
به این مقاله چند ستاره میدهید؟
[کل: 3 میانگین: 5]
در این مقاله در مورد پروتکل HSTS صحبت خواهیم کرد؟ و چه فایده ای دارد؟ توضیحات کامل را خواهیم داد، اگر می خواهید اطلاعات کاملی در این مورد کسب کنید با ما همراه باشید.
HTTPS چیست؟
قبل از اینکه بگوییم HSTS چیست؟ ما باید در مورد HTTPS توضیح دهیم. در واقع HTTPS یک نسخه و نوع امن پروتکل است که از اتصالات SSL استفاده می کند TLS فعال است، بدون استفاده از سرویس HTTPS، داده های مبادله شده بین سرور و مرورگر محافظت نمی شوند. HTTPS یک پروتکل امن انتقال متن است.
پروتکل HSTS چیست؟
HSTS مخفف HTTP Strict Transport Security است و مخفف یک مکانیسم انتقال داده بسیار امن در سطح سیاست وب است که به محافظت از داده های منتقل شده از طریق شبکه در برابر حملات شنود و جمع آوری داده ها کمک می کند.
نکته: در واقع HSTS به عنوان یک استاندارد امنیتی وب در سال 2012 در RFC 6797 تعریف شد.
چرا باید از HSTS استفاده کنیم؟
✅ با فعال کردن HSTS، حملات پروتکل SSL و ربودن کوکی ها، 2 مشکلی که ممکن است در وب سایت های SSL رخ دهد متوقف می شود.
HSTS علاوه بر اینکه به امنیت وب سایت شما کمک می کند، سرعت بارگذاری سایت را نیز افزایش می دهد.
در واقع HSTS از اکثر مرورگرهای اصلی و حرفه ای پشتیبانی می کند.
✅ پروتکل HSTS به سرورهای وب امکان تبادل اطلاعات از طریق HTTPS از طریق شناسایی مرورگر را می دهد، بنابراین ارتباط HTTP امکان پذیر نخواهد بود. در این حالت، کاربران باید از پروتکل HTTPS استفاده کنند.
✅ حتی بحرانی ترین حملات مانند حذف SSL man-in-the-middle را می توان با استفاده از hst ها کنترل کرد.
آیا استفاده از HSTS عملکرد سئو را بهبود می بخشد؟
بله، استفاده از HSTS باعث افزایش و بهبود عملکرد SEO شما می شود زیرا HSTS به بارگذاری سریعتر صفحات وب شما کمک می کند.
زمان بارگذاری اولیه در بهبود رتبه گوگل موثر بوده و سرعت بالا باعث افزایش رضایت بازدیدکنندگان و کاربران وب سایت می شود. به همین دلیل با افزایش استفاده از تلفن همراه، سرعت بارگذاری اولیه صفحه از اهمیت بالایی برخوردار است.
چگونه HSTS را برای وب سایت خود فعال کنیم؟
اگر پروتکل HSTS را فعال کنید، ابتدا باید گواهینامه SSL معتبر داشته باشید. اگر HSTS را بدون گواهی SSL فعال کنید، بدون شک وب سایت شما برای کاربران شما غیر قابل دسترس خواهد بود. بنابراین قبل از انجام هر کاری، ابتدا باید مطمئن شوید که وب سایت شما و تمامی زیر دامنه های آن HTTPS دارند.
فعال کردن پروتکل HSTS بسیار آسان است، تنها کاری که باید انجام دهید این است که یک هدر به فایل htaccess سایت خود اضافه کنید. هدری که باید اضافه کنید به شرح زیر است:
Strict-Transport-Security: max-age=31536000; includeSubDomains
این هدر یک کوکی با حداکثر تاریخ دسترسی 1 سال به وب سایت و زیر دامنه های آن اضافه می کند. هنگامی که مرورگر تصمیم به اتصال به سایت گرفت، تا یک سال امکان استفاده ناخواسته از نسخه ناامن HTTP وجود ندارد. شما باید مطمئن شوید که همه زیر دامنه ها دارای گواهینامه SSL هستند، سپس می توانید HSTS را فعال کنید. لازم به ذکر است که در صورت عدم انجام این کار، پس از ویرایش و ذخیره فایل htaccess، دیگر در دسترس شما نخواهند بود.
در سایت هایی که گزینه includeSubDomains وجود ندارد یا فعال نیست، امکان نشت اطلاعات و دسترسی به حریم خصوصی کاربران از طریق دستکاری و سرقت کوکی ها از زیر دامنه ها وجود دارد. اما با فعال کردن includeSubDomains حملات مربوط به کوکی هرگز اتفاق نخواهد افتاد.
فعال سازی موقت HSTS:
توصیه می کنیم قبل از فعال کردن قابلیت HSTS برای وب سایت خود، ابتدا این حالت را برای مدت کوتاهی چند دقیقه ای فعال کنید تا بتوانید آن را به طور کامل تست کنید. برای این کار باید حداکثر سن را در کد زیر 300 تنظیم کنید. انجام این کار بسیار مهم است، حتی گوگل به شما پیشنهاد می کند که این کار را برای مدت کوتاهی به صورت آزمایشی انجام دهید تا بتوانید میزان ترافیک و عملکرد وب سایت خود را بررسی کنید. سپس می توانید پروتکل HSTS را برای مدت طولانی فعال کنید. کد زیر به شما در انجام این کار کمک می کند.
در پنج دقیقه:
Strict-Transport-Security: max-age=300; includeSubDomains
برای یک هفته:
Strict-Transport-Security: max-age=604800; includeSubDomains
به مدت یک ماه:
Strict-Transport-Security: max-age=2592000; includeSubDomains
امیدواریم این آموزش برای شما مفید بوده باشد و بتوانید از آن برای بهبود امنیت و ثبات خود استفاده کنید. برای اطلاعات بیشتر در مورد میزبانی مقاله می توانید به این لینک مراجعه کنید.