دسته بندیها
- Safeam_Team

چرا تو کروم گوشی، بالاِ سایتِ من یه علامت قرمز می‌زنه «ناامن»؟ (راه حل آسون!)

HTTPSچرا سایت شما هنوز ‘ناامن’ است و راه حل قطعی چیست؟

سایتت تو گوشی اندروید «Not Secure» نشون داده میشه؟ نترس! اینجا کامل و ساده برات توضیح میدم مشکل چیه و چطوری درستش کنی. با خیال راحت بخون.
یه علامت خطر که همه چیز رو خراب میکنه !

فرض کن یکی با گوشیش میخواد از سایت تو چیزی بخره یا یه مطلب رو بخونه. تو صفحه اول که میره، تو قسمت بالای مرورگر کروم، کنار اسم سایتت، یه قفل باز یا یه علامت خطر می‌بینه و یه جمله می‌نویسه: “Not Secure” یا همون «ناامن».

حالا این کاربر چیکار میکنه؟ احتمالاً می‌ترسه و فکر میکنه سایتت هک شده یا اطلاعاتش دزدیده میشه. پس خیلی سریع از سایتت فرار میکنه ! اینطوری:
– کاربر میره و دیگه برنمی‌گرده.
– اعتماد از بین میره.
– فروش تو کم میشه.

حالا نکته بدتر: گوگل هم از این سایت‌های «ناامن» خوشش نمیاد و اون‌ها رو تو نتایج جستجو عقب میندازه. پس مشکل فقط یه علامت قرمز نیست، یه ضرر بزرگ برای کار و سایتته.

من توی این مطلب می‌خوام خیلی راحت برات توضیح بدم مشکل از کجاست و چطوری می‌تونی اون علامت قرمز رو به یه قفل سبز و امن تبدیل کنی. نگران نباش، خیلی ساده‌تر از چیزیه که فکر میکنی!

بخش ۱: بیا ببینیم اصل ماجرا چیه؟ HTTPS و SSL چرا انقدر مهمن؟

قبل از اینکه بریم سراغ درست کردن مشکل، بیا یه چیزای پایه رو بفهمیم. داستان دو تا کلمه است:

1. HTTP: یه مسیر معمولی برای فرستادن اطلاعات بین کامپیوتر کاربر و سرور سایته. اما یه مشکل بزرگ داره: اطلاعات توی این مسیر بدون رمز فرستاده میشن. مثل این میمونه که نامه‌ات رو توی یه پاکت شیشه‌ای بفرستی! هرکی بتونه محتوا رو بخونه.

2. HTTPS: همون مسیره، اما با یه لایه امنیتی قوی دورش. این لایه به اطلاعات قفل میزنه و فقط سایت مقصد میتونه اون رو باز کنه.

حالا این لایه امنیتی چی هست؟ اسمش هست «SSL/TLS Certificate» یا همون «گواهی امنیتی سایت».
این گواهی مثل یک کارت شناسایی امنیتی برای سایته. کاری که میکنه اینه:
– اطلاعات رو قفل (رمزنگاری) میکنه.
– هویت واقعی سایت رو تأیید میکنه (مطمئن میشی داری با سایت اصلی صحبت می‌کنی، نه یه سایت تقلبی).
– اعتماد کاربر رو جلب میکنه.

پس خلاصه:
– سایت HTTP = مسیر بدون قفل، اطلاعات لو میره، مرورگر میگه «ناامن».
– سایت HTTPS = مسیر قفل‌دار، اطلاعات امن می‌مونه، مرورگر میگه «امن» و یه قفل سبز نشون میده.

بخش ۲: چرا سایت من توی کروم اندروید میگه «ناامن»؟ (دلایل اصلی)

حالا که معنی HTTPS رو فهمیدی، بیا ببینیم چرا ممکنه سایت تو، با اینکه فکر می‌کنی درسته، این خطا رو بده. چند تا دلیل اصلی داره:

۱. اصلاً گواهی SSL ندارید! (مهم‌ترین دلیل)
خیلی ساده: سایت شما هنوز روی آدرس قدیمی http:// کار می‌کنه و گواهی امنیتی (https://) براش نصب نشده. این مثل اینه که بخوای با ماشین وارد بزرگراه بشی، اما اصلاً ماشین نداشته باشی! مرورگر کروم هم خیلی واضح بهت می‌گه اینجا خطرناکه.

> راه حل: باید بری و برای سایتت یه گواهی SSL بگیرید و نصب کنی ، نگران نباش ، حتی رایگان هم می‌تونی بگیریش! (بعداً کامل توضیح میدم).

۲. گواهی SSL منقضی شده (Expired Certificate)
گواهی SSL مثل قرص مسکن نیست که یک بار بخوری و تمام ، یه تاریخ انقضا داره (معمولاً ۱ سال یا ۳ ماه برای نوع رایگان). اگه تاریخش تموم بشه و تمدید نکنی، مرورگر می‌فهمه و دوباره می‌گه این گواهی دیگه معتبر نیست… پس «ناامن».

> راه حل: باید بری کنترل پنل هاستت (جایی که سایتت رو مدیریت می‌کنی) و گواهی SSL رو تمدید (Renew) کنی ، یه یادآور بذار که فراموش نکنی!

۳. مشکل تاریخ و ساعت دستگاه کاربر (گوشی اندروید)
یه دلیل جالب و ساده: تاریخ و ساعت گوشی کاربر اشتباه تنظیم شده!
گواهی SSL یه تاریخ شروع و یه تاریخ پایان داره. حالا اگه ساعت گوشی طرف، مثلاً روی سال ۲۰۲۰ باشه، وقتی می‌خواد گواهی تو رو چک کنه میبینه تاریخ الان (از نظر گوشی) قبل از تاریخ شروع گواهی است! پس نتیجه می‌گیره این گواهی هنوز معتبر نشده یا منقضی شده و خطا میده.

> راه حل: این قسمت رو تو نمیتونی درست کنی، چون مشکل از دستگاه کاربره. اما میتونی توی سایتت یه یادداشت کوچیک بذاری که به کاربران بگی: «اگه این خطا رو می‌بینید، تاریخ و ساعت گوشیتون رو چک کنید». مشکل خیلی از افراد با همین ساده‌ترین راه حل رفع میشه.

۴. مشکل «محتویات ترکیبی» یا Mixed Content (قاتل خاموش!)
این یکی از شایع‌ترین و آزاردهنده‌ترین دلایل هستش. یعنی چی؟
– سایت شما به آدرس امن https:// منتقل شده.
– اما **توی بعضی از صفحاتتون، یه عکس، یه فایل استایل (CSS) یا یه اسکریپت (جاوااسکریپت) هنوز داره از آدرس غیرامن http:// لود میشه.**

این کار مثل اینه که یه خونه بسیار امن بسازی، یک پنجره شکس توش بذاری! مرورگر می‌بینه که بعضی چیزها امن نیستن، پس کل صفحه رو «ناامن» اعلام می‌کنه. این خطا ممکنه برای بعضی کاربران بیاد و برای بعضی نه، که تشخیصش رو سخت می‌کنه.راه حل:ل:ل:** باید بری و تمام لینک‌های داخلی سایتت (عکس‌ها، فایل‌های قالب، اسکریپت‌ها) رو بررسی کنی و آدرس‌هاشون رو از http به https تغییر بدی. یه راه آسونش استفادهپلاگین‌های مخصوص وردپرس** هست که اینکار رو برات انجام می‌دن. (بعداً دقیقتر می‌گم).

۵. گواهی SSL روی نام درست دامنه نصب نشده**
هر گواهی SSL برایاسم خاص** صادر میشه. مثلاً برای www.site.com یا برای site.com. اگه گواهی رو برای site.com گرفته باشی، اما کاربر با www.site.com وارد بشه، مرورگر می‌بینه که اسم‌ها یکسان نیست، پس خطا می‌ده.راه حل:ل:** موقع خرید گواهی SSL، یه گزینه‌ای هست به «گواهی Wildcard»d»** یا گزینه‌ای که هم site.com و هم www.site.com رو پوشش بده انتخاب کن. یا مطمئن شو کاربرانت رو از یکی از این دو آدرس به آدرس دهدایت (Redirect) کنی.**

—
بخش ۳: راه حل قطعی: چطوری خطای «ناامن» رو برای همیشه درست کنم؟ (قدم به قدم)**

خب حالا بریم سراغ اصل ماجرا. من بهت یه راهنمای قدم به قدم می‌دم که بتونی مشکلت رو حل کنی. از آسون‌تر شروع می‌کنیم:

قدم صفر: ببین مشکل از کدوم دلیل بالا هست!**
اول با یه مرورگر دیگه (مثلاً Firefox) یا از طریق یه کامپیوتر به سایتت سر بزن. اگه اونجا هم خطا بود، احتمالاً مشکل از گواهی SSL سایتته. اگه فقط تو گوشی خاصی بود، شاید مشکل از تاریخ و ساعت همون گوشیه.

قدم ۱: گرفتن و نصب گواهی SSL رایگان (اگه اصلاً ندارید)**
نگران نباش، لازم نیست پول بدی. بیشتر شرکت‌های هاستینگ (میهن وب‌هاست، ایران سرور و…) گواهی SSL رایگانSSL رایگان** به مشترکاشون می‌دن.

– بروکنترل پنل هاستت** (مثل cPanel یا DirectAdmin).
– دنبال بخشی به«گواهی امنیتی»هی امنیتی»** بگرد.
– اونجا معمولاً یه گزینه هست به «Let’«SSL رایگان»SL رایگان»**.
– روی دامنه‌ات کلیک کن و گواهی رو فعال (Install/Activate) کار تمام شد!** حالا سایتت باید با https:// باز بشه. اما صبر کن، شاید هنوز مشکل داشته باشی، چون باید قدم بعدی رو هم انجام بدی.

قدم ۲: مجبور کردن کل سایت به استفاده از HTTPS (ریدایرکت ۳۰۱)۱)**
خوب، حالا گواهی نصب شده. اما اگه کاربر آدرس قدیمی http://site.com رو بزنه، باید به طور خودکار به آدرس جدید https://site.com هدایت بشه. به این کار می«ریدایرکت ۳۰۱»۱»**. این کار رو می‌تونی توی کنترل پنل هاست انجام بدی یا با اضافه کردن چند خط کد به فایل .htaccess سایتت (اگه هاستت لینوکس هستنگران نباش، معمولاً توی کنترل پنل هاستت یه دکمه ساده به اسم «Force HTTPS» یا «همیشه از HTTPS استفاده کن» وجود داره. فقط اون رو روشن کن.ن.**نکته خیلی مهم:م:** این قدم رو حتماً انجام بده. در غیر این صورت بعضی صفحاتت http می‌مونن و خطا می‌دن.

قدم ۳: رفع مشکل «محتویات ترکیبی» (Mixed Content) – قدم طلایی!ی!**
همونطور که گفتم، این مشکل خیلی شایعه. چطوری بفهمی سایتت این مشکل رو داره؟
– روی ک«بازرسی» (Inspect)t)ی» (Inspect)t)** رو بزن.
– به«Console»e»** برو.
– اگه خطاهایی دیدی که توش کلمه‌هایی مثل Mixed Content یا http:// بود، یعنی سایتت این مشکل رو دارچطوری درستش کنیم؟م؟۱. اگه سایتت وردپرسیه (راحت‌ترین راه):):**
برو پیشخوان وردپرس ← افزونه‌ها ← افزونه جدید.
تو«SSL Insecure «Really Simple SSL»L» Simple SSL»L»** رو جستجو کن و نصب و فعالش کن. این پلاگین‌ها به طور خودکار سعی می‌کنن لینک‌های http داخلی رو به https تغییر بد۲. اگه سایتت وردپرسی نیست یا می‌خوای دستی انجام بدی:ی:**
باید بری و تمام آدرس‌های داخل کدهای سایتت رو چک کنی. مثلاً:
– آدرس عکس‌ها: رو به تغییر بده.
– آدرس فایل‌های CSS و جاوااسکریپت.ابزارهای آنلاینیای آنلاینی** مثل «Why No Padlock?» استفاده کنی که بهت می‌گه کدوم فایل‌ها مشکل‌دارن.

قدم ۴: مطمئن شدن از درست بودن تنظیمات گواهی
بعد از انجام کارهای بالا، برای اطمینان:
– به سایت https://www.sslshopper.com/ssl-checker.html برو.
– آدرس کامل سایتت با https:// رو توی کادر وارد کن.
– این سایت بهت می‌گه گواهی‌ات سالمه یا نه و اگر مشکلی داره، چیه.

بخش ۴: سؤالات رایج شما (سؤالاتی که حتماً می‌پرسید!)

۱. آیا SSL رایگان (مثل Let’s Encrypt) خوبه یا باید پول بدیم و بخریم؟
جواب: برای اکثر سایت‌های معمولی، فروشگاهی، شخصی و حتی شرکتی، SSL رایگان کاملاً کافیه و امن هست. هر دو (رایگان و پولی) اطلاعات رو قفل می‌کنن. گواهی‌های پولی معمولاً ضمانت‌نامه دارن و برای سایت‌های خیلی بزرگ بانکی کاربرد دارن. [برای فهمیدن تفاوت‌های دقیق‌تر، این مطلب رو بخونید].

۲. من گواهی نصب کردم، اما هنوز توی بعضی گوشی‌ها خطا می‌ده. چرا؟
جواب: احتمالاً دو دلیل داره:
– کَش (Cache) مرورگر یا سایت: داده‌های قدیمی در حافظه‌ی موقت (کش) مانده. سعی کن کش مرورگرت رو پاک کنی. از طرفی، اگه روی هاستت کش دارید (مثل Cloudflare)، کش اون رو هم پاک کن.
– همان مشکل Mixed Content: که فقط توی بعضی صفحات یا برای بعضی فایل‌ها پیش میاد. با ابزار بررسی کن.

۳. چرا بعد از فعال کردن HTTPS، سرعت سایت من کم شد؟
جواب: این یه باور غلط رایجه! HTTPS به خاطر عملیات رمزنگاری، می‌تونه تأثیر خیلی خیلی کمی بذاره، اما با تکنولوژی‌های جدید مثل HTTP/2 (که فقط با HTTPS کار می‌کنه)، سرعت سایتت حتی می‌تونه بیشتر هم بشه! مشکل سرعت معمولاً از جای دیگه‌ست. [اگر می‌خواهید دقیق‌تر بدونید SSL چطور روی سرعت تأثیر می‌گذارد، اینجا را بخوانید].

۴. آیا برای رفع این خطا حتماً باید برنامه‌نویس باشم؟
جواب: نه! کارهایی که گفتم (فعال‌کردن SSL از کنترل پنل، نصب پلاگین وردپرس، پاک کردن کش) نیاز به دانش برنامه‌نویسی نداره. مثل کار کردن با گوشی همراهه.

۵. گوگل کروم این خطا رو به من نشون میده، ولی مثلاً در مرورگر سافری نه. مشکل از چیه؟
جواب: مرورگرهای مختلف سیاست‌های امنیتی متفاوتی دارن. گوگل کروم سخت‌گیرتره و زودتر هشدار می‌ده. پس اگه تو کروم خطا می‌بینی، یعنی یه مشکل واقعی وجود داره، حتی اگه توی مرورگر دیگه‌ای نشون نده. کروم رو معیار قرار بده.

خلاصه و حرف آخر

بیا یه مرور سریع بکنیم روی چیزایی که یاد گرفتیم:

– علامت «Not Secure» یا «ناامن» تو کروم یعنی اطلاعات بین کاربر و سایتت بدون محافظت در جریانه.
– دلیل اصلی یا گواهی SSL ندارید، یا منقضی شده، یا مشکل Mixed Content دارید.
– راه حل قطعی این مراحل ساده است:
۱. گرفتن و نصب گواهی SSL رایگان از هاستت.
۲. فعال کردن هدایت خودکار (ریدایرکت ۳۰۱) از HTTP به HTTPS.
۳. رفع مشکل **عکس‌ها و فایل‌های http داخلی** (با پلاگین یا دستی).
پاک کردن کش** سایت و مرورگر.

انجام این کارها نه تنها علامت قرمز ترسناک** رو از بین میبره، بلکه:
اعتماد کاربرانت رو زیاد میکنه**
به رتبه سایتت در گوگل کمک میکنه**
امنیت اطلاعات همه رو تضمین میکنه**

پس همین امروز دست به کار شو. این تغییر،پیشرفت بزرگ و ضروری** برای هر سایتیه.

🎧