گوگل کروم تمامی سایت‌های غیر HTTPS را غیر امن معرفی می‌کند.

از تاریخ ۲۴ ژوئیه ۲۰۱۸ و با انتشار کروم ۶۸، گوگل کروم تمام وب‌سایت‌های غیر HTTPS را به‌عنوان غیر امن علامت‌گذاری کرده است. گوگل این کار را در تلاش سالیانه خود برای ایمن‌تر کردن وب برای کاربران اینترنت انجام داده است.

بنابراین اگر هنوز یک وب‌سایت HTTP ناامن را مدیریت می‌کنید، بسیاری از بازدیدکنندگان شما ممکن است  با یک پیام غیر امن در مرورگر گوگل کروم خود مواجه شوند مبنی بر اینکه آن‌ها نمی‌توانند به وب‌سایت شما اعتماد کنند.

نمایش دادن پیام غیر امن توسط گوگل کروم، به این معنی است که ارتباط شما ایمن نیست زیرا گواهی SSL برای رمزگذاری ارتباط شما بین رایانه شما و سرور وب‌سایت وجود ندارد.

بنابراین، هر چیزی که از یک اتصال غیر HTTPS ارسال می‌شود به‌صورت متن ساده است، مانند کلمه عبور یا اطلاعات کارت پرداخت شما که به مهاجمان اجازه می‌دهد اطلاعات شما را دست‌کاری کرده و یا باعث خرابکاری در آن‌ها شوند.

اتصال غیر HTTPS به‌ویژه برای صفحات وبی که اطلاعات حساس را مانند صفحات ورود یا فرم‌های پرداخت را انتقال می‌دهند، خطرناک است زیرا ممکن است اجازه دهد یک مهاجمِ فردی-در-میان کلمات عبور، جلسه ورود، کوکی‌ها و جزئیات کارت اعتباری شما را سرقت کنند.

خط زمانی هشدار غیر امن در گوگل کروم

این انتقال مهم در یک شب رخ نداده است، گوگل عمداً آن را به‌آرامی و در طول چند سال گذشته پردازش کرده تا مدیران وب‌سایت‌ها به‌اندازه کافی زمان برای انتقال سایت خود به یک اتصال امن را داشته باشند.

مرحله اولیه – با شروع انتشار کروم ۵۶ در ماه ژانویه ۲۰۱۷، گوگل مأموریت خود را برای ایجاد یک وب امن‌تر با نمایش هشدار غیر امن در نوار آدرس برای وب‌سایت‌های HTTP که کلمات عبور و اطلاعات کارت اعتباری را جمع‌آوری می‌کردند به مشتریان آن‌ها، آغاز کرد[۱].

مرحله گذار – در اواخر ماه اکتبر سال ۲۰۱۷ با انتشار گوگل کروم ۶۲، این مرورگر وب تمام وب‌سایت‌هایی را که هر نوع فیلد ورودی متن را برای ورود اطلاعات در یک سایت HTTP ناامن داشتند را به‌عنوان غیر ایمن نام‌گذاری کرد و همچنین همه صفحات بازدید شده HTTP در حالت ناشناس^(۱)، جایی که کاربران ممکن است انتظارات بیشتر از حریم خصوصی داشته باشند را نیز به‌عنوان غیر ایمن نام‌گذاری کرد.

مرحله نهایی – در تاریخ ۲۴ ژوئیه ۲۰۱۸، گوگل کروم ۶۸ منتشر شد و با علامت‌گذاری تمامی وب‌سایت‌هایی که از رمزگذاری HTTPS ایمن استفاده نمی‌کنند حتی اگر آن‌ها با داده‌ها، ارتباطات یا اطلاعات حساس سرکار ندارند، به‌عنوان غیر امن، تمامی وب را به سمت ایمن‌تر شدن و استفاده از ارتباطات HTTPS هدایت کرد.

مرحله بعدی چیست؟ سایت خود را به HTTPS منتقل کنید.

بر اساس گزارش شفافیت گوگل، ۷۵ درصد وب‌سایت‌هایی که در گوگل کروم بازدید می‌شوند در سیستم‌عامل ویندوز از HTTPS استفاده می‌کنند و ۸۱ درصد از هر ۱۰۰ سایت اینترنتی در اینترنت امروز از HTTPS به‌طور پیش‌فرض استفاده می‌کنند.

۶ دلیل برای اینکه شما HTTPS را در وب‌سایت خود فعال کنید:

• HTTPS رتبه‌بندی گوگل و جستجوگرها را برای سایت شما بهبود می‌بخشد.
• HTTPS امنیت وب‌سایت و حریم خصوصی سایت شما را بهبود می‌بخشد.
• HTTPS اعتبار سایت شما را افزایش می‌دهد و اعتماد مشتریان را به شما بهبود می‌بخشد.
• HTTPS سرعت وب‌سایت شما را افزایش می‌دهد، زیرا HTTP2 سریع‌تر از HTTP است.
• HTTPS باعث می‌شود که امنیت استفاده از Wi-Fi عمومی افزایش یابد.
• HTTPS در حال حاضر رایگان است.

اتخاذ HTTPS بهترین انتخاب برای شما و هرکسی است که از سایت شما بازدید می‌کند.

اگر شما هنوز SSL را بر روی سایت خود پیاده‌سازی نکرده‌اید، وب‌سایت شما با نمایش دادن هشدار غیر امن به بازدیدکنندگان باعث نگرانی آن‌ها خواهد شد.

امروزه، نصب یک گواهینامه SSL و فعال کردن HTTPS در یک وب‌سایت نه گران است و نه یک کار سخت به شمار می‌آید. شما می‌توانید صرفاً از سرویس‌های خودکار مانند [۲]CloudFlare یا [۳]Let’s Encrypt استفاده کنید که اجازه می‎‌دهد هرکسی برای کسب گواهی‌های رایگان SSL برای سرورهای وب خودشان دریافت کند [۴].

گوگل همچنین یک دفترچه آموزش فنی در مورد نحوه انتقال یک وب‌سایت به HTTPS منتشر کرده است[۵].

همچنین شما برای مشاوره جهت انتقال وب‌سایت خود از HTTP به HTTPS می‌توانید از خدمات مرکز پژوهشی آپا در این زمینه[۶] استفاده کنید؛ با ما در تماس باشید[۷].

علاوه بر این، با انتشار گوگل کروم ۶۹ در ماه سپتامبر ۲۰۱۸، این شرکت قصد دارد برچسب امن را از روی صفحات وب HTTPS حذف کند و به کاربران این ایده را ‌دهد که وب به‌طور پیش‌فرض ایمن است.

منابع

[۱] https://thehackernews.com/2016/09/chrome-https-security.html

[۲] https://www.cloudflare.com

[۳] https://thehackernews.com/2015/09/free-ssl-certificate.html

[۴] https://thehackernews.com/2015/12/How-to-Install-Lets-Encrypt-SSL-Certificate.html

[۵]https://developers.google.com/web/fundamentals/security/encrypt-in-transit/enable-https?hl=en

[۶] https://apa.aut.ac.ir/?p=5051

[۷] https://apa.aut.ac.ir/?page_id=12

[۸] https://thehackernews.com/2018/07/google-chrome-not-secure.html

(۱) Incognito