🕵🏿 📡 🐹 كيفية تكوين HTTPS - سوف يساعدك SSL Configuration Generator 🚄 😓 🐠

نحن نتحدث عن أداة تهيئة طبقة المقابس الآمنة التي طورتها موزيلا.

تحت خفض - حول قدراتها والأدوات المساعدة الأخرى لإنشاء المواقع.

صور - لاي مان نونغ - Unsplash

لماذا أحتاج إلى مولد

قبل الانتقال إلى القصة المتعلقة بقدرات الأداة ، دعونا نتحدث عن الغرض منها. عند العمل مع HTTPS ، يتم استخدام التشفير في أربع حالات : أثناء تبادل المفاتيح ، في شهادات SSL ، عند إرسال الرسائل وتجميع مبلغ تجزئة ( ملخص ).

يستخدم كل منهم مجموعات مختلفة من الخوارزميات ، التي يتفق عليها العميل والخادم. إنهم يختارون تشفيرًا غير متماثل لـ "المصافحة" ، وشفرات متماثلة لترميز الرسائل ، وخوارزمية تجزئة للهضم.

على سبيل المثال ، تعني مجموعة التشفير ECDHE-ECDSA-CHACHA20-POLY1305 أن تبادل المفاتيح يحدث وفقًا لبروتوكول Diffie-Hellman على المنحنيات الإهليلجية ( ECDHE ). في هذه الحالة ، يتم استخدام مفاتيح سريعة الزوال (لمرة واحدة) لتأسيس اتصال واحد فقط. وقّع المرجع المصدق الشهادة باستخدام خوارزمية التوقيع الرقمي للناحية الإلكترونية ( ECDSA ) ، ويتم استخدام خوارزمية ChaCha20 المضمنة لتشفير الرسائل. POLY1305 ، التي تحسب مصادقة 16 بايت ، هي المسؤولة عن سلامتها.

يمكن العثور على قائمة كاملة بجميع مجموعات الخوارزميات المتاحة على صفحة Mozilla wiki .

هناك أدوات خاصة على الشبكة لتكوين طرق التشفير المستخدمة من قبل الخادم. تحتوي هذه الوظيفة على SSL Configuration Generator ، الذي تم تطويره في Mozilla.

ما هو مثل

تقدم Mozilla ثلاثة تكوينات موصى بها للخوادم التي تستخدم بروتوكول TLS:

حديث - للعمل مع العملاء الذين يستخدمون TLS 1.3 دون التوافق مع الإصدارات السابقة.
وسيطة - التكوين الموصى به لمعظم الخوادم.
مهملة - يتم الوصول إلى الخدمة باستخدام عملاء أو مكتبات قديمة ، مثل IE8 أو Java 6 أو OpenSSL 0.9.8.

على سبيل المثال ، في الحالة الأولى ، يستخدم المولد خوارزمية تشفير AES128 / 256 وخوارزمية تجزئة SHA256 / 384 وطريقة تشغيل أصفار الكتلة المتماثلة GCM . فيما يلي مثال لمجموعة الشفرات: TLS_AES_256_GCM_SHA384.

في الحالة الثانية ، يكون عدد الأصفار المستخدمة أكبر بكثير ، حيث تم استبعاد الكثير منها من TLS 1.3 لزيادة الأمان. بالإضافة إلى ذلك ، لا تصف مجموعة التشفير TLS 1.3 نوع الشهادة وتبادل آلية المفتاح. لذلك ، في التكوين الوسيط ، يوجد بروتوكول Diffie-Hellman مع مفاتيح سريعة الزوال و RSA .

بناءً على هذه المتطلبات ، يقوم مولد تكوين SSL بإنشاء ملف تكوين (OpenSSL). عند البناء ، يمكنك اختيار برنامج الخادم الضروري: Apache و HAProxy و MySQL و nginx و PostgreSQL وخمسة برامج أخرى. فيما يلي مثال على التكوين الحديث لـ Apache:

# generated 2019-07-04, https://ssl-config.mozilla.org/#server=apache&server-version=2.4.39&config=modern # requires mod_ssl, mod_socache_shmcb, mod_rewrite, and mod_headers <VirtualHost *:80> RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] </VirtualHost> <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/signed_cert_and_intermediate_certs SSLCertificateKeyFile /path/to/private_key # enable HTTP/2, if available Protocols h2 http/1.1 # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds) Header always set Strict-Transport-Security "max-age=63072000" </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 SSLHonorCipherOrder off SSLSessionTickets off SSLUseStapling On SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

يمكن استخدام التكوينات المولدة في مشروعك ، ما عليك سوى تحرير الشهادة ومسارات المفاتيح الخاصة وتحميل الإعدادات. ومع ذلك ، كما يقول أحد سكان Hacker News ، من المهم الانتباه إلى إصدار الخادم من أجل الحصول على النتائج الصحيحة. على وجه الخصوص ، يختلف إخراج nginx 1.0 و nginx 1.4 بشكل كبير. هناك أيضًا رأي مفاده أنه في بعض الحالات سيكون من الضروري تصحيح جزء من مجموعات التشفير التي تم إنشاؤها يدويًا من أجل الحفاظ على التوافق مع الإصدارات السابقة والحصول على علامات عالية في العلامات المرجعية لمواقع الزحف.

ما هي المرافق الأخرى التي ستساعد في حماية الموقع؟

هناك العديد من الأدوات المساعدة في محفظة Mozilla والتي يمكن أن تساعدك في التحقق من موثوقية المورد بعد تكوين طبقة المقابس الآمنة.

الأول هو مرصد موزيلا . في البداية ، طورت الشركة أداة للتحقق من أمان نطاقاتها. الآن هو متاح للجميع جنبا إلى جنب مع شفرة المصدر . يفحص المرصد المواقع بحثًا عن نقاط الضعف الأكثر شيوعًا ، من بينها: ملفات تعريف الارتباط المحتملة الخطورة ، ونقاط الضعف XSS وإعادة التوجيه . بعد المسح ، يعطي النظام مجموعة من التوصيات لتحسين أمان مورد الإنترنت.

صور - سيباستيان stam - Unsplash

أداة أخرى مفيدة هي فايرفوكس مونيتور . تراقب أحدث عمليات تسرب البيانات وترسل الإخطارات إذا كانت المعلومات من أي موقع تقع في أيدي المتسللين. وبالتالي ، تتاح للمسؤولين الفرصة لاتخاذ إجراء سريع وتقليل الضرر والتأكد من عدم حدوث القصة مرة أخرى في المستقبل.

^{منشوراتنا من المدونات والشبكات الاجتماعية:} ^{كيفية حماية خادم افتراضي على الإنترنت} ^{لماذا المراقبة ضرورية؟} ^{الحصول على شهادة OV و EV - ماذا تحتاج إلى معرفته؟} ^{فهرسة المحمول أولاً من 1 تموز (يوليو) - كيفية التحقق من موقعك؟} ^{1cloud Private Cloud FAQ} ^{كيفية تقييم أداء التخزين على نظام Linux: القياس باستخدام أدوات مفتوحة} ^{يقول البعض أن تقنية DANE للمتصفحات قد فشلت}

كيفية تكوين HTTPS - سوف يساعدك SSL Configuration Generator

لماذا أحتاج إلى مولد

ما هو مثل

ما هي المرافق الأخرى التي ستساعد في حماية الموقع؟

More articles: