HSTS چیست و چگونه فعال می شود؟ انتقالی امن از HTTP به HTTPS
اگر روی سایت خود از HTTPS استفاده می کنید، بهتر است برای افزایش امنیت و افزایش سرعت سایت خود حتما HSTS را فعال کنید، ما در این مطلب آموزشی به شما می گوییم که HSTS چیست و تاثیر HSTS روی سئو سایت و شیوه فعال سازی و نصب HSTS چگونه است.
البته قبل از اینکه با HSTS آشنا شوید باید مفاهیم HTTPS و HTTP را مطالعه و با کارکردهای آنها اشنا شوید. ما قبلا در مقاله ای به طور کامل به موضوع HTTP و HTTPS پرداختیم که شما می توانید از لینک زیر آن را مطالعه کنید.
امروزه امنیت وب سایت ها یکی از مهمترین دغدغه ها برای کاربران است. وب سایت هایی که در آن ها SSL فعال شده است و دارای قفل سبز رنگ هستند دارای امنیت هستند. در واقع پروتکل امن HTTPS با استفاده از رمز نگاری به کمک SSL، به انتقال امن اطلاعات بین کاربر و وب سایت کمک می کند.
استفاده از این نوع رمز نگاری باعث حفاظت اطلاعات در مقابل هکرها می شود. فعال سازی SSL برای وب سایت کار سختی نیست و بسیاری از وب سایت ها از آن استفاده کرده اند. این کار باعث افزایش اعتبار وب سایت برای کاربران نیز می شود. با همه اینها هنوز هم HTTPS اشکالاتی دارد و به همین منظور استفاده از پروتکل HSTS در مواردی پیشنهاد شده است.
پروتکل HSTS چیست
پروتکل HTTP Strict Transport Security یا به اختصار HSTS به عنوان یک مکانیزم امنیتی شناخته می شود. با استفاده و راه اندازی پروتکل HSTS احتمال حملات هکرها به میزان قابل توجهی کاهش می یابد. HSTS به معنای انتقال صریح برای HTTP است.
این پروتکل در سال ۲۰۱۲ مطرح شد که باعث می شود وب سایت ها تنها با ارتباط امن در دسترس باشند و کاربر تنها وب سایتی را مشاهده کند که امنیت دارد. این پروتکل از هدر strict-transport-security استفاده می کند. بدین صورت حتی اگر آدرس سایت در مرورگر با HTTP وارد شود، مرورگر قبل برقراری ارتباط آن را تغییر می دهد.
با فعال کردن HSTS ، حملات پروتکل SSL و ربودن کوکی ، دو آسیب پذیری که در وب سایت های دارای SSL ممکن است رخ دهد، متوقف می شود. علاوه بر ایمن تر کردن وب سایت ، HSTS باعث بارگذاری سریعتر سایت نیز می شود.
پروتکل HSTS دقیقا از چه مشکلات امنیتی جلوگیری می کند؟
- حملات Man-in-the-Middle یا مرد میانی که میتواند به دلیل استفاده از پروتکل HTTP بهوسیله کاربران رخ دهد.
- وبسایت های HTTPS که به دلیل انجام ندادن دایرکت ۳۰۱ به اشتباه برخی از لینک هایشان HTTP است.
- حملات Man-in-the-Middle که از اشتباه کاربران در قبول Certificate های نامعتبر استفاده می کنند.
تاثیر پروتکل HSTS روی سئو سایت چیست؟
علاوه بر افزودن یک لایه امنیتی بیشتر به سایت شما ، استفاده از HSTS ممکن است باعث افزایش SEO شود زیرا استفاده از HSTS باعث می شود صفحات وب شما حتی سریعتر بارگیری شود.
زمان بارگذاری اولیه در رتبه بندی جستجو و هم از لحاظ افزایش رضایت بازدید کننده سایت شما بسیار موثر است . با افزایش استفاده از موبایل و ابتکار عمل گوگل سرعت بارگذاری اولیه صفحه از اهمیت بیشتری نیز برخوردار شد.
فعال سازی HSTS در وب سرور آپاچی
برای فعالسازی HSTS در وب سرور آپاچی و لایت اسپید، کافیست وارد فایل منیجر هاست خود شوید. فایل منیجر هاست در سی پنل و دایرکت ادمین با نام FileManager در دسترس است.
بعد از ورود به فایل منیجر، وارد پوشه public_html شوید. سپس فایل .htaccess را ویرایش کرده و کد زیر را در این فایل قرار دهید:
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000;preload" env=HTTPS
</IfModule>
سپس این فایل را ذخیره کنید. حالا مشاهده میکنید که سایت شما بهصورت خودکار از http به https ریدایرکت میشود. حتی قبل از اینکه درخواست به وب سرور ارسال شود.
راستی! اگر میخواهید تمام ساب دامینهای شما از https استفاده کنند، حتما این کد را جایگزین کد بالا کنید:
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000;includeSubDomains;preload" env=HTTPS
</IfModule>
فعال سازی HSTS در وب سرور NGINX
اگر شما از وب سرور انجین ایکس استفاده میکنید، نحوه انجام کار کمی متفاوت هست. تقریبا ۱ درصد سایتهای ایرانی از NGINX استفاده میکنند، پس به احتمال زیاد شما باید از روش قبلی استفاده کنید. اما در هر صورت اگر سرور مجازی یا اختصاصی دارید و وب سرور شما NGINX هست، کافیست فایل nginx.conf را در وب سرور خود پیدا کنید، سپس کد زیر را در Virtual Server مخصوص سایت خود اضافه کنید:
add_header Strict-Transport-Security "max-age=63072000;";
به همین راحتی! حالا وب سرور NGINX خود را ریستارت کرده و از HSTS در سایت خود لذت ببرید.
چطور مطمئن باشیم HSTS فعال است
برای اطمینان از فعال بودن HSTS روی سایت شما، کافیست وارد سایت https://gf.dev/hsts-test شوید.سپس سایت خود را وارد کرده و گزینه تست را کلیک کنید. این سایت وضعیت فعال بودن HSTS روی سایت شما را بررسی خواهد کرد. به این صورت: