Defaults.Exposed › رفع اشکال‌ها › HTTPS & forced-secure redirect

چطور HTTPS & forced-secure redirect را رفع کنید

Q: من تکنیکی نیستم — آیا میتوانم خودم این را حل کنم؟

نیازی نیست هیچ جزئیاتی بدانید. هر دو نیمه توسط هر کسی که وبسایت یا هاستینگ شما را اجرا میکند روشن میشوند، و در بیشتر پلتفرمهای مدرن یک گواهینامهی رایگان به علاوه یک تاگل است — اغلب واقعاً یک checkbox با عنوان 'Always use HTTPS'.

Q: قفل روی سایتم نشان میدهد — آیا تمام شده؟

احتمالاً نه. قفل یعنی نسخهی امن (HTTPS) شما وجود دارد، اما تضمین نمیکند که بازدیدکنندگان به آن هدایت میشوند. اگر کسی آدرس شما را بدون 'https://' تایپ کند و سایتتان آنها را هدایت نکند، اتصال اول آنها همچنان رمزگذاری نشده است.

Q: مگر یک گواهینامه گران یا سخت برای تجدید نیست؟

نه. گواهینامههای رایگان از Let's Encrypt توسط هر مرورگر اصلی قابل اعتماد هستند و خودشان را به طور خودکار تجدید میکنند.

Q: آیا روشن کردن تغییر مسیر اجباری میتواند سایتم را بشکند؟

وقتی نسخهی امن شما از قبل کار میکند ایمن است. رویکرد استاندارد این است که ابتدا تأیید کنید سایت به درستی از طریق https:// بارگذاری میشود، سپس تغییر مسیر را روشن کنید.

Q: تفاوت بین این و HSTS چیست؟

این صفحه دربارهی داشتن HTTPS و ارسال بازدیدکنندگان به آن است. HSTS یک قدم بیشتر است که به مرورگرها میگوید بخاطر بسپارند سایت شما فقط HTTPS است.

HTTPS قفل در نوار مرورگر است — همه چیزی که بین وب‌سایت و مشتریان شما جابجا می‌شود را رمزگذاری می‌کند تا در حین انتقال نتوان آن را خواند یا دستکاری کرد. تغییر مسیر اجباری-امن مطمئن می‌شود که بازدیدکنندگان حتی وقتی آدرس شما را بدون 'https://' تایپ می‌کنند به طور خودکار روی آن نسخه‌ی رمزگذاری شده می‌افتند. با هم اساسی‌ترین چیزی هستند که یک وب‌سایت باید برای امن به نظر رسیدن داشته باشد.

نتیجه نهایی برای کسب‌وکار شما: بدون HTTPS، هر رمز عبور، شماره‌ی کارت و پیامی که مشتری ارسال می‌کند به عنوان متن خوانا از اینترنت عبور می‌کند، و Chrome، Edge، Safari و Firefox همه سایت شما را برای هر بازدیدکننده‌ای قبل از خواندن یک کلمه 'Not secure' علامت‌گذاری می‌کنند. بدون تغییر مسیر، حتی سایت‌هایی که گواهینامه دارند اولین بازدید را بدون محافظت می‌گذارند. هر دو اعتماد، فروش و رتبه‌بندی جستجو را از شما می‌گیرند — و هر دو در چند دقیقه رایگان قابل رفع هستند.

هزینه این برای شما

یک بازدیدکننده‌ی اول بار درست در لحظه‌ی بارگذاری صفحه یک هشدار بزرگ 'Not secure' می‌بیند. بیشتر فرض می‌کنند سایت جعلی، خراب یا ناامن است و به رقیب می‌روند.
یک مشتری اطلاعات کارت یا ورود به سیستم را از طریق یک اتصال رمزگذاری نشده از یک کافه، هتل یا فرودگاه وارد می‌کند. کسی روی همان WiFi آن را در متن ساده می‌خواند.
تیم خرید یا امنیت یک مشتری بزرگ‌تر یک اسکن سریع قبل از امضا انجام می‌دهد، HTTPS یا تغییر مسیر اجباری-امن گمشده می‌بیند، و قرارداد را پارک می‌کند.
Google شما را زیر رقبایی رتبه‌بندی می‌کند که HTTPS ارائه می‌دهند، پس به‌آرامی ترافیک جستجو را برای سال‌ها بدون اینکه هرگز آن را به این شکاف ربط دهید از دست می‌دهید.
یک مقام یا ارائه‌دهنده‌ی پرداخت شما ارسال داده‌ی شخصی یا کارتی بدون رمزگذاری را به عنوان یک شکست گزارش‌پذیر تلقی می‌کند.

چرا اهمیت دارد. HTTPS کف است، نه سقف، امنیت وب — آن چیزی است که قفل را نمایش می‌دهد و همه چیزی را که مشتریان شما ارسال می‌کنند از خوانده یا تغییر شدن در راه محافظت می‌کند. تغییر مسیر اجباری-امن شکافی را که یک گواهینامه به تنهایی باز می‌گذارد می‌بندد. این سنگین‌ترین شکست تنها‌ای است که نمره می‌دهیم.

این چیست، به زبان ساده

HTTPS نسخه‌ی امن و رمزگذاری شده‌ی وب‌سایت شماست — آنی که قفل در نوار آدرس نشان می‌دهد. وقتی یک بازدیدکننده روی HTTPS است، همه چیزی که بین مرورگر آن‌ها و سایت شما رد و بدل می‌شود رمزگذاری شده است.

دو بخش وجود دارد که باید هر دو درست باشند:

آیا HTTPS اصلاً موجود است؟ آیا سایت شما گواهینامه‌ی امنیتی کار کننده دارد که نسخه‌ی امن و قفل‌دار وجود داشته باشد؟
آیا سایت بازدیدکنندگان را به آن هدایت می‌کند؟ تقریباً هیچ‌کس «https://» را با دست تایپ نمی‌کند. یک تغییر مسیر اجباری-امن آن درخواست را به طور خودکار به نسخه‌ی رمزگذاری شده می‌فرستد.

هر دو را می‌خواهید. یک گواهینامه بدون تغییر مسیر درِ جلوی قفل است که بازدیدکنندگان می‌توانند دورش بزنند.

این چقدر ممکن است برای شما هزینه داشته باشد

bounce پنهان. یک مشتری احتمالی از یک نتیجه‌ی جستجو یا تبلیغ می‌آید، و صفحه با یک نشان خاکستری «Not secure» بارگذاری می‌شود. آن‌ها تب را می‌بندند و روی نتیجه‌ی بعدی کلیک می‌کنند.
ورود یا پرداخت رهگیری شده. یک مشتری از WiFi مشترک وارد می‌شود یا خرید می‌کند. چون اتصال رمزگذاری نشده است، کسی در مجاورت رمز عبور یا شماره‌ی کارت آن‌ها را در متن ساده ضبط می‌کند.
معامله‌ای که متوقف می‌شود. یک مشتری بزرگ‌تر آماده‌ی امضا است، اما فرآیند خرید آن‌ها شامل یک بررسی امنیتی سریع وب‌سایت شماست.
افت تدریجی رتبه‌بندی. دو کسب‌وکار همان چیز را ارائه می‌دهند؛ یکی HTTPS امن ارائه می‌دهد و دیگری نه. موتورهای جستجو آرام‌آرام آن امن را بالاتر قرار می‌دهند.
محتوای تزریق شده‌ای که هرگز ننوشتید. در یک اتصال رمزگذاری نشده، هر کسی در وسط می‌تواند popup های جعلی، پیشنهادهای کلاهبرداری یا بدافزار را در صفحات شما هنگامی که بازدیدکننده آن‌ها را بارگذاری می‌کند وارد کند.

چگونه آن را رفع کنیم (رایگان، ~۱۵ دقیقه)

این بخش را به IT یا ارائه‌دهنده‌ی هاستینگ خود بدهید — اصلاح رایگان است.

۱. یک گواهینامه بگیرید تا HTTPS کار کند (قفل).

Cloudflare: حالت SSL/TLS را روی “Full” (یا “Full (strict)”) تنظیم کنید.
سازندگان وب‌سایت و هاستینگ مدیریت شده (Squarespace، Wix، Shopify): HTTPS به صورت خودکار ارائه می‌شود؛ فقط مطمئن شوید در تنظیمات سایت/دامنه فعال است.
هاستینگ cPanel: SSL/TLS Status را باز کنید و AutoSSL را اجرا کنید.
سرور خودتان (VPS): Let’s Encrypt را با Certbot نصب کنید.

۲. هر بازدیدکننده را روی HTTPS مجبور کنید (تغییر مسیر).

Cloudflare: SSL/TLS → Edge Certificates → «Always Use HTTPS» را روشن کنید.
سازندگان وب‌سایت (Squarespace، Wix، Shopify و غیره): به دنبال تاگل «Force HTTPS» یا «Secure (HTTPS)» در تنظیمات سایت بگردید.
Nginx: یک server block در پورت ۸۰ اضافه کنید که یک تغییر مسیر دائمی برمی‌گرداند — return 301 https://$host$request_uri;.
Apache (.htaccess): RewriteEngine On، RewriteCond %{HTTPS} off، RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].

بعد از هر دو روشن شد، آزمایش کنید: آدرس خود را با http:// ساده تایپ کنید و تأیید کنید مرورگر به طور خودکار به نسخه‌ی قفل‌دار https:// می‌پرد.

اشتباهات رایج

گواهینامه نصب شده، اما بدون تغییر مسیر. رایج‌ترین شکاف.
محتوای مختلط. صفحه روی HTTPS بارگذاری می‌شود اما تصویر، اسکریپت یا فونت از یک آدرس قدیمی http:// می‌کشد. آن مراجع را به https:// به‌روز کنید.
یک تغییر مسیر موقت (302) به جای دائمی (301). ۳۰۲ برای بازدیدکنندگان کار می‌کند اما به موتورهای جستجو می‌گوید جابجایی موقت است. از ۳۰۱ دائمی استفاده کنید.
تغییر مسیر فقط دامنه‌ی bare، نه ‘www’ (یا برعکس). مطمئن شوید هم yourdomain.com و هم www.yourdomain.com روی HTTPS ختم می‌شوند.

پرسش‌های متداول

من تکنیکی نیستم — آیا می‌توانم خودم این را حل کنم؟

نیازی نیست هیچ جزئیاتی بدانید. هر دو نیمه توسط هر کسی که وب‌سایت یا هاستینگ شما را اجرا می‌کند روشن می‌شوند، و در بیشتر پلتفرم‌های مدرن یک گواهینامه‌ی رایگان به علاوه یک تاگل است — اغلب واقعاً یک checkbox با عنوان 'Always use HTTPS'.

قفل روی سایتم نشان می‌دهد — آیا تمام شده؟

احتمالاً نه. قفل یعنی نسخه‌ی امن (HTTPS) شما وجود دارد، اما تضمین نمی‌کند که بازدیدکنندگان به آن هدایت می‌شوند. اگر کسی آدرس شما را بدون 'https://' تایپ کند و سایتتان آن‌ها را هدایت نکند، اتصال اول آن‌ها همچنان رمزگذاری نشده است.

مگر یک گواهینامه گران یا سخت برای تجدید نیست؟

نه. گواهینامه‌های رایگان از Let's Encrypt توسط هر مرورگر اصلی قابل اعتماد هستند و خودشان را به طور خودکار تجدید می‌کنند.

ما روی سایتمان پرداخت یا ورود به سیستم نداریم — آیا همچنان مهم است؟

بله. مرورگرها هر سایت بدون HTTPS را بدون توجه به کاری که انجام می‌دهد 'Not secure' علامت‌گذاری می‌کنند، پس حتی یک سایت بروشور اعتماد و رتبه‌بندی جستجو را از دست می‌دهد.

آیا روشن کردن تغییر مسیر اجباری می‌تواند سایتم را بشکند؟

وقتی نسخه‌ی امن شما از قبل کار می‌کند ایمن است. رویکرد استاندارد این است که ابتدا تأیید کنید سایت به درستی از طریق https:// بارگذاری می‌شود، سپس تغییر مسیر را روشن کنید.

تفاوت بین این و HSTS چیست؟

این صفحه درباره‌ی داشتن HTTPS و ارسال بازدیدکنندگان به آن است. HSTS یک قدم بیشتر است که به مرورگرها می‌گوید بخاطر بسپارند سایت شما فقط HTTPS است.