🔒 خلاصه سریع (TL;DR)
HTTP پروتکل انتقال بدون رمزگذاری است، در حالی که HTTPS با استفاده از TLS 1.3 ارتباط را رمزگذاری میکند. در ۲۰۲۶، HTTPS برای سئو و امنیت الزامی است. Chrome از اکتبر ۲۰۲۶ سایتهای HTTP را مسدود میکند. SSL رایگان از Let’s Encrypt قابل دریافت است.
HTTP چیست؟
HTTP (HyperText Transfer Protocol) پروتکل استانداردی است که مرورگر شما برای ارتباط با سرور وبسایت استفاده میکند. این پروتکل در سال ۱۹۹۱ معرفی شد و هنوز پایه اینترنت است.
- مخفف: HyperText Transfer Protocol
- پورت پیشفرض: 80
- رمزگذاری: ندارد
- سرعت: کمی سریعتر (به دلیل عدم رمزگذاری)
HTTPS چیست؟
HTTPS نسخه امن HTTP است که دادهها را با TLS (Transport Layer Security) رمزگذاری میکند. هر چیزی که بین مرورگر و سرور رد و بدل میشود، محافظتشده است.
- مخفف: HyperText Transfer Protocol Secure
- پورت پیشفرض: 443
- رمزگذاری: TLS 1.3 (استاندارد ۲۰۲۶)
- نماد: قفل سبز در نوار آدرس
📊 آمار HTTPS در ۲۰۲۶
- ۹۵٪ ترافیک Chrome از HTTPS عبور میکند
- TLS 1.3 استاندارد فعلی (TLS 1.0/1.1 منسوخ)
- Chrome 154 از اکتبر ۲۰۲۶ HTTP را مسدود میکند
- ۹۰ روز حداکثر عمر گواهی SSL (قبلاً ۳۹۸ روز)
تفاوت HTTP و HTTPS
چرا HTTPS ضروری است؟
امنیت دادهها
رمزگذاری End-to-End از شنود جلوگیری میکند
بهبود SEO
گوگل HTTPS را در رتبهبندی لحاظ میکند
اعتماد کاربر
قفل سبز اعتماد ایجاد میکند
HTTP/2 و HTTP/3
پروتکلهای سریعتر فقط با HTTPS کار میکنند
TLS چیست؟
TLS (Transport Layer Security) پروتکلی است که رمزگذاری HTTPS را انجام میدهد. نسخههای TLS:
انواع گواهی SSL
بر اساس سطح اعتبارسنجی
- DV (Domain Validation): فقط مالکیت دامنه تأیید میشود – سریع و ارزان
- OV (Organization Validation): هویت سازمان بررسی میشود – ۱-۳ روز
- EV (Extended Validation): بررسی کامل سازمان – نام شرکت در مرورگر
بر اساس پوشش
- Single Domain: فقط یک دامنه (مثلاً example.com)
- Wildcard: تمام سابدامینها (*.example.com)
- Multi-Domain (SAN): چند دامنه مختلف
نحوه فعالسازی HTTPS
مرحله ۱: دریافت گواهی SSL
گزینههای موجود:
- Let’s Encrypt: رایگان، اعتبار ۹۰ روزه، تمدید خودکار
- هاست با SSL رایگان: اکثر هاستهای معتبر SSL رایگان ارائه میدهند
- گواهی پولی: برای EV یا OV باید خریداری کنید
مرحله ۲: نصب روی سرور
- گواهی را از پنل هاست نصب کنید
- Force HTTPS را در .htaccess یا تنظیمات فعال کنید
- Mixed Content را بررسی و رفع کنید
مرحله ۳: ریدایرکت HTTP به HTTPS
کد .htaccess برای ریدایرکت:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
⚠️ توجه: بعد از فعالسازی HTTPS، URL سایت در Google Search Console و سایر ابزارها را بهروزرسانی کنید. همچنین canonical URLs را بررسی کنید.
خطای Mixed Content چیست؟
وقتی صفحه HTTPS منابعی (تصاویر، اسکریپت، CSS) از HTTP لود میکند، مرورگر هشدار میدهد. راهحل:
- همه URLهای HTTP را به HTTPS تغییر دهید
- از URLهای نسبی استفاده کنید (//example.com/image.jpg)
- از افزونههای وردپرس مثل Really Simple SSL استفاده کنید
سوالات متداول
آیا HTTPS سایت را کند میکند؟
با TLS 1.3، تفاوت سرعت ناچیز است (چند میلیثانیه). در عوض، HTTPS امکان استفاده از HTTP/2 و HTTP/3 را فراهم میکند که سایت را سریعتر میکنند. در مجموع HTTPS میتواند سایت را سریعتر کند.
SSL رایگان امن است؟
بله، Let’s Encrypt و سایر ارائهدهندگان SSL رایگان از نظر رمزگذاری کاملاً امن هستند. تفاوت با SSL پولی در نوع اعتبارسنجی (DV در مقابل OV/EV) و پشتیبانی است، نه در سطح امنیت رمزگذاری.
چرا گواهی SSL منقضی میشود؟
انقضا به دلایل امنیتی است. در ۲۰۲۶، حداکثر عمر گواهی به ۹۰ روز کاهش یافته. این باعث میشود کلیدهای رمزنگاری مرتباً تعویض شوند و خطر سوءاستفاده کاهش یابد. Let’s Encrypt تمدید خودکار دارد.
HTTPS از چه حملاتی جلوگیری میکند؟
HTTPS از حملات Man-in-the-Middle (شنود)، Session Hijacking، Data Tampering و Eavesdropping جلوگیری میکند. اطلاعات حساس مثل رمز عبور و اطلاعات کارت بانکی محافظت میشوند.
بعد از فعالسازی HTTPS چه کارهایی انجام دهم؟
۱) ریدایرکت 301 از HTTP به HTTPS تنظیم کنید، ۲) Mixed Content را رفع کنید، ۳) Canonical URLs را بهروز کنید، ۴) Property جدید در Search Console اضافه کنید، ۵) Sitemap را بهروز و مجدداً Submit کنید.
گواهی SSL برای امنیت سایت شما
با SSL برتینا، سایت خود را امن کنید.
جمعبندی
در ۲۰۲۶، HTTPS دیگر یک گزینه نیست بلکه یک الزام است:
- Chrome از اکتبر ۲۰۲۶ سایتهای HTTP را مسدود میکند
- TLS 1.3 استاندارد فعلی است
- SSL رایگان از Let’s Encrypt قابل دریافت است
- SEO به HTTPS امتیاز میدهد
ارسال دیدگاه :