شرح مبسط انقل موقعك من امتداد http إلى https
تأمين موقعك باستخدام HTTPS
إذا كان لديك موقع HTTP على الويب وترغب في نقله من HTTP إلى HTTPS، فاتبع الإرشادات الواردة في عمليات نقل الموقع مع تغيير عناوين URL. وتوضّح هذه المقالة HTTPS وأفضل الممارسات المتعلقة باستخدامه.
ماذا يعني HTTPS وكيف يعمل؟
إن بروتوكول نقل الروابط النصية (HTTPS) بروتوكول لاتصالات الإنترنت يحمي سلامة بيانات المستخدم وسريتها أثناء نقلها من جهاز الكمبيوتر للمستخدم والموقع. فعلى سبيل المثال، عند إدخال أحد المستخدمين بيانات في أحد النماذج على موقعك بهدف الاشتراك في التحديثات أو شراء أحد المنتجات، يعمل HTTPS على حماية المعلومات الشخصية لهذا المستخدم أثناء نقلها بين المستخدم والموقع. يتوقّع المستخدمون تجربة آمنة عبر الإنترنت عند تقديم البيانات عبر أحد مواقع الويب. ونحن بدورنا نشجعك على استخدام بروتوكول HTTPS لحماية اتصال المستخدمين بموقعك على الويب.
تحظى البيانات التي أُرسلت باستخدام HTTPS بالتأمين عبر بروتوكول أمان طبقة النقل (TLS)، والذي يوفّر ثلاث طبقات حماية أساسية:
التشفير—تشفير البيانات التي يتم تبادلها لحمايتها من التنصّت. ويعني ذلك أنّه أثناء تصفّح المستخدم لموقع الويب، لا يُمكن لأي شخص "الاستماع" إلى المحادثات التي يجريها، أو تتبّع أنشطته عبر العديد من الصفحات، أو سرقة معلوماته.
تكامل البيانات—لا يُمكن تعديل البيانات أو إتلافها خلال عملية النقل، سواء أكان ذلك عن عمد أو غير ذلك، بدون أن يتم اكتشاف ذلك.
المصادقة—لإثبات أن المستخدمين يتصلون بموقع الويب المقصود. إنه يعمل على الحماية من هجمات الدخلاء وكذلك على بناء ثقة المستخدم، الأمر الذي يعود بالفائدة في صور أخرى على الأعمال.
أفضل الممارسات عند استخدام بروتوكول HTTPS
استخدم شهادات أمان قوية يتعين عليك الحصول على شهادة أمان في إطار تمكين بروتوكول HTTPS لموقعك. ويتم إصدار الشهادة بواسطة المرجع المصدق (CA)، والذي يتخذ إجراءات للتحقق من أن عنوان الويب التابع لك ينتمي إلى مؤسستك، ومن ثمّ يعمل على حماية عملائك من هجمات الدخلاء. وعند إعداد الشهادة، تأكد من الحفاظ على مستوى عالٍ من الأمان من خلال اختيار مفتاح 2048 بت. وإذا كان لديك شهادة من قبل مع مفتاح أضعف (1024 بت)، يُمكنك الترقية إلى 2048 بت. عند اختيار شهادة موقعك، يُرجى أخذ الأمور التالية في الاعتبار:
الحصول على الشهادة من مرجع مصدق (CA) محل ثقة يوفّر الدعم الفني.
تحديد نوع الشهادة التي تحتاجها:
شهادة واحدة لأصل واحد آمن (مثل Example Domain).
شهادة متعددة لأصول آمنة متعددة ومعروفة
شهادة حرف البدل لأصل آمن مع العديد من النطاقات الفرعية الديناميكية (مثل a.example.com، b.example.com).
إعادة توجيه المستخدمين ومحركات البحث إلى صفحة HTTPS أو مورد مع عمليات إعادة توجيه 301 HTTP من جانب الخادم.
استخدام عناوين URL ذات صلة بالموارد الموجودة على نفس النطاق الآمن. على سبيل المثال استخدم <a href="/about/ourCompany.php"> للإشارة إلى صفحة في موقعك example.com بدلاً من <a href="https://example.com/about/ourCompany.php">. علمًا بأن إجراء ذلك يضمن استخدام الروابط والموارد لديك لبروتوكول HTTPS على الدوام كما ينطوي ذلك على ميزة جانبية والمتمثلة في الحد من أخطاء التطوير المحلي نظرًا لتحميل الصور والصفحات والموارد الأخرى من بيئة التطوير المحلي بدلاً من بيئة الإنتاج.
استخدام عناوين URL ذات صلة بالبروتوكول لجميع النطاقات الأخرى (مثل //petstore.example.com/dogs/biscuits.php)، أو تحديث روابط موقعك للربط مباشرة بمورد HTTPS.
استخدام خادم ويب يتوافق مع أمن النقل المعزز لبروتوكول HTTP (HSTS) والتأكد من تمكينه. ويعمل هذا على التأثير على المتصفح لطلب الصفحات تلقائيًا باستخدام بروتوكول HTTPS حتى في حالة إدخال المستخدم http في شريط الموقع بالمتصفح. كما يحث Google أيضًا على عرض عناوين URL الآمنة في نتائج البحث. ويعمل كل ما سبق على الحد من مخاطر عرض المحتوى غير الآمن للمستخدمين. هام: في حال استخدام HSTS، فتحقق من أن صفحات HTTPS يمكن لمحرك البحث Google الزحف إليها وفهرستها: فلا تحظر صفحات HTTPS باستخدام ملفات robots.txt أو تضّمن علامات indexed الوصفية فيها عند الرغبة في الزحف إليها وفهرستها، ويمكنك استخدام الأداة جلب مثل Google لاختبار إمكانية وصول Googlebot إلى صفحاتك.
المخاطر الشائعة لاستخدام بروتوكول HTTPS/أمان طبقة النقل (TLS)
في جميع مراحل عملية تأمين موقعك باستخدام بروتوكول أمان طبقة النقل (TLS)، تجنب الأخطاء التالية:
المشكلة الإجراء شهادات منتهية الصلاحية تأكد من تحديث الشهادة الخاصة بك دومًا الشهادة مسجلة إلى اسم موقع ويب غير صحيح تأكّد من تسجيل الشهادة إلى اسم المضيف الصحيح على سبيل المثال، إذا سجّلت شهادة لـ Example Domain وتمت تهيئة موقعك على الويب لاستخدام example.com، فسيظهر لك خطأ بسبب عدم تطابق اسم الشهادة. لا يوجد توافق مع الإشارة إلى اسم الخادم (SNI) تأكّد أنّ خادم الويب الخاص بك يتوافق مع الإشارة إلى اسم الخادم (SNI) وكذلك من استخدام الجمهور لديك متصفحات معتمدة بصفة عامة. وفي حين أن الإشارة إلى اسم الخادم (SNI) تتوافق مع جميع المتصفحات الحديثة، إلا أنه يلزمك عنوان IP مخصص إذا كنت بحاجة إلى التوافق مع المتصفحات القديمة. مشكلات متعلقة بالزحف لا تحظر الزحف إلى موقع HTTPS التابع لك باستخدام robots.txt. مشكلات متعلقة بالفهرسة اسمح بفهرسة صفحاتك بواسطة محركات البحث متى أمكن ذلك. مع تجنّب العلامة الوصفية Noindex. نقل غير متسق من عناوين URL تستخدم HTTPS إلى HTTP على موقعك استخدم عناوين URL ذات صلة بالبروتوكول (مثل //example.com/script.js بدلاً من ) إصدارات البروتوكول قديمة نظرًا لأن إصدارات OpenSSL القديمة عرضة للهجوم، تأكد من حيازة أحدث إصدار من مكتبات بروتوكول أمان طبقة النقل (TLS). عناصر أمنية مختلطة لا تضمّن سوى محتوى HTTPS على صفحات HTTPS. محتوى مختلف على HTTP وHTTPS تأكّد أن المحتوى الموجود على موقع HTTP هو نفس المحتوى الموجود على HTTPS. خطأ في رمز حالة HTTP على HTTPS تحقق أنّ موقعك على الويب يعرض رمز حالة HTTP الصحيح. على سبيل المثال 200 OK للصفحات القابلة للدخول، أو 404 أو 410 للصفحات غير الموجودة.