مطالب برچسب » اس اس ال

با Let’s Encrypt SSL رایگان داشته باشید
نوشته شده توسط

با Let’s Encrypt SSL رایگان داشته باشید

اگر شما هم از توسعه دهندگان وب باشید حتماً نام Let’s Encrypt را شنیده اید، Let’s Encrypt هر وب سایت را قادر می سازد برای حفاظت از کاربران خود از گواهی های اس اس ال (SSL) و تی ال اس (TLS) که تمام ترافیک اینترنت بین یک سایت و کاربران آن را رمزگذاری می کنند استفاده کند.

جالب است بدانید که Let’s Encrypt توسط گروه Internet Security Research Group شکل گرفت که اعضای ISRG شامل Akamai، سیسکو، بنیاد EFF، و موزیلا می‌باشند. این گروه توسط بنیاد لینوکس اداره می شود. هدف این گروه از برنامه رمزگذاری این است که گواهی امنیتی رایگان، خودکار و باز را برای همه فراهم کند. این رمزگذاری اجازه خواهد داد که صاحبان وبگاه  گواهینامه‌های امنیتی را در عرض چند دقیقه به دست آورند، و این  یک تجربه امن‌تری برای استفاده از وب را برای همه ایجاد می‌کند. از سال ۲۰۱۰ زمانی که Firesheep نشان داد که ورود شما روی Wi-Fi می‌تواند شنود شود، می‌دانیم که تنها راه داشتن یک امنیت قابل اعتماد برای هر وبگاهی این است که رمزگذاری شود. یکی از دلایل عدم رمزنگاری این است که گواهی‌های امنیتی لایه انتقال (TLS) برای مدیران، گران و دست و پا گیر هستند. بنابراین، در اواخر سال گذشته EFF و موزیلا با یک ایده از ایجاد گواهینامه‌ی TLS فوری و رایگان همراه شدند.

این خدمات نه تنها رایگان است همچنین باعث می شود پیاده سازی HTTPS برای همه وب سایت ها و صاحبان وب سایت خرید آنلاین به منظور اطمینان از اینکه فعالیت های مرورگر کاربران و انتقال اطلاعات آنها به سمت سایت ها از مداخله گرها در امان است آسان تر شود. Let’s Encrypt اولین گواهی HTTPS رایگان خود را در ماه گذشته صادر کرده و با دیگر مرورگر های بزرگ برای به رسمیت شناختن گواهی خود به عنوان مرجع مورد اعتماد مشغول به کار است.

برای توضیحات بیشتر می‌توانید به وبسایت این پروژه مراجعه کنید، در ادامه مطلب نحوه راه اندازی SSL را بر روی وب سرور آموزش می دهیم.

1 ۰ 5270 ۲۳ دی ۱۳۹۴ مقالات, وب بیشتر
آسیب‌پذیری جدید داده‌های رمزشده
نوشته شده توسط

آسیب‌پذیری جدید داده‌های رمزشده

محققان گوگل اخیرا در مورد پیدایش یک مشکل جدید در پروتکل SSL 3.0 خبر داده‌اند که به هکرها اجازه می‌دهد داده‌های رمزشده را رمزگشایی کنند. این کدهای مخرب (اکسپلویت) جهت ردیابی داده‌های مهم و حیاتی که بین سرور و کلاینت رمزگذاری شده‌اند مورد استفاده قرار می‌گیرند.

کدهای مخرب ابتدا به مهاجمین اجازه می‌دهد فرآیندی به نام «downgrade dance» را آغاز کنند که به کلاینت (سرویس گیرنده) فرمان می‌دهد به پروتکل SSL 3.0 وصل شود چون سرور، پروتکل TLS را ساپورت نمی‌کند. سپس از آنجا حمله‌‌ای از نوع man-in-the-middle کوکی‌های امن ddle  می‌تواند کوکی‌های امن HTTP را رمزگشایی کند. گوگل اسم این حملات و آسیب پذیری را به عنوان POODLE ( مخفف Padding Oracle On Downgraded Legacy Encryption) معرفی کرده است.

به عبارت دیگر اطلاعات شما دیگر رمز شده نیست. ساده‌ترین راه حلی که تعدادی از محققان گوگل توصیه کرده‌اند غیر فعال کردن پروتکل SSL 3.0 بر روی سرور و کلاینت می‌باشد. سرور و کلاینت به طور پیش‌فرض پروتکل امن‌تر TSL را انتخاب می‌کنند و نفوذ کدهای مخرب را غیرممکن می‌سازند.

بنابراین اگر مرورگرکاربران نهایی از پروتکل SSL 3.0 پشتیبانی می‌کند باید آن را غیر فعال کنند یا بهتر است از ابزاری استفاده کنند که TLS_FALLBACK_SCSV را ساپورت می‌کند. این راه حل از حملات downgrade جلوگیری می‌کند. گوگل به زودی تغییراتی در کروم ایجاد خواهد کرد که در آن پروتکل SSL 3.0 غیرفعال شده و هیچکدام از محصولاتش دیگر این پروتکل را ساپورت نمی‌کنند. در حال حاضر یک پچ کرومیوم موجود است که می‌تواند پروتکل SSL 3.0 را غیر فعال می ‌کند.

کمپانی موزیلا نیز در واکنش به اخبار اخیر قصد دارد این پروتکل را در مرورگر فایرفاکس خاموش کند و در یکی از پست‌هایش عنوان کرده: «پروتکل SSL v3 به طور پیش‌فرض از فایرفاکس ورژن ۳۴ که در ۲۵ نوامبر به بازار اینترنت خواهد آمد غیرفعال می‌شود». کد غیرفعالسازی این پروتکل امشب توسط Nighty در دسترس خواهد بود.

هرکس مایل است پروتکل SSL 3.0 را همین الان غیرفعال کند می‌تواند با افزودن SSL Version Control به فایرفاکس این کار را انجام دهد.

پروتکل SSL3.0 در سال ۱۹۹۶ معرفی شد تا برقراری ارتباط را بدون ترس از استرلق سمع امکان‌پذیر کند چون اطلاعاتی که به اشتراک گذاشته می‌شود رمزگذاری شده است. وقتی یک کلاینت (مثل مرورگر، اپلیکیشن و غیره) به سرور پینگ می‌شود درگیر یک handshake امنیتی می‌شود که کلیدهایی را جهت رمزگذاری و رمزگشایی اطلاعاتی که رد و بدل می‌شود ایجاد می‌کند.

0 ۰ 880 ۰۳ آبان ۱۳۹۳ اخبار, کوتاه بیشتر

اشتراک ایمیلی

جدیدترین مطالب پارسیش را در ایمیل خود داشته باشید.

فیس‌بوک

پربیننده‌ترین‌ها

منتخب سردبیر

آخرین مصاحبه‌ها

حمایت می کنیم

نماد اعتماد