هفت باور اشتباه در مورد HTTPS و SSL

اتصالات ایمن در این جهان مجازی پهناور اغلب بر اساس پروتکل‌های Secure Sockets Layer یا همان SSL شکل می‌گیرد. این‌ها حقایقی هستند که کم و بیش همه از آن‌ها با خبرند و قبولش دارند. اما جدای از این حقیقت‌ها و تعاریف انکار نشدنی، باورهایی در میان کاربران وجود دارد که اکثرا درست نیستند. با هم در ادامه به هفت باور اشتباه در مورد HTTPS و SSL می‌پردازیم و از دلایل نادرست بودنشان می‌گوییم.

تنها وبسایت‌های تجاری نیازمند SSL هستند
حتما از اطرافیانتان شنیده اید که هر سایتی نیازمند دریافت SSL نیست و فقط سایت‌های تجاری باید این گواهی امنیتی را داشته باشند. البته در نگاه اول این باور چندان اشتباه به نظر نمی‌رسد. به هر حال، شما باید تا الان فهمیدن اینکه یک سایت حین دریافت اطلاعات شخصی، آن‌ها را رمزنگاری می‌کند یا نه را یاد گرفته باشید.

چراکه اگر این امر ساده را فراموش کنید خیلی راحت‌تر از چیزی که فکرش را بکنید می‌شود از اطلاعات شخصی شما سوء استفاده کرد. پس حواستان را جمع کنید و پیش از اینکه اطلاعات خود را به دست یک سایت بسپارید، ببینید که عبارت https در نوار آدرس‌های مرورگر موجود باشد.

اما این موضوع فقط به وبسایت‌های تجاری یا شبکه‌های اجتماعی که منبع اطلاعات حساس کاربران مختلف هستند ختم نمی‌شود. رمزنگاری برای هر سایتی که در این روزها فعالیت می‌کند ضروریست و شما باید به این موضوع مهم توجه ویژه‌ای داشته‌ باشید.

SSL تاثیری بر ترافیک وب ندارد
ورود به یک سایت ناامن عین بازی کردن با آتش است. طبیعتا کسی دوست ندارد با آتش شوخی کند و دچار سانحه شود. گشت و گذار در وب هم این روزها چنین شکلی پیدا کرده. مردم به محض اینکه بفهمند یک سایت ناامن است از ترس هکرها سریعا تب آن وبسایت را می‌بندند و حتی اگر کلاهشان هم آن سمت‌ها بیفتد به دنبالش نمی‌روند.

پس به همین راحتی SSL روی ترافیک یک سایت تاثیر می‌گذارد و باعث می‌شود که به مرور آمار بازدید‌ها کم و کم‌تر شوند. علاوه بر این، داشتن گواهی SSL برای سئو الزامیست و به تبع اگر سایتی نتواند امنیت لازم را برای کاربرانش فراهم کند با رشد قابل توجهی رو به رو نخواهد شد.

SSL باعث کند شدن فرآیند بارگذاری صفحات وب می‌شود
با افزایش تعداد بازدید از یک سایت‌ احتمال اینکه بارگذاری صفحات آن کمی کند شود وجود دارد. اما اکثر مدیران سایت‌های تازه کار دلیل این موضوع را به گردن HTTPS می‌اندازند و فکر می‌کنند رمزنگاری صفحات باعث دیر لود شدن آن‌ها شده. خوشبختانه باید بگوییم که این یک باور اشتباه است و رمزنگاری صفحات وب تقریبا هیچ تاثیر قابل ملاحظه‌ای روی سرعت بارگذاری صفحات ندارد.

به طور کلی اصالت HTTPS به HTTP/2 که نسخه بهبود یافته‌ای از HTTP است باز می‌گردد. HTTP/2 طراحی شد تا سرعت بارگذاری صفحات وب به لطف تکنیک‌های فشرده سازی داده تا ۵۰ درصد کاهش پیدا کند. به نوعی می‌توان گفت که HTTPS و HTTP/2 برای این آمدند که سرعت عملکرد و بارگذاری وبسایت‌ها بهبود پیدا کند. پس چطور می‌شود که یک سایت به خاطر استفاده از HTTPS افت سرعت داشته باشد؟

SSL به روزترین تکنولوژی حال حاضر است
SSL قطعا یکی از بهترین گواهینامه‌های امنیتی حال حاضر است اما جدیدترین و پیشرفته‌ترین نیست. در حال حاضر گواهی TLS را داریم که می‌شود از آن به عنوان مقصد بعدی HTTPS برای ادامه حیاتش یاد کرد. این جانشین قدرتمند کارش را از سال ۲۰۰۸ آغاز کرد و از همان ابتدا جلوی منافذی که SSL از آن‌ها آسیب خورده بود را گرفت.

با این حال، هنوز TSL به طور کامل جانشین SSL نشده و تنها برخی سایت‌های تجاری که کارشان به پول و حساب‌های مالی کاربران وابسته است از این گواهی تازه استفاده می‌کنند. برای مثال PayPal یکی از سایت‌هاییست که همین الان دارد از TSL برای حفظ امنیت کاربرانش کمک می‌گیرد.

گواهینامه SSL گران قیمت است
فکر کنم کسی که برای اولین بار گفت استفاده از SSL گران قیمت است با Let’s Encrypt آشنایی نداشته. Let’s Encrypt حالا به سرویس دهنده امنیتی محبوبی تبدیل شده چون هم رایگان است و هم تاثیر گذار. بسیاری از شرکت‌های بزرگ مثل فیسبوک، یوست، موزیلا و حتی گوگل کروم از Let’s Encrypt پشتیبانی می‌کنند و به راحتی می‌توان با آن امنیت یک سایت را ارتقا بخشید.

جدای از Let’s Encrypt سرویس‌دهنده‌های رایگان دیگری هم وجود دارند که با کمی جستجو در اینترنت می‌توانید پیدایشان کنید. با این حال، اگر هاست سرور شما از این سرویس‌های رایگان پشتیبانی نکنند، آن وقت مجبورید کمی هزینه کنید و از سرویس‌های پولی استفاده کنید. آن وقت است که باورهای نه چندان درست مردم رنگ واقعیت به خود می‌گیرند.

SSL تمام داده‌ها را رمزنگاری می‌کند
به نظرم پیش از اینکه در مورد یک موضوع خاص نظری قطعی صادر کنید خوب در موردش اطلاعات به دست آورید. بحث SSL فقط یک بحث امنیتی نیست. درست است که داده‌‌ها به واسطه آن رمزنگاری می‌شوند اما این اتفاقی است که فقط در زمان انتقال داده‌ها رخ می‌دهد. علاوه بر این ظاهر شدن عبارت HTTPS آدرس بار نیز به معنی شکل گرفتن یک اتصال ایمن است، نه وجود یک وب سرور امن.

فکر کنید این مسیر مانند تونلی است که دارید در آن حرکت می‌کنید. طبیعتا وقتی در چنین مسیری هستید هیچ خطری از بیرون تونل نمی‌تواند وسیله نقلیه شما را تهدید کند. اما ممکن است زمانی که به مقصد رسیدید دچار سانحه شوید.

این موضوع دقیقا برای انتقال داده هم صادق است. داده‌ها رمزنگاری می‌شوند تا در حین مسیر انتقال، یک شخص ثالث نتواند آن‌ها را به سرقت ببرد. اما زمانی که داده‌ها استاتیک باشند دیگر SSL معنای چندان خاصی نخواهد داشت. این یعنی اگر داده‌هایتان به سروری انتقال داده شود که امن نیست آن وقت ممکن است هر اتفاقی برای اطلاعات مهمتان بیفتد.

رمزنگاری SSL احمقانه‌ است
برعکس باور بسیاری از کاربران، HTTPS از نظر کیفیت رمزنگاری در سطح قابل قبولی قرار دارد. اما این بدان معنا نیست که می‌توان با رمزنگاری داده‌ها، یک چیز هک نشدنی ساخت. بخشی از امنیت داده‌های شما وابسته به شرکت‌هایست که با آن‌ها در ارتباط هستید.

این شرکت‌ها باید تمام تلاششان را بکنند تا هیچ فردی نتواند از اطلاعات کاربران به هر نحوی سوء استفاده کند. پس اگر مشکلی پیش بیاید نمی‌شود تمام تقصیرها را به گردن رمزنگاری SSL انداخت و آن را احمقانه خواند. چراکه ممکن است متهم اصلی شرکتی باشد که اطلاعاتتان را به دستش سپردید.