Arvan Blog

بلاگ

اتفاقات روزمره، اخبار مهم و دیگر مطالب ابر آروان

Open Categories
Close Categories
دسته‌بندی‌های بلاگ دسته‌بندی‌های بلاگ دسته‌بندی‌های بلاگ

Date ۴ اردیبهشت ۱۴۰۰
Category امکان جدید
Avatar صابر مسگری
Date ۴ اردیبهشت ۱۴۰۰
Category امکان جدید
تعیین حداقل نسخه TLS برای تنظیمات HTTPS در CDN ابر آروان

پروتکل SSL/TLS چیست؟

پروتکل TLS (Transport Layer Security) تضمین‌کننده‌ی برقراری ارتباطی امن و رمزنگاری شده میان کلاینت و سرور در یک شبکه‌ی کامپیوتری است. این پروتکل رمزنگاری در ارتباطات مختلفی مانند ایمیل‌ها – پیام‌رسان‌ها و … مورد استفاده قرار می‌گیرد. یکی از کاربردهای عمده‌ی آن در ارتباط وب میان بازدیدکننده یک وب‌سایت و وب سرور است که با ایجاد یک لایه‌ی امنیتی در HTTPS به کار می‌رود. این پروتکل جایگزین نسخه قدیمی و منسوخ شده‌ی SSL (Secured Socket Layer ) است. به همین دلیل با عنوان کلی‌تر SSL/TLS نیز شناخته می‌شود.

وقتی ترافیک وب با TLS رمزگذاری میشود، کاربران یک قفل سبزرنگ را در پنجره‌ی مرورگر خود، در ابتدای URL مورد نظر مشاهده میکنند و این بدان معنی است که ارتباط میان بازدیدکننده و سرورهای وبسایت به‌شکل امن رمزنگاری شده است و قابل شنود و یا تغییر نیست. 

پروتکل TLS به کمک دو کلید عمومی و خصوصی در هر ارتباط، یک کلید نشست (Session Key) تولید میکند. این کلید تنها مخصوص همان ارتباط است و برای رمزنگاری تمام پیامهای رد و بدل شده در آن نشست مورد استفاده قرار میگیرد. کلید نشست به ازای کاربران مختلف و نشستهای مختلف تغییر میکند، بنابراین ارتباط هر کاربر در هر زمان به‌وسیله‌ی کلیدی منحصر به فرد رمزنگاری میشود و خطر شنود و حملاتی مانند MITM (Man In The Middle Attack) را از بین می‌برد 

فرایندی که در آن کلید نشست تولید شده و سرتیفیکیتها اعتبارسنجی میشوند TLS Handshake نام دارد. 

 

تفاوت نسخه‌های مختلف TLS

با گذشت زمان قابلیت‌های امنیتی در نسخه‌های جدید TLS توسعه پیدا کرده‌اند و از استانداردهای رمزنگاری پیشرفته‌تری در آن استفاده شده است. از ژانویه ۲۰۱۸ نسخه‌ی TLS 1.2 یکی از الزام‌های اصلی برای انطباق با استاندارد PCI (Payment Card Industry) محسوب می‌شود و برای تطابق با این استاندارد لازم است تا دست‌کم نسخه‌ی پشتیبانی شده به‌وسیله‌ی سایت، برابر ۱.۲ باشد.

نسخه‌ی جدیدتر TLS 1.3 که شامل بهبودهای بیشتری در زمینه‌ی امنیت و همچنین افزایش سرعت است، ابتدا در ماه می سال ۲۰۱۸ به‌ وسیله‌ی کمیته‌ی IETF معرفی شد. 

در شکل زیر تفاوت عملکردی بین نسخه‌ی ۱.۲  و ۱.۳ که سبب بهبود سرعت میشود، قابل مشاهده است. این کاهش تعداد رفت و برگشت پیام که در نسخه‌ی ۱.۳ ایجاد شده است زمان لازم برای TLS Handshake را از حدود ۳۰۰ میلی ثانیه به حدود ۲۰۰ میلی ثانیه کاهش میدهد. 

مقایسه TLS 1.2 و TLS 1.3

مقایسه TLS 1.2 و TLS 1.3- منبع: https://medium.com/@vanrijn/what-is-new-with-tls-1-3-e991df2caaac

 

کدام نسخه‌ی TLS برای وبسایت شما مناسب است؟

از آن‌جا که بعضی مرورگرها از نسخه‌های جدید TLS ، یعنی نسخه‌های ۱.۲ و ۱.۳ پشتیبانی نمی‌کنند، ممکن است به دلایلی از جمله نیازمندی‌های کسب‌وکار یا الزامات امنیتی وب‌سایت‌تان، نیاز به فعال‌سازی و استفاده از نسخه‌های متفاوتی از TLS داشته باشید.

تا امروز، نسخههای TLS 1.0 و TLS 1.1 منقضی‌ شده‌اند. اما اگر بازدیدکننده‌های وبسایت شما یا اپلیکیشنهایی که به دامنه‌ی شما متصل میشوند هنوز از این نسخههای قدیمی‌تر استفاده میکنند و شما نیز قصد دارید پشتیبانی از آنها را ادامه دهید، شاید لازم باشد حالت پیشفرض این تنظیم را در CDN آروان تغییر ندهید. 

پیشنهاد آروان استفاده از دست کم نسخه‌ی TLS 1.2 برای وبسایت شما است، تا امنیت ارتباط، به خوبی حفظ شود. 

 

تعیین حداقل نسخه‌ی TLS در پنل کاربری CDN ابر آروان

شما می‌توانید در پنل کاربری‌تان با انتخاب حداقل نسخه‌ی TLS مجاز در بخش CDN، قسمت تنظیمات HTTPS، تعیین کنید که بازدیدکننده‌های وب‌سایت‌تان با چه نسخه‌ای از پروتکل TLS به وب‌سایت شما متصل شوند. با انتخاب یک نسخه TLS، شبکه‌‌ی توزیع محتوا ابر آروان برقراری ارتباط با سایت شما را تنها با همان نسخه‌ی TLS و نسخه‌های بالاتر ممکن می‌کند و درخواست‌هایی که با TLS نسخه‌ی پایین‌تر از نسخه‌ی انتخابی ارسال شوند، مسدود خواهند شد.

با انتخاب حداقل نسخه، می‌توان اطمینان داشت که تمام نسخه‌های بعدی و جدید پروتکل نیز پشتیبانی شوند. TLS 1.0 نسخه‌ای است که ابر آروان به شکل پیش‌فرض برای همه‌ی مشتریانی که ارتباط HTTPS را فعال کرده‌اند، به‌عنوان حداقل نسخه‌ی TLS اعمال می‌کند. فعال‌سازی HTTPS در بخش CDN از طریق بارگذاری سرتیفیکیت در پنل کاربری یا دریافت سرتیفیکیت رایگان ابر آروان امکان‌پذیر است. به این ترتیب، ابر آروان درخواست‌های رمزگذاری شده با تمام نسخه‌های TLS بیش‌تر از ۱.۰ را نیز می‌پذیرد.

با استفاده از ابزارهایی مانند SSL Labs که تنظیمات SSL/TLS را بررسی می‌کنند، می‌توانید رتبه‌ی امنیتی سرتیفیکیت و وب‌سایت خود را بررسی کنید. در شکل زیر نمونه‌ی رتبه‌ی امنیتی برای سایتی که حداقل نسخه TLS آن برابر 1.3 است را مشاهده می‌کنید.

گزارش SSL Labs روی TLS 1.3

هم‌چنین، تصویر زیر این گزارش را برای دامنه‌ای که حداقل نسخه‌ی TLS مجاز در آن برابر 1.2 قرار داده شده است، نشان می‌دهد.

گزارش SSL Labs روی TLS 1.2

در نظر داشته باشید که تنظیمات SSL/TLS و سرتیفیکیت‌های HTTPS در حالتی روی دامنه‌ی شما اعمال می‌شوند که نماد ابر رکوردهای DNS روشن باشد و ترافیک از سرورهای لبه CDN عبور کنند. زمانی‌که تنها از سرویس DNS استفاده می‌شود، تنظیمات HTTPS از روی سرورهای اصلی اعمال خواهند شد.

 

چرا با وجود امنیت بالاتر، ابر آروان نسخه‌ی پیش‌فرض TLS را برای تمام وبسایت‌ها روی نسخه‌ی 1.3 قرار نمی‌دهد؟

با وجود این‌که نسخه‌ی جدید TLS نسبت به نسخه‌های قدیمی‌تر مزیت‌های بسیاری از جمله بهبود قابلیت‌های امنیتی و سرعت برقراری ارتباط دارد، هم‌چنان بسیاری از مرورگرها و سیستم‌عامل‌های قدیمی از این پروتکل پشتیبانی نمی‌کنند. بنابراین اگر نسخه‌ی TLS 1.3 برای تمام وب‌سایت‌ها به‌شکل پیش‌فرض فعال شود، برقراری ارتباط با نسخه‌های قدیمی‌تر محدود می‌شود و ارتباط بسیاری از کاربران که از تجهیزات قدیمی‌تر استفاده می‌کنند، دچار مشکل خواهند شد.

در شکل زیر نشان داده شده است که هر مرورگر از چه نسخه‌ای از پروتکل TLS 1.3 پشتیبانی می‌کند.

 

پشتیبانی از TLS 1.3 در مرورگرها

جمع بندی

با مراجعه به قسمت تنظیمات HTTPS در بخش CDN پنل کاربری ابر آروان، می‌توانید حداقل نسخه‌ی TLS مورد نظر خود را فعال کنید. نسخه‌های بالاتر دارای امنیت و سرعت بیش‌تری هستند اما باید توجه داشته باشید که زمانی فعال‌سازی این نسخه‌ها منطقی خواهد بود که کاربران شما نیز از مرورگرها و سیستم‌عامل‌هایی استفاده کنند که از این نسخه‌های جدید پشتیبانی می‌کنند.

این مقاله را با دوستان خود به اشتراک بگذارید

پاسخ به لغو
Comments نظرات