tls - پارسیش

نوشته شده توسط داود مظفری

13 ژانویه

با Let’s Encrypt SSL رایگان داشته باشید

اگر شما هم از توسعه دهندگان وب باشید حتماً نام Let’s Encrypt را شنیده اید، Let’s Encrypt هر وب سایت را قادر می سازد برای حفاظت از کاربران خود از گواهی های اس اس ال (SSL) و تی ال اس (TLS) که تمام ترافیک اینترنت بین یک سایت و کاربران آن را رمزگذاری می کنند استفاده کند.

جالب است بدانید که Let’s Encrypt توسط گروه Internet Security Research Group شکل گرفت که اعضای ISRG شامل Akamai، سیسکو، بنیاد EFF، و موزیلا می‌باشند. این گروه توسط بنیاد لینوکس اداره می شود. هدف این گروه از برنامه رمزگذاری این است که گواهی امنیتی رایگان، خودکار و باز را برای همه فراهم کند. این رمزگذاری اجازه خواهد داد که صاحبان وبگاه گواهینامه‌های امنیتی را در عرض چند دقیقه به دست آورند، و این یک تجربه امن‌تری برای استفاده از وب را برای همه ایجاد می‌کند. از سال ۲۰۱۰ زمانی که Firesheep نشان داد که ورود شما روی Wi-Fi می‌تواند شنود شود، می‌دانیم که تنها راه داشتن یک امنیت قابل اعتماد برای هر وبگاهی این است که رمزگذاری شود. یکی از دلایل عدم رمزنگاری این است که گواهی‌های امنیتی لایه انتقال (TLS) برای مدیران، گران و دست و پا گیر هستند. بنابراین، در اواخر سال گذشته EFF و موزیلا با یک ایده از ایجاد گواهینامه‌ی TLS فوری و رایگان همراه شدند.

این خدمات نه تنها رایگان است همچنین باعث می شود پیاده سازی HTTPS برای همه وب سایت ها و صاحبان وب سایت خرید آنلاین به منظور اطمینان از اینکه فعالیت های مرورگر کاربران و انتقال اطلاعات آنها به سمت سایت ها از مداخله گرها در امان است آسان تر شود. Let’s Encrypt اولین گواهی HTTPS رایگان خود را در ماه گذشته صادر کرده و با دیگر مرورگر های بزرگ برای به رسمیت شناختن گواهی خود به عنوان مرجع مورد اعتماد مشغول به کار است.

برای توضیحات بیشتر می‌توانید به وبسایت این پروژه مراجعه کنید، در ادامه مطلب نحوه راه اندازی SSL را بر روی وب سرور آموزش می دهیم.

1 ۰ 30900 13 ژانویه, 2016 مقالات, وب بیشتر

نوشته شده توسط محبوبه حاتمی

25 اکتبر

آسیب‌پذیری جدید داده‌های رمزشده

محققان گوگل اخیرا در مورد پیدایش یک مشکل جدید در پروتکل SSL 3.0 خبر داده‌اند که به هکرها اجازه می‌دهد داده‌های رمزشده را رمزگشایی کنند. این کدهای مخرب (اکسپلویت) جهت ردیابی داده‌های مهم و حیاتی که بین سرور و کلاینت رمزگذاری شده‌اند مورد استفاده قرار می‌گیرند.

کدهای مخرب ابتدا به مهاجمین اجازه می‌دهد فرآیندی به نام «downgrade dance» را آغاز کنند که به کلاینت (سرویس گیرنده) فرمان می‌دهد به پروتکل SSL 3.0 وصل شود چون سرور، پروتکل TLS را ساپورت نمی‌کند. سپس از آنجا حمله‌‌ای از نوع man-in-the-middle کوکی‌های امن ddle می‌تواند کوکی‌های امن HTTP را رمزگشایی کند. گوگل اسم این حملات و آسیب پذیری را به عنوان POODLE ( مخفف Padding Oracle On Downgraded Legacy Encryption) معرفی کرده است.

به عبارت دیگر اطلاعات شما دیگر رمز شده نیست. ساده‌ترین راه حلی که تعدادی از محققان گوگل توصیه کرده‌اند غیر فعال کردن پروتکل SSL 3.0 بر روی سرور و کلاینت می‌باشد. سرور و کلاینت به طور پیش‌فرض پروتکل امن‌تر TSL را انتخاب می‌کنند و نفوذ کدهای مخرب را غیرممکن می‌سازند.

بنابراین اگر مرورگرکاربران نهایی از پروتکل SSL 3.0 پشتیبانی می‌کند باید آن را غیر فعال کنند یا بهتر است از ابزاری استفاده کنند که TLS_FALLBACK_SCSV را ساپورت می‌کند. این راه حل از حملات downgrade جلوگیری می‌کند. گوگل به زودی تغییراتی در کروم ایجاد خواهد کرد که در آن پروتکل SSL 3.0 غیرفعال شده و هیچکدام از محصولاتش دیگر این پروتکل را ساپورت نمی‌کنند. در حال حاضر یک پچ کرومیوم موجود است که می‌تواند پروتکل SSL 3.0 را غیر فعال می ‌کند.

کمپانی موزیلا نیز در واکنش به اخبار اخیر قصد دارد این پروتکل را در مرورگر فایرفاکس خاموش کند و در یکی از پست‌هایش عنوان کرده: «پروتکل SSL v3 به طور پیش‌فرض از فایرفاکس ورژن ۳۴ که در ۲۵ نوامبر به بازار اینترنت خواهد آمد غیرفعال می‌شود». کد غیرفعالسازی این پروتکل امشب توسط Nighty در دسترس خواهد بود.

هرکس مایل است پروتکل SSL 3.0 را همین الان غیرفعال کند می‌تواند با افزودن SSL Version Control به فایرفاکس این کار را انجام دهد.

پروتکل SSL3.0 در سال ۱۹۹۶ معرفی شد تا برقراری ارتباط را بدون ترس از استرلق سمع امکان‌پذیر کند چون اطلاعاتی که به اشتراک گذاشته می‌شود رمزگذاری شده است. وقتی یک کلاینت (مثل مرورگر، اپلیکیشن و غیره) به سرور پینگ می‌شود درگیر یک handshake امنیتی می‌شود که کلیدهایی را جهت رمزگذاری و رمزگشایی اطلاعاتی که رد و بدل می‌شود ایجاد می‌کند.

0 ۰ 16270 25 اکتبر, 2014 اخبار, کوتاه بیشتر

نوشته شده توسط حسین کزازی

14 آوریل

خون‌ریزی قلبی از سرور

در ۱۹ فروردین ماه ۱۳۹۳ یک حفره امنیتی خطرناک در OpenSSL کشف شده که کارشناسان بر پایه ویژگی‌هایی آن را «خون‌ریزی» یا همان Heartbleed نامیده‌اند. این حفره ی امنیتی باعث نگرانی های زیادی در سراسر دنیا شده است. چرا که این باگ به اغلب کاربران این امکان را می‌دهد تا اطلاعات رمزنگاری شده کاربران و یا خود سرور را از سرور آسیب پذیر بدزدند.

این مشکل در پیاده سازی پروتکل TLS کشف شده است، و باعث می‌شود سرورهایی که از هر نوع ارتباط امن برای ارتباط استفاده می‌کنند، آسیب پذیر باشند. همه‌ی ارتباط‌ها از طریق https (که بیشتر سرویس‌های ایمیل، و چت و اینترنت بانک از آن استفاده می‌کنند) smtp و imap (که برای تبادل ایمیل استفاده می‌شود) و اتصال‌های امن VPN و SSH همه در معرض خطر هستند.

این مشکل خطرناک در حقیقت اجازه می‌دهد که هر کاربری در ارتباط دو سویه‌ی امن (با TLS) بتواند (در هر اتصال) ۶۴KB از حافظه‌ی رایانه سوی دیگر ارتباط را بخواند (با تکرار این عمل می‌توان مقدار بیشتر از حافظه را استخراج کرد). این مقدار از حافظه‌ی RAM خوانده شده ممکن است شامل کلیدهای رمز نگاری یا رمزعبورهای یا هر گونه محتوای مربوط به هر کاربری باشد. ضمنا این مشکل تنها به سایت‌های https محدود نمی‌شود، بلکه هر سروری که به عنوان کاربر به https دیگر سایت‌ها نیز متصل می‌شود، آسیب پذیر است.

فرآیند این حفره بسیار ساده است! به این طور که حفره امنیتی در یکی از بخش‌های «اپن‌اس‌اس‌ال» که در پس‌زمینه فعال است٬ در یک ارتباط رمزگذاری‌شده، بخش معیوب با ارسال و دریافت سیگنال‌هایی، آنلاین بودن دو طرف خط را کنترل می‌کند. چون ارسال و دریافت این سیگنال‌ها به صورت مداوم و با ریتم خاصی صورت می‌گیرد، نام این فرایند «ضربان قلب» گذاشته شده است. در این عکس می‌توانید به وضوع نحوه عملکرد این حفره را ببینید.

برای بررسی آسیب‌پذیری سایت‌ها نسبت به این حفره امنیتی از این سایت می‌توانید استفاده کنید.

0 ۱ 23250 14 آوریل, 2014 اخبار, کوتاه بیشتر