مطالب برچسب » SSL

با Let’s Encrypt SSL رایگان داشته باشید
نوشته شده توسط

با Let’s Encrypt SSL رایگان داشته باشید

اگر شما هم از توسعه دهندگان وب باشید حتماً نام Let’s Encrypt را شنیده اید، Let’s Encrypt هر وب سایت را قادر می سازد برای حفاظت از کاربران خود از گواهی های اس اس ال (SSL) و تی ال اس (TLS) که تمام ترافیک اینترنت بین یک سایت و کاربران آن را رمزگذاری می کنند استفاده کند.

جالب است بدانید که Let’s Encrypt توسط گروه Internet Security Research Group شکل گرفت که اعضای ISRG شامل Akamai، سیسکو، بنیاد EFF، و موزیلا می‌باشند. این گروه توسط بنیاد لینوکس اداره می شود. هدف این گروه از برنامه رمزگذاری این است که گواهی امنیتی رایگان، خودکار و باز را برای همه فراهم کند. این رمزگذاری اجازه خواهد داد که صاحبان وبگاه  گواهینامه‌های امنیتی را در عرض چند دقیقه به دست آورند، و این  یک تجربه امن‌تری برای استفاده از وب را برای همه ایجاد می‌کند. از سال ۲۰۱۰ زمانی که Firesheep نشان داد که ورود شما روی Wi-Fi می‌تواند شنود شود، می‌دانیم که تنها راه داشتن یک امنیت قابل اعتماد برای هر وبگاهی این است که رمزگذاری شود. یکی از دلایل عدم رمزنگاری این است که گواهی‌های امنیتی لایه انتقال (TLS) برای مدیران، گران و دست و پا گیر هستند. بنابراین، در اواخر سال گذشته EFF و موزیلا با یک ایده از ایجاد گواهینامه‌ی TLS فوری و رایگان همراه شدند.

این خدمات نه تنها رایگان است همچنین باعث می شود پیاده سازی HTTPS برای همه وب سایت ها و صاحبان وب سایت خرید آنلاین به منظور اطمینان از اینکه فعالیت های مرورگر کاربران و انتقال اطلاعات آنها به سمت سایت ها از مداخله گرها در امان است آسان تر شود. Let’s Encrypt اولین گواهی HTTPS رایگان خود را در ماه گذشته صادر کرده و با دیگر مرورگر های بزرگ برای به رسمیت شناختن گواهی خود به عنوان مرجع مورد اعتماد مشغول به کار است.

برای توضیحات بیشتر می‌توانید به وبسایت این پروژه مراجعه کنید، در ادامه مطلب نحوه راه اندازی SSL را بر روی وب سرور آموزش می دهیم.

1 ۰ 5280 ۲۳ دی ۱۳۹۴ مقالات, وب بیشتر
چرا وضعیت فعلی اینترنت ایران کسب و کار را بهبود نمی بخشد؟
نوشته شده توسط

چرا وضعیت فعلی اینترنت ایران کسب و کار را بهبود نمی بخشد؟

اواخر سال ۸۴ بود که زمزمه طرحی کلان و پرهزینه به نام اینترنت ملی شنیده شد. مهمترین دلیلی که برای راه اندازی این شبکه در آن زمان عنوان می‌شد کاهش وابستگی به شبکه جهانی اینترنت بود. اما شاید نخستین واکنش و قول رسمی نسبت به راه اندازی این شبکه در سال ۸۵ بود که محمد سلیمانی، وزیر وقت ارتباطات خبر از راه اندازی این شبکه ظرف «دوسه سال» آینده داد. البته تا امروز سرنوشت این طرح به طور دقیق روشن نیست. مطابق برنامه توسعه پنجم، شبکه ملی اطلاعات که معروف به اینترانت ملی است باید تا پایان سال ۹۴ تکمیل شود. قرار بود در مهرماه سال ۱۳۹۱ نخستین فاز شبکه ملی اطلاعات شامل تفکیک شبکه‌های اینترنت و اینترانت اجرا شود و تا پایان سال ۱۳۹۲ تمامی میزبانی‌های سایت‌های اینترنتی به داخل کشور منتقل شود و در فاز سوم و تا سال ۱۳۹۵ تمام مدیریت شبکه در داخل کشور انجام شود و تمام نیازهای نرم افزاری کاربران ایرانی توسط محصولات داخلی برطرف شود. بر اساس گفته نصرالله جهانگرد، دبیر شورای عالی فناوری، این طرح تا سال ۱۳۹۶ به بیش از ۵۰میلیارد دلار سرمایه نیاز دارد که قرار است ۱۷میلیارد دلارش از سوی دولت باشد. محمود واعظی، وزیر ارتباطات دولت یازدهم هم اخیرا با علم بر این که برای راه‌اندازی «اینترنت ملی» یا «شبکه ملی اطلاعات» بعد از ۱۰ سال بودجه بالایی اختصاص یافته است، خبر از راه اندازی این شبکه به صورت آزمایشی در استان قم داد. آیا این بودجه وضع کسب و کار و بازار فناوری ایران را بهبود می‌دهد؟

0 ۲ 2380 ۰۱ اسفند ۱۳۹۳ مقالات, وب بیشتر
آسیب‌پذیری جدید داده‌های رمزشده
نوشته شده توسط

آسیب‌پذیری جدید داده‌های رمزشده

محققان گوگل اخیرا در مورد پیدایش یک مشکل جدید در پروتکل SSL 3.0 خبر داده‌اند که به هکرها اجازه می‌دهد داده‌های رمزشده را رمزگشایی کنند. این کدهای مخرب (اکسپلویت) جهت ردیابی داده‌های مهم و حیاتی که بین سرور و کلاینت رمزگذاری شده‌اند مورد استفاده قرار می‌گیرند.

کدهای مخرب ابتدا به مهاجمین اجازه می‌دهد فرآیندی به نام «downgrade dance» را آغاز کنند که به کلاینت (سرویس گیرنده) فرمان می‌دهد به پروتکل SSL 3.0 وصل شود چون سرور، پروتکل TLS را ساپورت نمی‌کند. سپس از آنجا حمله‌‌ای از نوع man-in-the-middle کوکی‌های امن ddle  می‌تواند کوکی‌های امن HTTP را رمزگشایی کند. گوگل اسم این حملات و آسیب پذیری را به عنوان POODLE ( مخفف Padding Oracle On Downgraded Legacy Encryption) معرفی کرده است.

به عبارت دیگر اطلاعات شما دیگر رمز شده نیست. ساده‌ترین راه حلی که تعدادی از محققان گوگل توصیه کرده‌اند غیر فعال کردن پروتکل SSL 3.0 بر روی سرور و کلاینت می‌باشد. سرور و کلاینت به طور پیش‌فرض پروتکل امن‌تر TSL را انتخاب می‌کنند و نفوذ کدهای مخرب را غیرممکن می‌سازند.

بنابراین اگر مرورگرکاربران نهایی از پروتکل SSL 3.0 پشتیبانی می‌کند باید آن را غیر فعال کنند یا بهتر است از ابزاری استفاده کنند که TLS_FALLBACK_SCSV را ساپورت می‌کند. این راه حل از حملات downgrade جلوگیری می‌کند. گوگل به زودی تغییراتی در کروم ایجاد خواهد کرد که در آن پروتکل SSL 3.0 غیرفعال شده و هیچکدام از محصولاتش دیگر این پروتکل را ساپورت نمی‌کنند. در حال حاضر یک پچ کرومیوم موجود است که می‌تواند پروتکل SSL 3.0 را غیر فعال می ‌کند.

کمپانی موزیلا نیز در واکنش به اخبار اخیر قصد دارد این پروتکل را در مرورگر فایرفاکس خاموش کند و در یکی از پست‌هایش عنوان کرده: «پروتکل SSL v3 به طور پیش‌فرض از فایرفاکس ورژن ۳۴ که در ۲۵ نوامبر به بازار اینترنت خواهد آمد غیرفعال می‌شود». کد غیرفعالسازی این پروتکل امشب توسط Nighty در دسترس خواهد بود.

هرکس مایل است پروتکل SSL 3.0 را همین الان غیرفعال کند می‌تواند با افزودن SSL Version Control به فایرفاکس این کار را انجام دهد.

پروتکل SSL3.0 در سال ۱۹۹۶ معرفی شد تا برقراری ارتباط را بدون ترس از استرلق سمع امکان‌پذیر کند چون اطلاعاتی که به اشتراک گذاشته می‌شود رمزگذاری شده است. وقتی یک کلاینت (مثل مرورگر، اپلیکیشن و غیره) به سرور پینگ می‌شود درگیر یک handshake امنیتی می‌شود که کلیدهایی را جهت رمزگذاری و رمزگشایی اطلاعاتی که رد و بدل می‌شود ایجاد می‌کند.

0 ۰ 880 ۰۳ آبان ۱۳۹۳ اخبار, کوتاه بیشتر

اشتراک ایمیلی

جدیدترین مطالب پارسیش را در ایمیل خود داشته باشید.

فیس‌بوک

پربیننده‌ترین‌ها

منتخب سردبیر

آخرین مصاحبه‌ها

حمایت می کنیم

نماد اعتماد