اس اس ال SSL رایج ترین نوع امنیت برای وب است. هنگام بازدید از یک سایت ایمن ، آن را با نماد قفل در نوار وضعیت مرورگر مشاهده می کنید. آن را در نشانی اینترنتی با اعلان HTTPS مشاهده می کنید. شما حتی در مورد آن در اخبار می شنوید ، وقتی اشکالی مانند Heartbleed دور می زند.
حتی با وجود اشکالاتی مانند Heartbleed ، SSL هنوز بسیار امن تر از یک صفحه روی HTTP باز است. بنابراین چرا کل وب به استفاده یا نیاز به SSL در هر صفحه تغییر نکرده است؟ در مقیاس شخصی تر ، آیا باید SSL را در هر صفحه فعال کنید یا آن را محدود به صفحات ایمن مانند پانل های کنترل حساب و صفحات ورود کنید؟
SSL چگونه کار می کند
SSL در اصل یک دست دادن محرمانه است که به ترافیک شما اجازه می دهد وارد یک باشگاه منحصر به فرد شوید که در آن حریم خصوصی تقریباً کاملی وجود دارد. این یک مکان ملاقات پوشیده بین رایانه شما و سرور وب میزبان صفحات موردنظر ایجاد می کند.
روند دقیق چیزی شبیه به این است:
• مرورگر شما از وب سایتی استفاده می کند که از SSL استفاده می کند ، مانند صفحه ورود.
• مرورگر شما درخواستی را به سرور ارسال می کند و از آن می خواهد که خود را شناسایی کند. پس از همه ، قبل از اینکه اطلاعات خود را به کسی بدهید ، می خواهید بدانید که آنها افرادی هستند که می توانید به آنها اعتماد کنید.
• سرور نسخه ای از گواهی SSL مورد استفاده را برای مرورگر شما ارسال می کند.
• مرورگر شما آن گواهی را بررسی می کند تا ببیند آیا معتبر است یا خیر ، مطمئن می شود که معتبر است و تاریخ انقضاء آن وجود ندارد. در صورت بررسی ، پاسخ را به سرور ارسال می کند.
• سپس سرور یک تاییدیه اعتماد را ارسال می کند و یک جلسه رمزگذاری شده را آغاز می کند ، همانطور که توسط نماد قفل ، آدرس HTTPS ، نوار وظیفه سبز یا سایر دال های مورد استفاده نشان داده شده است.
• از این به بعد ، ترافیک بین مرورگر شما و آن صفحه وب رمزگذاری می شود.
رمزگذاری داده ها از یک سیستم پیچیده کلید عمومی و خصوصی استفاده می کند که شکستن آن تقریباً غیرممکن است. هیچ هکر کوچکی نمی تواند رمزگذاری SSL اولیه را برای سرقت اطلاعات شما شکست دهد. حتی NSA ، با استفاده از قوی ترین ابر رایانه های جهان ، در بهترین حالت قرن ها طول می کشد تا کلیدهای لازم برای خواندن داده های شما را به زور مورد استفاده قرار دهد.
SSL به دو دلیل استفاده می شود. اولین دلیل ایجاد هویت و امنیت آنلاین است. یک وب سایت ، مانند بانک شما ، از SSL استفاده می کند تا به شما بگوید که همان کسی است که می گوید. به این ترتیب می تواند به راحتی به نماد قفل یا آدرس HTTPS اشاره کند و به شما بگوید اگر در آنجا نیست ، اطلاعات خود را وارد نکنید. دلیل دوم حفاظت از خود اطلاعات است. اگر یک هکر اطلاعات حساب شما را در حالی که رمزگذاری شده بود رهگیری کند ، تنها چیزی که آنها دریافت می کنند حیله و تزویر است.
بنابراین فعال کردن SSL برای صفحه ورود به حساب کاربری ساده ای نیست. آیا آن را برای کل سایت خود فعال می کنید؟
معایب SSL کل سایت
بار اضافه روی سرور Server overhead
هر درخواستی که از یک سرور روی SSL ساخته می شود ، به پردازش و پهنای باند بیشتری نسبت به ترافیک رمزگذاری نشده نیاز دارد. در مقیاس کوچک ، این زیاد نیست. هنگامی که Gmail به طور کامل به SSL تغییر کرد – به ترتیب یک درصد ، گوگل متوجه افزایش سربار بسیار کمی شد. با این حال ، در کل اینترنت ، افزایش 1-2 درصدی سایش سرور می تواند مهم باشد. توجه: زمانی که رایانه ها کندتر بودند ، این وضعیت بسیار بدتر بود ، اما در محاسبات مدرن بسیار کم اهمیت است. به احتمال زیاد زیرساخت سرور به راحتی از افزایش بار اینترنت همه SSL پیشی می گیرد.
شبکه های توزیع محتوا با چالش هایی روبرو هستند. Content distribution networks face challenges
با CDN ، وب سایت شما ممکن است از ده ها سرور مختلف برای بارگیری یک صفحه استفاده کند. این مشکل ایجاد می کند. وقتی مرورگر شما از www.website.com دیدن می کند و گواهینامه SSL خود را درخواست می کند ، انتظار دارد که گواهی آن نشانی اینترنتی را دریافت کند. ممکن است یک مورد از CDN ، www.cdn.com دریافت کند. تفاوت بین نام میزبان مورد انتظار و واقعی باعث ایجاد خطا می شود و مرورگر اتصال را غیرقابل اعتماد می خواند.
زیر دامنه ها مشکلی مشابه CDN ها دارند : Content distribution networks face challenges
www.mail.website.com به گواهی متفاوتی نسبت به www.users.website.com نیاز دارد. یک گواهینامه واحد ، به نام گواهی نامه عادی ، این مشکل را حل می کند ، با این تفاوت که برای http://website.com ساده کار نمی کند. داشتن گواهینامه های متعدد ضروری است.
مشابه موضوع CDN ، مسئله شبکه های تبلیغاتی است : Similar again to the CDN issue is the issue of ad networks
یک وب سایت باید بداند که هر دارایی ارائه شده توسط شبکه تبلیغات دارای SSL است. مهمتر از همه ، شبکه تبلیغات باید اطمینان حاصل کند که هر تبلیغ شخص ثالثی که ارائه می دهد به همان اندازه ایمن است. این مشکل تا زمانی که پیوندهایی در زنجیره وجود دارد ، ادامه می یابد و اگر یکی از آنها SSL را ارائه نکند ، هر یک از جلو در زنجیره خطا ایجاد می کند.
نکته: اگر کل سایت از SSL استفاده می کند ، باید ایمن باشد ، درست است؟ خوب ، هنوز چند راه وجود دارد – در اینترنت که کاملاً از SSL استفاده نمی کند – که اطلاعات شما قبل از رمزگذاری ربوده شوند. استفاده از SSL در کل سایت شما می تواند باعث ایجاد حس امنیت کاذب در کاربران شما شود.
معایب: SSL می تواند با برخی از ابزارهایی که برای اندازه گیری عملکرد SEO استفاده می شود تداخل ایجاد کند
ه HTTPS همچنین به مقدس سازی و تغییر مسیرهای مناسب 301 نیاز دارد. این می تواند مدتی طول بکشد تا به درستی تنظیم شود و این واقعیت را حل نمی کند که برخی از ابزارها به سادگی کار نمی کنند.
مزایای SSL کل سایت
از یک جهت ، پیاده سازی SSL در کل سایت شما از نظر فنی ساده تر از محدود کردن آن به یک صفحه یا مجموعه ای از صفحات است. این باعث می شود که کارکرد آن برای کارکنان فنی شما کمتر شود.
در مواردی که صفحه ورود شما ناامن است اما دکمه ارسال ایمن است با مشکل روبرو نمی شوید. این مسائل می تواند باعث شود کاربران فکر کنند اطلاعات آنها رمزگذاری نشده است ، حتی اگر ارسال و انتقال واقعی داده ها کاملاً ایمن باشد.
HTTPS واقعاً امن تر است. داشتن SSL در کل سایت شما ، توانایی صیادان در حملات جعل هویت به سایت شما را محدود می کند. هنگام استفاده از سایت شما ، کاربران می توانند از ایمنی خاصی انتظار داشته باشند.
همانطور که می بینید ، معایب تا حدی بر جوانب مثبت در این شرایط بیشتر است. با این حال ، بسیاری از معایب مسائلی هستند که با تغییر بیشتر سایت ها و ارائه دهندگان محتوا به استفاده از کل SSL می توان آنها را برطرف کرد.
توصیه رایج این است که از SSL برای قسمتهایی از سایت خود که لزوماً نیاز به امنیت دارند استفاده کنید. صفحات ورود ، فرمهای ارسال حساس و سایر ترافیک از این قبیل باید رمزگذاری شوند ، بنابراین شما حداقل به همان سطح اولیه استفاده از SSL نیاز دارید.
با گذشت زمان ، با تغییر بیشتر اینترنت به SSL ، می توانید استفاده از SSL خود را برای پوشش بقیه سایت خود گسترش دهید. اگر این ارائه دهندگان SSL خود را به طور کامل پیاده سازی نکرده باشند ، ممکن است با ارائه دهندگان محتوا شخص ثالث دچار مشکل شوید. پس از حل این مسائل ، SSL در سطح سایت استاندارد جدید خواهد بود.
دیدگاهتان را بنویسید