در نسخه Chrome 68، گوگل کروم تمام وبسایتهای غیر HTTPS را با عبارت «Not Secure(نا امن)» مشخص میکند. چیز خاصی تغییر نکرده است. در واقع سایتهای HTTP هنوز همان امنیتی که قبلا داشتند را دارند. گوگل فقط در تلاش است تمام وب را به سوی ارتباطات امن و رمزگذاری شده سوق دهد.
فهرست محتوا
روش کار سایتهای HTTPS امن
وقتی در حال بازدید از وبسایتی باشید که از رمزگذاری HTTPS یا HTTPS encryption استفاده میکند، یک علامت «قفل» سبز رنگ و کلمه «Secure» در نوار آدرس بالای صفحه ظاهر میشوند.
در طول این نوع ارتباطات، حتی اگر پسورد و شماره کارت اعتباری خود را وارد کنید یا دادههای مالی مهمی برایتان فرستاده شود، رمزگذاری سایت از امنیت آنها اطمینان پیدا میکند. این رمزگذاری باعث میشود هیچ فردی، توان دزدی اطلاعات فرستاده شده از دستگاه به سرور وبسایت را نداشته باشد. همچنین میتواند از به خطر افتادن دادههای در حال انتقال به سرورهای وبسایت جلوگیری کند.
این امنیت به این دلیل حاصل میشود که وبسایت از رمزگذاری SSL استفاده میکند. مرورگر دستگاه هنگام اتصال به وبسایتهای قدیمی رمزگذاری نشده، از پروتوکل HTTP استفاده میکند؛ اما هنگام برقراری اتصال با وبسایتهای امن، از پروتوکل HTTPS – یا دقیق تر بگوییم: HTTP همراه با SSL – استفاده میکند. صاحبان وبسایتها برای اینکه بتوانند از این پروتوکل بهرهمند شوند، باید تنظیمات HTTPS را روی سایت خود انجام دهند.
HTTPS همچنین مهیا کننده ایمنی در مقابل افراد بد نیتی است که هویت خود را جعل میکنند. برای مثال، اگر به وای فای هات اسپات عمومی متصل شوید و سپس سایت Google.com را باز کنید، سرورهای گوگل تاییدیهای امنیتی ارائه میدهند که فقط و فقط برای Google.com معتبر است. اما اگر گوگل از HTTP رمزگذاری نشده استفاده میکرد، به هیچ صورت نمیتوانستید تشخیص دهید به سایت Googe.com واقعی وارد شدهاید یا وارد سایتی جعلی شدهاید که می خواهد شما را فریب دهد و پسوردها و سایر اطلاعات شما را بدزدد. به عنوان مثال، هنگام متصل بودن به وای فای عمومی، وای فای هات اسپاتهای دزد، میتوانند افراد را به همچین وبسایتهای جعلیای هدایت کنند. نحوه بلاک کردن سایت های مزاحم در گوگل کروم را در این مطلب مطالعه کنید.
(در واقع، HTTP به خوبی تاییدیههای Extended Validation هویت وبسایتها را تایید نمیکند، اما بالاخره از هیچ بهتر است.)
HTTPS سودمندی های دیگری نیز دارد. با وجود HTTPS، هیچ کس نمی تواند آدرس کامل صفحه اینرنتی ای که در حال مشاهده آن هستید را ببیند، آن ها فقط می توانند آدرس وبسایتی که به آن متصل هستید را مشاهده کنند. برای مثال، اگر در حال مطالعه درباره یک بیماری در مسیر example.com/medical_condition باشید، حتی مهیا کننده سرویس اینترنتیتان هم فقط می تواند ببیند که شما به example.com متصل شده اید و نمی تواند بفهمد در حال مطالعه چه مطلبی هستید.
ممکن است بعضی فکر کنند HTTPS سرعت کمتری نسبت به HTTP دارد، اما اشتباه می کنند. توسعه دهندگان در حال کار روی تکنولوژی های نوینی چون HTTP/2 بوده اند تا سرعت جستجوی اینترنتی را بالا ببرند. منتهی نکته آنجاست که HTTP/2 فقط روی ارتباط HTTPS مجاز است، در نتیجه واضح است که HTTPS سرعت بیشتری از HTTP دارد.
اگر وبسایتها رمزگذاری نشدهاند پس چرا نا امن هستند؟
پروتکل قدیمی HTTP دیگر فسیل شده است. به همین دلیل است که در Chrome 68، هنگام مشاهده وبسایت های HTTP رمزگذاری نشده، پیام «Not Secure» در نوار آدرس نشان داده میشود، این در صورتی است که کروم، قبلاً فقط یک علامت «i» که درون دایره ای قرار داشت را برای اطلاع رسانی چنین نوع اتصالی نشان می داد. با کلیک روی عبارت «Not Secure» کروم پیام می دهد: «Your connection to this site is not secure» (اتصال به این سایت امن نیست)
منظور کروم از امن نبودن اتصال این است که سایت به دلیل رمزگذاری نشده بودن، توانایی محافظت از اتصال را ندارد. هر آنچه که از طریق این نوع اتصال فرستاده میشود، با فرمت فایل متنی قابل ویرایش (plain text) فرستاده میشود. یعنی اتصال شما نسبت به جاسوسی و دزدی اطلاعاتی آسیب پذیر است. اگر اطلاعات خصوصی مانند پسوردها یا اطلاعات پرداخت های مالی را در چنین وبسایت هایی تایپ کنید، افراد ماهر می توانند هنگام انتقال، اطلاعاتتان را به سرقت ببرند.
ضمناً داده هایی که وبسایت هم برای شما می فرستد قابل مشاهده هستند. بنابراین، حتی اگر در حال جستجوی وب باشید، دزدان اطلاعات می توانند ببینند که دقیقا در حال مشاهده چه صفحه ای هستید. مهیا کننده سرویس اینترنتتان هم همین قابلیت را خواهد داشت، و ممکن است اطلاعاتتان را به سرویس های تبلیغاتی بفروشد. حتی! سایر افراد متصل به شبکه وای فای عمومی نیز می توانند بفهمند در حال مشاهده چه صفحاتی هستید. برای محافظت از حریم شخصی آنلاین خود، این مطلب را مطالعه کنید.
یک وبسایت رمزگذاری نشده نسبت به نفوذ نیز آسیب پذیر است. اگر در ارتباط بین شما و وبسایت فردی سومی هم حضور داشته باشد و در حال تغییر اطلاعات فرستاده شده از طرف وبسایت برای شما (یا برعکس) باشد، شما یا وبسایت متوجه نخواهید شد. برای مثال، همچین اتفاقی ممکن است در مواقعی که به وای فای عمومی متصل هستید رخ دهد. اپراتور هات اسپات می تواند جاسوسیتان را بکند، اطلاعات شخصی شما را به دست آورد یا محتوایی که صفحه اینترنت برای شما می فرستد را قبل از رسیدن به دستتان تغییر دهد. به عنوان نمونه، ممکن است فردی در یک صفحه سالم و بی عیب دانلود، لینک دانلود فایل های بدافزار قرار دهد؛ این اتفاق زمانی رخ می دهد که صفحه دانلود، داده هایش را به جای HTTPS از طریق پروتکل HTTP ارسال کند. آن ها حتی می توانند وبسایت های جعلی و متقلبی درست کنند که تظاهر می کنند وبسایت های قانونی و سالم هستند. اگر وبسایت های قانونی از HTTPS استفاده نکنند، هیچ راهی وجود ندارد که بتوان فهمید وبسایت مورد نظر جعلی است یا حقیقی.
چرا گوگل همچین تغییری ایجاد کرده است؟
گوگل و سایر کمپانیهای وب همچون موزیلا، مدت زیادی است که در حال کار بر روی کمپینهایی با موضوعیت انتقال وب از HTTP به HTTPS هستند. HTTP امروزه تکنولوژیای منسوخ به شمار میرود که دیگر نباید مورد استفاده قرار گیرد.
در آغاز کار، فقط چند وبسایت محدود از HTTPS استفاده می کردند. وبسایت بانک ها و سایر وبسایت های حساس از HTTPS استفاده می کردند. همچنین هنگامی می خواستید برای ورود به وبسایتی پسوردی وارد کنید یا شماره کارت اعتباریتان را تایپ کنید به صفحات HTTPS بازهدایت می شدید. همین بود و بس.
در آن زمان، اعمال HTTPS برای صاحبان وبسایت ها کمی هزینه بردار بود و اتصالات امن HTTPS نسبت به اتصالات HTTP سرعت کمتری داشتند. به همین دلیل، اکثر وبسایت ها از HTTP استفاده می کردند، اما همانطور که گفتیم این پروتکل در اتصال، امکان جاسوسی و نفوذ اطلاعاتی ایجاد می کرد. وجود این پروتکل، استفاده از هات اسپات وای مکان های عمومی را تبدیل به عملی ریسک پذیر کرده بود.
برای ایجاد حریم شخصی، امنیت و تایید هویتی، گوگل و سایر کمپانی ها قصد انتقال وب به HTTPS را کردند. آن ها روش های زیادی برای این امر، به کار برده اند: در حال حاضر، با تشکر از توسعه دهندگان تکنولوژی، HTTPS سرعت بیش تری از HTTP دارد و صاحبان وبسایت ها می توانند برای رمزگذاری وبسایت هایشان، به صورت رایگان گواهی های SSL دریافت کنند. سایت Let’s Encrypt به صورت رایگان این تسهیلات را فراهم میکند. گوگل وبسایت های دارای HTTPS را ترجیح می دهد و در نتایج جستجوی گوگل اعتبار بیشتری به آن ها می دهد.
طبق گزارش Google، 75% از وبسایت های بازدیده شده در کروم در سیستم های ویندوز از HTTPS استفاده می کنند.
چیز زیادی تغییر نکرده است. HTTP هنوز همان مشکلات قدیمی اش را دارد. اما تعداد قابل توجهی از وبسایت ها به استفاده از HTTPS روی آورده اند و حالا زمان آن رسیده که استفاده کنندگان پروتکل HTTP را تشویق به تغییر خط مشیشان کنیم. استفاده از HTTPS جستجو در وب را سریع تر میکند و همین حین سطح حریم شخصی و امنیت را بهبود می بخشد.
اقا برای من برای سایت اپارات میخوام واردشم همینو میگه نمیزاره وارد شم چیکار کنم؟
تاریخ و ساعت سیستمتون رو درست کنید