند داشت اما باز هم ممکن است ارتباط سرور دستکاری شود.  شما می توانید اکانت خود را به اجرای کامل SSL ارتقا دهید.
• نگرانی های امنیتی: Cloudflare در اوایل سال جاری توسط افراد ناشناس هک شد. اگرچه این مشکلات امنیتی حل شد اما باز هم باید مراقب این موضوع باشید.
• نبود سفارشی سازی: سرویس رایگان Cloudflare هیچ گونه نوار سبز EV را برای سایت فراهم نمی کند. با اینحال شما می توانید اکانت خود را به نسخه کاملتر ارتقا دهید.

چه نوع HTTPS ای را می توان اجرا کرد؟

این موضوع به سایت شما بستگی دارد. سایت های کوچکی که تنها نیازمند امنیت هستند و نمی خواهند گوگل در کروم ، آن ها را جریمه نکند می توانند از Cloudflare استفاده کنند. همین موضوع برای آژانش هایی که در حال ارائه توصیه های HTTPS برای مشتریان خود هستند و کنترل توسعه ای بر روی سایت ندارند صادق است.  برای سایت های بزرگی که در حوزه تجارت الکترونیک کار می کنند بهتر است از اجرای سنتی و کامل HTTPS بهره مند شوند.