چگونه می توان HTTPS را به مدت 10 دقیقه به صورت رایگان به وب سایت خود اضافه کرد ، و چرا باید بیش از گذشته این کار را انجام دهید

عکس دانیل کرنشی در Unsplash

هفته گذشته ، گوگل اعلام کرد که Chrome 68 ، با ورود به ماه ژوئیه ، تمام صفحات HTTP را "امن" نمی کند.

تغییر برنامه ریزی شده در نوار آدرس Chrome

این قوی ترین گلی است که به طور پیش فرض وب را به سمت رمزگذاری سوق نمی دهد و مدت زمان طولانی است.

اگرچه شواهدی وجود دارد که نشان می دهد چرا همه باید به پهنای باند HTTPS بپردازند ، اما بسیاری از مردم هنوز ارزش سرویس دهی به سایتهای خود را ایمن نمی بینند.

"چرا به وبلاگ نیاز دارم؟"

من قبلاً در مورد ارزش HTTPS نوشتم ، اما فقط برای تکرار:

  • HTTPS از کاربران در برابر حملات Man In the Middle محافظت می کند.
  • HTTPS لازم است تا از ویژگیهای جدید بسیاری در مرورگرهایی مانند Workers Service بهره ببرد
  • HTTPS بر سئو تأثیر می گذارد

اگر قانع نیستید ، domysiteneedhttps.com را بخوانید تا تصویر کاملی از اینکه چرا هر وب سایت باید ایمن باشد ارائه دهید.

و اگر هنوز آن را پیدا نکردید ، زندگی برای شما سخت تر می شود.

در تلاش برای دور کردن کاربران از سایتهای ناامن ، مرورگرها شرمنده وب سایتهایی هستند که به صورت ناامن در برخی زمینه ها خدمت می کنند.

Chrome 56 این روند را با علامت گذاری صفحات دارای فیلدهای حساس ورود به سیستم به عنوان "امن نیست" آغاز کرد ، در حالی که Chrome 62 این اخطار را به تمام صفحات HTTP که شامل هر نوع فیلد ورودی است ، افزود. علاوه بر این ، اخطار در تمام صفحات HTTP در حالت ناشناس نمایش داده می شود بدون توجه به اینکه آنها یک فیلد ورودی دارند یا نه.

Firefox همچنین هنگام تلاش برای پر کردن فرم ورود ناامن به کاربران ، به کاربران هشدار می دهد.

اکنون Chrome تصمیم گرفته است این هشدار را در تمام صفحات HTTP که به جلو حرکت می کنند قرار دهد. سرانجام ، نماد کنار برچسب "مطمئن نیست" تغییر خواهد کرد و متن قرمز رنگ خواهد شد تا بیشتر تأکید شود که به صفحات HTTP قابل اعتماد نیست.

برای اینکه کاربران از دیدن این اخطار در وب سایت شما جلوگیری کنند ، همه شما باید یک گواهی SSL معتبر دریافت کنید. خبر خوب این است که انجام این کار به اندازه گذشته دشوار و گران نیست. در حقیقت ، من به شما نشان می دهم که چگونه HTTPS را در سایت خود به صورت رایگان و با استفاده از Cloudflare مستقر کنید. و به هیچ وجه زمان زیادی نخواهد برد.

چرا Cloudflare؟

CloudFlare بدون در نظر گرفتن چه زیرساخت سمت سرور شما می تواند به شما در تأمین امنیت گواهینامه SSL کمک کند. همچنین برای سایتهایی که روی سیستم عامل ها میزبانی می شوند ، امکان دسترسی سرور از قبیل GitHub Pages ، Ghost و موارد مشابه را فراهم نمی کند.

نیازی به نصب چیزی یا نوشتن کد نیست. این امر گزینه بسیار مناسبی برای استقرار HTTPS در وب سایت شماست و زمان تنظیم آن به معنای واقعی کلمه نباید بیش از 10 دقیقه طول بکشد.

همچنین تعداد بیشماری از مزایای دیگر در زمینه امنیت و عملکرد وب سایت شما را ارائه می دهد که قصد ندارم در اینجا به آن بپردازم. اما من کمی در مورد چگونگی کار همه صحبت خواهیم کرد تا بتوانید ایده خوبی از چگونگی انجام همه کارها بدست آورید.

Cloudflare چگونه کار می کند

Cloudflare درست در وسط ترافیک بین بازدید کنندگان وب سایت و سرور شما قرار دارد. بازدید کنندگان می توانند انسان معمولی ، خزنده و ربات (مانند ربات موتورهای جستجو) یا هکرها باشند. Cloudflare با عمل به عنوان واسطه بین سرور وب و بازدید کنندگان سایت شما ، به فیلتر کردن کلیه ترافیک نامشروع کمک می کند تا فقط موارد خوب از بین بروند.

حال ممکن است از شما سؤال شود که آیا همه اینها می تواند تأثیر منفی بر سرعت وب سایت شما بگذارد ، اما کاملاً برعکس است. Cloudflare دارای مراکز داده در سرتاسر جهان است ، بنابراین از نزدیکترین نقطه بازدید کننده شما استفاده می کند که باید سایت شما را خیلی سریعتر از گذشته کند.

توزیع شبکه جهانی Cloudflare

اکنون که می دانیم Cloudflare چگونه کار می کند ، بیایید نگاهی بیندازیم که چگونه می توان وب سایت را در زیرساخت های آنها راه اندازی کرد و چگونه به صورت رایگان در HTTPS راه اندازی کرد. در اینجا تمرکز روی ویژگی هایی است که Cloudflare به صورت رایگان ارائه می دهد ، اما توجه داشته باشید که برنامه های پرداخت شده با مجموعه ای از ویژگی های اضافی نیز در دسترس هستند.

راه اندازی سایت جدید

پس از ثبت نام در Cloudflare ، اولین کاری که باید انجام دهید اضافه کردن دامنه و اسکن رکوردهای DNS است.

پس از اتمام اسکن ، تمام پرونده های DNS موجود در دامنه نمایش داده می شوند. می توانید دامنه های فرعی را که می خواهید Cloudflare را فعال کنید انتخاب کنید و هرگونه تغییر دلخواه را انجام دهید. پس از آماده شدن ، روی ادامه کلیک کنید تا به مرحله بعدی بروید.

برنامه رایگان را انتخاب کنید و روی ادامه کلیک کنید.

در مرحله بعد ، شما باید سرورهای نام در ثبت دامنه خود را به Cloudflare ارائه شده تغییر دهید. روند انجام این کار در هر یک از ثبت دامنه ها کمی متفاوت است ، بنابراین با ثبت دامنه خود بررسی کنید.

در اینجا چگونه به نظر می رسد در Namecheap:

تغییر سرورهای نام در Namecheap

حال باید منتظر بمانید تا تغییرات نام سرور پخش شود. بعد از مدتی روی Recheck Nameservers کلیک کنید تا ببینید آیا سایت شما اکنون در Cloudflare فعال است یا خیر. این طولانی ترین قسمت از تنظیم است و می تواند تا 24 ساعت طول بکشد ، اما در تجربه من کمتر از 5 دقیقه طول کشید.

هنگامی که به روزرسانی های سرویس دهنده شما توسط Cloudflare تأیید شد ، سایت شما در این سرویس فعال می شود.

اگر می خواهید کاملاً مطمئن باشید که تنظیمات DNS شما در همه جا پخش شده است ، What My DNS راهی برای بررسی اینکه آدرس IP دامنه شما در مکان های مختلف به چه مواردی ارائه می شود ، ارائه می دهد.

همچنین می توانید برای تأیید پیکربندی DNS دامنه خود از خط یا nslookup در خط فرمان استفاده کنید.

تحت بخش پاسخ ، خواهید دید که آدرس IP دامنه شما به چه مواردی حل می شود

به این ترتیب ، می توانید مطمئن باشید که هم اکنون تمام رفت و آمد به دامنه شما از طریق Cloudflare مسیریابی می شود.

قبل از شروع پیکربندی Cloudflare ، اطمینان حاصل کنید که مرورگر شما از پرونده های قدیمی DNS از حافظه نهان خود استفاده نمی کند. در Chrome و Firefox می توانید با پاک کردن سابقه مرورگر خود این کار را انجام دهید.

گرفتن SSL به صورت رایگان

SSL هنوز یک سرویس حق بیمه است و بسیاری از مقامات گواهینامه قبل از صدور گواهی SSL مبلغ قابل توجهی را شارژ می کنند. این چیزی نیست که شما فقط می توانید به صورت رایگان در همه جا دریافت کنید ، اما در صنعت در حال تغییر است.

Comodo برای یک گواهینامه SSL 99.95 دلار در سال هزینه دارد

اکنون که Cloudflare را در وسط ترافیک وب خود قرار داده اید ، باید SSL را به صورت خودکار در دامنه خود بدست آورید. تا 24 ساعت طول بکشد تا این گواهی فعال شود ، اما طبق تجربه من ، به هیچ وجه طول نمی کشد.

می توانید گواهی سایت خود را تحت تنظیمات Crypto فعال کنید یا خیر.

پس از فعال شدن گواهینامه ، سایت خود را در یک مرورگر بارگیری کنید. باید سایتی را که از طریق HTTPS سرو می شود و یک قفل سبز زیبا در نوار آدرس مشاهده کنید.

در صورت مشاهده اطلاعات بیشتر در مورد گواهینامه ، می توانید مرجع صدور گواهینامه را صادر کنید (Comodo در پرونده من) و تاریخ انقضا. یکی از نکات جالب در مورد Cloudflare این است که تجدید گواهینامه به صورت خودکار برای شما انجام می شود تا دیگر هیچ نگرانی در آنجا نباشد.

تفاوت SSL قابل انعطاف ، کامل و کامل (دقیق)

Cloudflare گرفتن SSL را به صورت رایگان و بدون پیکربندی هر چیزی ، بسیار آسان می کند ، اما همیشه مانند سرویس دادن به سایت شما از طریق SSL به طور مستقیم از مبدأ نیست.

سه پیاده سازی SSL Cloudflare وجود دارد. اولین موردی که به طور پیش فرض دریافت می کنید ، انعطاف پذیر SSL است. در این حالت ، ترافیک بین کاربران سایت شما و Cloudflare رمزگذاری می شود اما این رمزگذاری تا سرور مبدا انجام نمی شود. Cloudflare هنوز با سرور شما از طریق HTTP ساده صحبت می کند.

این بدان معنی است که هر Man In The Middle (مانند ارائه دهندگان شبکه) بین Cloudflare و سرور شما می تواند ترافیک را مشاهده کند. اگر اطلاعات حساس را در وب سایت خود جمع آوری می کنید ، از استفاده از این گزینه خودداری کنید.

برای داشتن رمزگذاری تا سرور مبدأ ، باید از اجرای کامل یا کامل (دقیق) استفاده کنید. اولین نیاز به شما دارد که باید یک گواهی معتبر را روی سرور خود نصب کنید ، اما صحت گواهی تأیید نمی شود ، بنابراین می توانید با یک گواهی خود امضا شده از آن استفاده کنید. از طرف دیگر ، اجرای کامل (دقیق) شما را ملزم به نصب یک گواهی معتبر SSL می کند که توسط یک مجوز معتبر گواهی امضا شده است.

اگر نمی خواهید SSL را از امثال Comodo خریداری کنید ، می توانید گواهی های Origin CA را از Cloudflare دریافت کنید که می تواند با گزینه های Full یا Full (Strict) مورد استفاده قرار گیرد ، زیرا به Cloudflare اعتماد دارند. اما بخاطر داشته باشید که این گواهینامه ها فقط به Cloudflare اعتماد دارند بنابراین اگر تصمیم دارید وب سایت خود را از زیرساخت های Cloudflare خارج کنید ، از کار خود متوقف می شوند.

اگر محیط سرور خود را کنترل نمی کنید ، بگویید که اگر سایت شما در صفحات GitHub یا سیستم عامل های مشابه میزبانی شده است ، نمی توانید از پیاده سازی کامل یا کامل (دقیق) استفاده کنید ، این بدان معنی است که حتی اگر کاربران شما HTTPS را در نوار آدرس مشاهده کنند ، ترافیک به کلی رمزگذاری نمی شود سرور مبدا.

اما این هنوز پیشرفت گسترده ای در مقایسه با هیچ HTTPS است ، زیرا این امر باعث می شود تا کاربران شما از Man Man The Middled در سمت مشتری محافظت کنند.

اجرای SSL را تقویت کنید

مهم نیست که چه پیاده سازی SSL را انتخاب کنید ، روش هایی برای تقویت آن وجود دارد تا مطمئن شوید کاربران هرگز نمی توانند به HTTP به سایت شما دسترسی داشته باشند. Qualys SSL Labs ابزاری است که به شما کمک می کند تا یک تست را روی پیکربندی SSL خود انجام دهید تا ببینید آیا جایی برای بهبود وجود دارد یا خیر.

حتی اگر من یک دامنه A را در دامنه خود بدست آورم ، اگر به نتایج بدست آورید می بینید که قطعاً جایی برای پیشرفت در سمت Exchange و Cipher Strength از چیزها وجود دارد.

بیایید به چند کارهایی بپردازیم که می توانیم در Cloudflare انجام دهیم تا SSL خود را تقویت کنیم و رتبه ها را حتی بالاتر ببریم.

HTTPS را در همه جا مجبور کنید

هنگامی که HTTPS را پشت سر گذاشتید ، قطعاً می خواهید از دسترسی کاربران به سایت شما از طریق اتصال ناامن جلوگیری کنید. با 301 با هدایت کلیه ترافیک HTTP به HTTPS می توانید این کار را در Cloudflare انجام دهید.

در زیر تنظیمات Crypto ، گزینه Always use HTTPS را پیدا کنید و آن را روشن کنید.

فعال کردن امنیت حمل و نقل دقیق HTTP (HSTS)

من در مورد چگونگی تقویت HSTS سایتهای SSL خود در گذشته نوشتم اما بیایید دوباره به طور خلاصه به آن بپردازیم.

مشکل فقط در 301 هدایت ترافیک HTTP به HTTPS این است که درخواست اولیه ناامن هنوز از روی سیم عبور می کند ، به این معنی که می تواند توسط هر کسی که دسترسی به ترافیک را داشته باشد خوانده شود.

HSTS یک هدر پاسخ است که با گفتن مرورگر این مشکل را برطرف می کند که ممکن است برای مدت زمان مشخصی درخواست ناامنی به وب سایت ایجاد نکند.

اینگونه ظاهر می شود:

حمل و نقل سخت-امنیتی: حداکثر سن = 31536000

هنگامی که مرورگر این هدر را دریافت کرد ، برای 31.536،000 ثانیه (ارزش 1 سال) درخواست ناامنی به سایت شما نخواهد کرد. در عوض ، تمام درخواست های HTTP قبل از ارسال از طریق شبکه ، به داخل HTTPS ارتقا می یابند.

اگر می خواهید از دسترسی به همه زیر دامنه ها از طریق HTTP جلوگیری کنید ، به دستورالعمل شامل این برنامه شاملSubdomains هستید. همچنین می توانید بخشنامه preload اضافه کنید تا فروشندگان مرورگر بتوانند سایت شما را به عنوان HTTPS فقط در سایت خود مرور کنند.

حمل و نقل سخت-امنیتی: حداکثر سن = 31536000؛ شاملSubdomains؛ پیش بارگذاری

هنگامی که HSTS را در دامنه خود فعال کردید ، می توانید مطمئن باشید که وقتی شخصی وب سایت شما را از طریق HTTPS بارگذاری کرده است ، از این پس تنها می توانند به این برنامه دسترسی داشته باشند.

بنابراین قبل از فعال کردن HSTS در سایت خود ، اطمینان حاصل کنید که تمام ترافیک شما از طریق HTTPS انجام می شود ، در غیر این صورت با مشکل مواجه خواهید شد.

برای فعال کردن این امر در Cloudflare ، به تنظیمات Crypto بروید و به قسمت HTTP Strict Transport Security (HSTS) بروید. روی گزینه Change HSTS Settings کلیک کنید ، تمام گزینه های مربوطه را فعال کرده و روی Save (ذخیره) ضربه بزنید.

و فقط در صورت تعجب ، پشتیبانی از مرورگر برای HSTS بسیار مناسب است.

اصلاحات طرح های نا امن

اگر یک منبع غیرفعال (مانند تصویر) را به صورت ناامن در یک صفحه امن جاسازی کنید ، مرورگر هنوز هم آن را بسیار خوب بارگذاری می کند. فقط قفل سبز را از نوار آدرس خارج می کند. نمونه ای از این خطا را می توانید در اینجا مشاهده کنید.

اگر کنسول مرورگر را بررسی کنید ، برخی از هشدارها یا خطاهایی را مشاهده می کنید که به منبعی که بصورت نا امن جاسازی شده است ، اشاره می کند. در این حالت

تصویر HTTP

برای رفع این مشکل ، فقط طرح را به HTTPS تغییر دهید و همه چیز دوباره خوب خواهد شد.

تصویر HTTP

اگر مطالب زیادی در سایت خود به صورت ناامن جاسازی شده اید ، پیدا کردن و رفع هر یک می تواند بسیار خسته کننده باشد. اما Cloudflare با ویژگی Automatic HTTPS Rewrites می تواند دوباره به شما کمک کند.

برای اینکه اطمینان حاصل کنید که هیچ محتوا در وب سایت شما هرگز نمی تواند به صورت ناامن ارائه شود ، اجرای سیاست حفظ امنیت محتوا را در سایت خود در نظر بگیرید.

حال بیایید ببینیم که تغییرات فوق در گزارش آزمایشگاههای SSL ما چه تأثیراتی داشته است. من دوباره تست را در دامنه ام دوباره انجام داده ام ، و اکنون می توانیم رتبه A + را بدست آوریم.

اگر رتبه بندی های فردی را در نمودار بررسی کنید ، هیچ چیز تغییر نکرده است ، اما ما هنوز اجرای SSL واقعا ایمن را به صورت رایگان و تنها در چند دقیقه انجام می دهیم.

گزینه های Cloudflare به صورت رایگان SSL

اگر به دلایلی ترجیح می دهید از Cloudflare استفاده نکنید ، روش های دیگری وجود دارد که می توانید وب سایت خود را به صورت رایگان در HTTPS قرار دهید. در اینجا دو گزینه وجود دارد که می توانید امتحان کنید:

بیایید رمزگذاری کنیم

اگر کنترل سرور خود را دارید ، می توانید به سرعت HTTPS را با استفاده از Let Encrypt در سایت خود مستقر کنید. آنها گواهینامه های SSL رایگان ارائه می دهند که به مدت سه ماه ادامه دارد و می توانند به صورت خودکار تمدید شوند.

حتی اگر دسترسی به سرور ندارید ، با هاست وب خود بررسی کنید. بعضی از هاست ها به شما امکان می دهند بدون اجازه دسترسی به پوسته از Let Encrypt SSL استفاده کنید.

مدیر گواهینامه AWS آمازون

آمازون همچنین گواهینامه های SSL را برای مشتریان در زیرساخت های خدمات وب آمازون (AWS) خود صادر و به روز می کند. به این ترتیب ، در صورت استفاده از منابع AWS مانند Cloudfront ، می توانید HTTPS را در سایت خود تنظیم و فراموش کنید.

صرف نظر از نحوه اجرای HTTPS در وب سایت خود ، مهمترین چیز این است که در اسرع وقت تنظیم کنید تا کاربران شما از مزایای امنیتی موجود در آن استفاده کنند و چندین ویژگی جالب را در مرورگرها از دست ندهید که به شما کمک می کنند شما تجربه های وب بهتری ایجاد می کنید

اگر این مقاله را دوست دارید ، با دیگران که ممکن است از خواندن آن سود ببرند ، در میان بگذارید. به هر حال ، وبلاگ من را در newman.tech برای مقالات مربوط به توسعه وب انجام دهید. ممنون از خواندن