6 أساطير وخرافات حول HTTPS وشهادات SSL التي لا ينبغي عليك تصديقها
على الويب يتم عادةً إنشاء الاتصالات الآمنة باستخدام شهادة طبقة توصيل آمنة (SSL)، قد يكون هذا الأمر غير واضحاً ومبهماً لك ويرجع ذلك جزئيًا إلى وجود العديد من الأساطير والخرافات الغير صحيحة التي يجب ألا تصدقها بكل بساطة، دعنا في هذه التدوينة نذكر بعضًا من أكثرها شيوعًا!
أولاً: “شهادات SSL متطورة”
شهادات SSL رائعة ولكنها ليست أكثر أشكال التشفير شيوعًا على الإنترنت، في الواقع يستخدم العديد شهادات TLS بدلاً من ذلك، فشهادات TLS هي في الأساس المرحلة التالية في حياة HTTPS.
ومع ذلك فحتى وقت قريب تم استخدام TLS في الغالب للمواقع التي تتطلب تفاصيل الدفع أو إدارة أموالك فقط، ربما يكون PayPal هو المثال الأبرز للموقع النقدي باستخدام TLS.
ثانياً: “مواقع التجارة الإلكترونية فقط هي التي تحتاج إلى SSL”
ربما تكون قد سمعت أن المواقع التي تتطلب بيانات شخصية فقط هي التي تحتاج إلى شهادات SSL، إنه افتراض عادل فيجب عليك أن تتأكد من وجود إشعار التشفير على المواقع التي تطلب معلومات خاصة، فمن الضروري عند الاشتراك أو تسجيل الدخول التحقق أولاً من أن شريط العنوان به “https”.
لكن التشفير أمر حيوي لجميع المواقع، سواء كانت للتجارة الإلكترونية أو مدونة صغيرة.
أولاً: سيشاهد مستخدمو Google Chrome الذين يزورون موقعًا ليس لديه شهادة SSL الآمنة صفحة تحذير بدلاً من ذلك، تخبرهم بأن الصفحة ليست آمنة.
ثانيًا: أولئك الذين يزورون عبر متصفحات أخرى سوف يعتبرونك أكثر جدارة بالثقة، يعرف معظم المستخدمين الآن ضرورة التحقق من الاتصالات الآمنة لذلك يعد تثبيت شهادة SSL علامة على أنك تأخذ خصوصيتهم على محمل الجد، ففي الواقع أنت تخبر جمهورك بأنك مؤسسة مهنية.
ثالثاً: “شهادة SSL لا تؤثر على حركة الويب (Web Traffic)”
إذا لم يحمِّل Google Chrome صفحة الويب بشكل كامل فستتأثر إحصاءات الموقع – وهو أمر محتمل تمامًا! تخيل عدد الأشخاص الذين قد يلاحظون أن اتصالهم ليس آمنًا ومن ثم يخرجون فورًا من الموقع.
المشكلة هي أنه حتى عندما لا تبدو بياناتهم في خطر، فإن الناس يشعرون بالذعر عندما يرون تنبيهات أمنية. إنهم يتصورون أنفسهم في الوقوع كضحية للقراصنة، لذلك إذا لم يتمكنوا من قراءة موقعك فسيبحثون ببساطة عن موقع آخر يقدم معلومات مماثلة.
علاوة على ذلك تعتبر شهادة SSL ضرورية لـ SEO، فالأمر لا يتعلق فقط بالكلمات الرئيسية حيث تقوم Google بترتيب الموقع في صفحة أعلى إذا أثبتت أنها تطبق إجراءات أمنية لائقة، وبطبيعة الحال كلما اقترب الموقع من قمة نتائج البحث سيجده المزيد من الأشخاص.
رابعاً: “شهادات SSL باهظة الثمن”
الأمثلة التالية تنفي خرافة أن HTTPS غالية . فخدمة Let’s Encrypt هي خدمة شائعة لأنها فعالة ومجانية تماماً، تدعم العديد من الشركات الكبيرة هذه الفكرة بما في ذلك Facebook وYoast وMozilla وGoogle Chrome.
بدلاً من ذلك يمكنك أيضاً استخدام freemium الذي يوفر التشفير في كل مكان، والذي أنشأته شركة الأمان Symantec، ويقدم شهادات SSL / TLS مجانية ويمكنك الدفع مقابل ميزات الأمان الإضافية.
باعتراف الجميع يمكن أن تكون شهادات SSL مكلفة ولكنها تعتمد إلى حد كبير على المضيفين (host)، في بعض الأحيان لا يدعم الخادم المضيف التشفير بواسطة طرف ثالث أي أنه يريدك استخدام الخدمة المرتبطة به حتى يتمكن من الحصول على أموال إضافية “إنه تكتيك رهيب” لذلك تحتاج للتسوق والبحث بتمعن كي لا تخدع من قبل مضيف الويب الخاص بك.
خامساً: “SSL يؤدي إلى إبطاء تحميل الصفحة بشكل كبير”
مع زيادة جمهورك المحتمل قد يقلقك أن عنوان HTTPS سيبطئ موقعك، ولكن لحسن الحظ التشفير ليس له تأثير ملحوظ على سرعة موقعك، فـإن https مصممة ليكون لديها تخفيض بنسبة 50% في وقت تحميل الصفحة وذلك من خلال ضغط البيانات وتقليل العمليات.
حسنًا! في بعض الأحيان ستتأثر السرعة لكنها نادرة ولا تُذكر نحن نتحدث بالمللي ثانية، يتوقف هذا بشكل أساسي على مسافات الخادم، وحالات التباطؤ ستصبح أقل وأبعد بكثير عندما تقوم هيئة الشهادات (CA) بالتبديل السري إلى طبقة النقل الآمنة (TLS) بدلاً من SSL.
سادساً: “شهادات SSL تشفر كل البيانات”
دعنا لا ننسى الإشارة إلى أن شهادات SSL ليست كاملة في الأمان، نعم يتم تشفير البيانات لكن فقط أثناء النقل، فـ HTTPS تعني أن اتصالك آمن؛ ولكن هذا لا يعني أن خادم الويب آمن.
تخيل ذلك كنفق تمر به، يعني النفق أن سيارتك لا يمكن أن تتعرض للهجوم من أي شيء من أعلى أو أسفل أو أي جانب منك، ولكن مع ذلك يمكن أن تحدث المشاكل بمجرد الوصول إلى وجهتك.
وينطبق نفس الشيء على البيانات، حيث يتم تشفيرها بحيث لا تكون ضحية هجوم رجل في المنتصف (MITM) أثناء نقلها بين الشبكات ولكن بعد أن تصبح هذه البيانات ثابتة (بمعنى أنها مخزنة على خادم شخص ما) فلا تعني شهادات SSL الكثير.
هذا هو السبب في أن HTTPS يعتبر الآن إجراءً أمنيًا أساسيًا، ويجب أن تقوم المواقع باستخدامه كمعيار أساسي بالإضافة إلى أن هناك احتياطات أخرى مطلوبة أيضًا!
وفي الختام أخبرك أنه يمكنك الوثوق بشهادات SSL/TLS فهي تعد جزءًا حيويًا من حمايتك من المجرمين الإلكترونيين ولكن تذكر أنه لا يوجد أمان مطلق وأن نقاط الضعف لا مفر منها، فتأكد من أنك تستخدم متصفح ويب آمنًا ولحسن الحظ تعرف المتصفحات الشائعة أهمية الحفاظ على أمان مستخدميها على الإنترنت.
——————-
الموضوع من طرف عبدالرحمن زكي.