پروتکل TLS مطمئن شوید که پروتکل های ssl و tls فعال هستند

شرح

TLS به برنامه های کاربردی سرویس گیرنده-سرور اجازه می دهد تا از طریق شبکه به گونه ای ارتباط برقرار کنند که از استراق سمع و دسترسی غیرمجاز جلوگیری کند.

از آنجایی که بیشتر پروتکل های ارتباطی را می توان با یا بدون TLS (یا SSL) استفاده کرد، هنگام برقراری یک اتصال، باید صریحاً به سرور بگویید که آیا کلاینت می خواهد TLS را نصب کند یا خیر. این را می توان با استفاده از یک شماره پورت یکنواخت که اتصال همیشه با استفاده از TLS بر روی آن برقرار می شود (مانند پورت 443 برای HTTPS)، یا با استفاده از یک پورت دلخواه و یک فرمان ویژه به سرور از سمت کلاینت برای تغییر اتصال حاصل می شود. به TLS با استفاده از پروتکل مکانیزم های خاص (مانند STARTTLS برای پروتکل های ایمیل). هنگامی که مشتری و سرور برای استفاده از TLS توافق کردند، باید یک اتصال امن برقرار کنند. این با استفاده از روش دست دادن انجام می شود. لایه های سوکت ایمن). در طول این فرآیند، مشتری و سرور بر روی پارامترهای مختلف مورد نیاز برای ایجاد یک اتصال امن توافق می کنند.

انواع حمله نیز مستقیماً بر اساس اجرای نرم افزار پروتکل، و نه بر اساس الگوریتم آن وجود دارد.

روش دست دادن TLS با جزئیات

طبق پروتکل TLS، برنامه‌ها رکوردهایی را مبادله می‌کنند که اطلاعاتی را که باید منتقل شوند، محصور می‌کنند (در خود ذخیره می‌کنند). هر یک از ورودی ها بسته به وضعیت اتصال فعلی (وضعیت پروتکل) می تواند فشرده، پد، رمزگذاری یا توسط یک MAC (کد احراز هویت پیام) شناسایی شود. هر ورودی TLS شامل فیلدهای زیر است: نوع محتوا (نوع محتوای ورودی را مشخص می کند)، فیلدی که طول بسته را نشان می دهد و فیلدی که نسخه پروتکل TLS را نشان می دهد.

هنگامی که برای اولین بار اتصال برقرار شد، تعامل با استفاده از پروتکل دست دادن TLS رخ می دهد. نوع محتواکه 22 است.

دست دادن ساده در TLS

1. مرحله مذاکره:
   • مشتری یک پیام ارسال می کند مشتری سلام
   • سرور با یک پیام پاسخ می دهد سرور سلام
   • سرور پیامی ارسال می کند گواهینامه
   • سرور پیامی ارسال می کند ServerHelloDone
   • مشتری با یک پیام پاسخ می دهد ClientKeyExchange، که حاوی کلید عمومی PreMasterSecret است (این PreMasterSecret با استفاده از کلید عمومی گواهی سرور رمزگذاری می شود.) یا هیچ چیز (باز هم به الگوریتم رمزگذاری بستگی دارد).
   • PreMasterSecret
2. مشتری یک پیام ارسال می کند ChangeCipherSpec
   • مشتری یک پیام ارسال می کند تمام شده
3. سرور ارسال می کند ChangeCipherSpec

دست دادن با احراز هویت مشتری

این مثال احراز هویت کامل کلاینت (علاوه بر احراز هویت سرور مانند مثال قبلی) را با تبادل گواهی بین سرور و کلاینت نشان می دهد.

1. مرحله مذاکره:
   • مشتری یک پیام ارسال می کند مشتری سلام، نشان دهنده آخرین نسخه پروتکل TLS پشتیبانی شده، یک عدد تصادفی، و لیستی از روش های رمزگذاری و فشرده سازی پشتیبانی شده مناسب برای کار با TLS.
   • سرور با یک پیام پاسخ می دهد سرور سلام، شامل: نسخه پروتکل انتخاب شده توسط سرور، یک عدد تصادفی ارسال شده توسط مشتری، یک الگوریتم رمزگذاری و فشرده سازی مناسب از لیست ارائه شده توسط مشتری.
   • سرور پیامی ارسال می کند گواهینامه، که حاوی گواهی دیجیتال سرور است (بسته به الگوریتم رمزگذاری، این مرحله ممکن است نادیده گرفته شود).
   • سرور پیامی ارسال می کند درخواست گواهی، که حاوی درخواست گواهی مشتری برای احراز هویت متقابل است.
   • [نکته اخذ و تایید گواهی مشتری وجود ندارد] ;
   • سرور پیامی ارسال می کند ServerHelloDone، شناسایی انتهای دست دادن.
   • مشتری با یک پیام پاسخ می دهد ClientKeyExchange، که حاوی کلید عمومی PreMasterSecret یا چیزی نیست (باز هم بسته به الگوریتم رمزگذاری).
   • کلاینت و سرور با استفاده از کلید PreMasterSecretو اعدادی که به طور تصادفی تولید می شوند، یک کلید مخفی مشترک محاسبه می شود. تمام اطلاعات کلیدی دیگر از کلید مخفی مشترک (و مقادیر تصادفی تولید شده توسط مشتری و سرور) مشتق خواهد شد.
2. مشتری یک پیام ارسال می کند ChangeCipherSpec، که نشان می دهد تمام اطلاعات بعدی با استفاده از الگوریتم ایجاد شده در طی فرآیند دست دادن و با استفاده از یک کلید مخفی مشترک رمزگذاری می شوند. این پیام ها در سطح رکورد هستند و بنابراین از نوع 20 به جای 22 هستند.
   • مشتری یک پیام ارسال می کند تمام شده، که حاوی هش و MAC تولید شده از پیام های دست دادن قبلی است.
   • سرور سعی می کند پیام Finished مشتری را رمزگشایی کند و هش و MAC را بررسی کند. اگر فرآیند رمزگشایی یا تأیید ناموفق باشد، دست دادن ناموفق تلقی می شود و اتصال باید قطع شود.
3. سرور ارسال می کند ChangeCipherSpecو پیام رمزگذاری شده Finished، و به نوبه خود مشتری نیز رمزگشایی و تأیید را انجام می دهد.

از این لحظه، تأیید ارتباط تکمیل شده در نظر گرفته می شود، پروتکل برقرار می شود. تمام محتویات بسته بعدی با نوع 23 ارائه می شود و همه داده ها رمزگذاری می شوند.

از سرگیری اتصال TLS

الگوریتم‌های رمزگذاری نامتقارن که برای تولید کلید جلسه استفاده می‌شوند معمولاً از نظر قدرت محاسباتی گران هستند. برای جلوگیری از تکرار آنها هنگام از سرگیری اتصال، TLS میانبر خاصی را در هنگام دست دادن ایجاد می کند که برای از سرگیری اتصال استفاده می شود. در این حالت، در طی یک تایید ارتباط عادی، مشتری به پیام اضافه می کند مشتری سلامشناسه جلسه قبلی شناسه جلسه. مشتری باند ID شناسه جلسهبا آدرس IP سرور و پورت TCP تا در هنگام اتصال به سرور بتوانید از تمام پارامترهای اتصال قبلی استفاده کنید. سرور با شناسه جلسه قبلی مطابقت دارد شناسه جلسهبا پارامترهای اتصال، مانند الگوریتم رمزگذاری استفاده شده و رمز اصلی. هر دو طرف باید یک راز اصلی داشته باشند، در غیر این صورت ارتباط برقرار نمی شود. این مانع استفاده می شود شناسه جلسه cryptanalyst برای دسترسی غیرمجاز. توالی اعداد تصادفی در پیام ها مشتری سلامو سرور سلامبه شما این امکان را می دهد که تضمین کنید که کلید جلسه تولید شده با کلید جلسه در طول اتصال قبلی متفاوت است. RFC به این نوع دست دادن می گوید به اختصار.

1. مرحله مذاکره:
   • مشتری یک پیام ارسال می کند مشتری سلام، نشان دهنده آخرین نسخه پروتکل TLS پشتیبانی شده، یک عدد تصادفی، و لیستی از روش های رمزگذاری و فشرده سازی پشتیبانی شده مناسب برای کار با TLS. شناسه اتصال قبلی نیز به پیام اضافه می شود. شناسه جلسه.
   • سرور با یک پیام پاسخ می دهد سرور سلام، شامل: نسخه پروتکل انتخاب شده توسط سرور، یک عدد تصادفی ارسال شده توسط مشتری، یک الگوریتم رمزگذاری و فشرده سازی مناسب از لیست ارائه شده توسط مشتری. اگر سرور شناسه جلسه را تشخیص دهد شناسه جلسه سرور سلامهمان شناسه شناسه جلسه. این یک سیگنال به مشتری است که از سرگیری جلسه قبلی می توان استفاده کرد. اگر سرور شناسه جلسه را تشخیص ندهد شناسه جلسه، سپس به پیام اضافه می کند سرور سلامدر عوض معنی دیگری شناسه جلسه. برای مشتری، این بدان معنی است که اتصال تجدید شده قابل استفاده نیست. بنابراین، سرور و سرویس گیرنده باید اعداد رمز اصلی و تصادفی یکسانی برای ایجاد یک کلید جلسه داشته باشند.
2. مشتری یک پیام ارسال می کند ChangeCipherSpec، که نشان می دهد تمام اطلاعات بعدی با کلید مخفی مشترک ایجاد شده در طی فرآیند دست دادن رمزگذاری می شوند. این پیام ها در سطح رکورد هستند و بنابراین از نوع 20 به جای 22 هستند.
3. مشتری یک پیام ارسال می کند ChangeCipherSpec، که نشان می دهد تمام اطلاعات بعدی با استفاده از الگوریتم ایجاد شده در طی فرآیند دست دادن و با استفاده از یک کلید مخفی مشترک رمزگذاری می شوند. این پیام ها در سطح رکورد هستند و بنابراین از نوع 20 به جای 22 هستند.
   • مشتری یک پیام ارسال می کند تمام شده، که حاوی هش و MAC تولید شده از پیام های دست دادن قبلی است.
   • سرور سعی می کند پیام Finished مشتری را رمزگشایی کند و هش و MAC را بررسی کند. اگر فرآیند رمزگشایی یا تأیید ناموفق باشد، دست دادن ناموفق در نظر گرفته می‌شود و اتصال باید قطع شود.
4. سرور ارسال می کند ChangeCipherSpecو پیام رمزگذاری شده Finished، و به نوبه خود مشتری نیز رمزگشایی و تأیید را انجام می دهد.

از این لحظه، تأیید ارتباط تکمیل شده در نظر گرفته می شود، پروتکل برقرار می شود. تمام محتویات بسته بعدی با نوع 23 ارائه می شود و همه داده ها رمزگذاری می شوند.

علاوه بر مزایای عملکرد، الگوریتم تجدید اتصال را می توان برای پیاده سازی یک ورود به سیستم مورد استفاده قرار داد، زیرا تضمین می شود که جلسه اصلی و هر جلسه از سرگیری شده توسط یک مشتری آغاز می شود (RFC 5077). این امر مخصوصاً برای پیاده‌سازی FTP از طریق TLS/SSL مهم است، که در غیر این صورت در مقابل یک حمله مرد میانی که در آن مهاجم می‌تواند محتوای داده‌ها را هنگام برقراری اتصال مجدد رهگیری کند، آسیب‌پذیر است.

الگوریتم های مورد استفاده در TLS

الگوریتم های زیر در این نسخه فعلی پروتکل موجود است:

• برای تبادل کلیدها و تأیید صحت آنها، ترکیبی از الگوریتم‌ها استفاده می‌شود: الگوریتم‌های RSA (رمز نامتقارن)، Diffie-Hellman (تبادل کلید امن)، DSA (الگوریتم امضای دیجیتال) و الگوریتم‌های فناوری Fortezza.
• برای رمزگذاری متقارن: RC2، RC4، IDEA، DES، Triple DES یا AES.

الگوریتم ها را می توان بسته به نسخه پروتکل تکمیل کرد.

مقایسه با آنالوگ ها

یکی از کاربردهای اتصال TLS اتصال میزبان ها در یک شبکه خصوصی مجازی است. علاوه بر TLS، می توان از مجموعه ای از پروتکل های IPSec و یک اتصال SSH نیز استفاده کرد. هر یک از این رویکردها برای پیاده سازی شبکه خصوصی مجازی مزایا و معایب خاص خود را دارد. .

1. TLS/SSL
   • مزایای:
     • نامرئی به پروتکل های سطح بالاتر.
     • استفاده رایج در اتصالات اینترنتی و برنامه های کاربردی تجارت الکترونیکی؛
     • عدم وجود ارتباط دائمی بین سرور و مشتری؛
     • TCP/IP مانند ایمیل، ابزارهای برنامه نویسی و غیره.
   • ایرادات:
     • UDP و ICMP؛
     • نیاز به نظارت بر وضعیت اتصال؛
     • نیازهای نرم افزاری اضافی برای پشتیبانی TLS وجود دارد.
2. IPsec
   • مزایای:
     • امنیت و قابلیت اطمینان حفاظت از داده های پروتکل از زمانی که پروتکل به عنوان استاندارد اینترنت پذیرفته شد، آزمایش و اثبات شده است.
     • در لایه بالایی پروتکل شبکه کار کنید و داده ها را در بالای لایه پروتکل شبکه رمزگذاری کنید.
   • ایرادات:
     • پیچیدگی اجرا؛
     • الزامات اضافی برای تجهیزات شبکه (روترها و غیره)؛
     • پیاده سازی های مختلف زیادی وجود دارد که همیشه به درستی با یکدیگر تعامل ندارند.
3. SSH
   • مزایای:
     • به شما امکان می دهد برای برنامه هایی که از TCP/IP استفاده می کنند، مانند ایمیل، ابزارهای برنامه نویسی و غیره، یک تونل ایجاد کنید.
     • لایه امنیتی برای کاربر نامرئی است.
   • ایرادات:
     • استفاده در شبکه هایی با تعداد دروازه های زیاد مانند روترها یا فایروال ها مشکل است.
     • عدم امکان استفاده با پروتکل های UDP و ICMP.

همچنین ببینید

پیوندها

1. تی. دیرکس، ای. رسکولاپروتکل امنیت لایه حمل و نقل (TLS)، نسخه 1.2 (اوت 2008). بایگانی شده از نسخه اصلی در 9 فوریه 2012.
2. پروتکل SSL: نسخه 3.0 پیش نویس نهایی SSL 3.0 نت اسکیپ (18 نوامبر 1996)
3. "SSL/TLS در جزئیات". Microsoft TechNet. به روز شده در 31 جولای 2003.
4. دن گودین . ثبت نام(19 سپتامبر 2011). بایگانی شد
5. اریک رسیورلادرک حمله مذاکره مجدد TLS. حدس و گمان تحصیل کرده(5 نوامبر 2009). بایگانی شده از نسخه اصلی در 9 فوریه 2012. بازیابی شده در 7 دسامبر 2011.
6. مک میلان، رابرت. Security Pro می گوید حمله جدید SSL می تواند به بسیاری از سایت ها ضربه بزند، دنیای کامپیوتر(20 نوامبر 2009). بازیابی شده در 7 دسامبر 2011.
7. SSL_CTX_set_options SECURE_RENEGOTIATION. اسناد OpenSSL(25 فوریه 2010). بایگانی شده از نسخه اصلی در 9 فوریه 2012. بازیابی شده در 7 دسامبر 2010.
8. GnuTLS 2.10.0 منتشر شد. یادداشت های انتشار GnuTLS(25 ژوئن 2010). بایگانی شده از نسخه اصلی در 9 فوریه 2012. بازیابی شده در 7 دسامبر 2011.
9. یادداشت های انتشار NSS 3.12.6. یادداشت های انتشار NSS(3 مارس 2010). بازبینی شده در 24 ژوئیه 2011.
10. مختلفآسیب پذیری IE SSL. حدس و گمان تحصیل کرده(10 اوت 2002).

ظهر بخیر مشترکین عزیز، مطمئنم اکثریت قریب به اتفاق شما کلماتی مانند گواهی امنیتی یا رمزگذاری یا گواهینامه SSL را شنیده اید و مطمئن هستم که اکثر شما حتی هدف آنها را می دانید، اگر نه، من به شما خواهم گفت. در مورد آن با جزئیات بسیار با مثال های شخصی به شما خواهم گفت، همه چیز همانطور که باید باشد، پس از آن شما با ظرافت بیشتری تمام مرزهای امنیتی را که گواهینامه های SSL در اختیار ما قرار می دهند درک خواهید کرد، بدون آنها اکنون تصور دنیای مدرن فناوری اطلاعات غیرممکن است. ، با حواله های بانکی، ایمیل smime یا فروشگاه های آنلاین.

SSL و TLS چیست؟

Secure Socket Layer یا ssl یک فناوری است که برای اطمینان بیشتر و ایمن تر کردن دسترسی به وب سایت ها طراحی شده است. گواهی رمزگذاری به شما امکان می دهد به طور قابل اعتماد از ترافیک منتقل شده بین مرورگر کاربر و منبع وب (سرور) که مرورگر به آن دسترسی دارد محافظت کنید، همه اینها با استفاده از پروتکل https اتفاق می افتد. همه اینها پس از توسعه سریع اینترنت منجر به ایجاد تعداد زیادی سایت و منابعی شد که کاربر را ملزم به وارد کردن داده های شخصی و شخصی می کند:

• رمزهای عبور
• شماره های کارت اعتباری
• مکاتبه

این داده ها طعمه هکرها هستند، چه تعداد از موارد پرمخاطب با سرقت اطلاعات شخصی اتفاق افتاده است و چه تعداد دیگر وجود خواهد داشت، گواهی رمزگذاری ssl برای به حداقل رساندن این موضوع طراحی شده است. فناوری SSL توسط Netscape Communications توسعه یافت؛ بعداً امنیت لایه حمل و نقل یا به سادگی TLS، یک پروتکل مبتنی بر مشخصات SSL 3.0 را معرفی کرد. هر دو لایه سوکت امن و امنیت لایه حمل و نقل برای اطمینان از انتقال داده بین دو گره از طریق اینترنت طراحی شده اند.

SSL و TLS هیچ تفاوت اساسی در عملکرد خود ندارند، حتی می توان از آنها در همان سرور استفاده کرد، این کار صرفاً به دلایل اطمینان از عملکرد دستگاه ها و مرورگرهای جدید و همچنین قدیمی بودن آنها انجام می شود که در آن لایه حمل و نقل امنیت پشتیبانی نمی شود.

اگر به اینترنت مدرن نگاه کنیم، TLS به عنوان گواهی امنیتی سرور و رمزگذاری استفاده می شود، فقط این را بدانید

به عنوان مثال، وب سایت Yandex را باز کنید، من این کار را در Google Chrome انجام می دهم، یک نماد قفل در کنار نوار آدرس وجود دارد، روی آن کلیک کنید. در اینجا نوشته خواهد شد که اتصال به وب سایت امن است و برای جزئیات بیشتر می توانید کلیک کنید.

ما بلافاصله نماد اتصال امن TLS را می بینیم، همانطور که گفتم، بیشتر منابع اینترنتی مبتنی بر این فناوری هستند. بیایید به خود گواهی نگاه کنیم؛ برای انجام این کار، روی View Certificate کلیک کنید.

در قسمت اطلاعات گواهی، هدف آن را می بینیم:

1. شناسایی از یک کامپیوتر راه دور را فراهم می کند
2. هویت رایانه شما را در رایانه راه دور تأیید می کند
3. 1.2.616.1.113527.2.5.1.10.2

شما همیشه باید تاریخ را بدانید، چگونه گواهی رمزگذاریتکامل یافته و با چه نسخه هایی عرضه شد. از آنجایی که با دانستن این و اصل عملکرد، یافتن راه حل برای مشکلات آسان تر خواهد بود.

• SSL 1.0 > این نسخه هرگز به دست مردم نرسید، دلیل آن شاید پیدا شدن آسیب پذیری آن بود
• SSL 2.0 > این نسخه از گواهینامه ssl در سال 1995 معرفی شد، در آغاز هزاره، همچنین دارای تعدادی حفره امنیتی بود که باعث شد شرکت ارتباطات نت اسکیپبرای کار بر روی نسخه سوم گواهی رمزگذاری
• SSL 3.0 > جایگزین SSL 2.0 در سال 1996 شد. این معجزه شروع به توسعه کرد و در سال 1999 شرکت های بزرگ Master Card و Visa مجوز تجاری برای استفاده از آن خریداری کردند. TLS 1.0 از نسخه 3.0 ظاهر شد
• TLS 1.0 > 99، به روز رسانی SSL 3.0 به نام TLS 1.0 منتشر شد، هفت سال دیگر می گذرد، اینترنت در حال توسعه است و هکرها ثابت نمی مانند، نسخه بعدی منتشر می شود.
• TLS 1.1 > 04.2006 نقطه شروع آن است، چندین خطای پردازش بحرانی تصحیح شد و محافظت در برابر حملات معرفی شد، جایی که حالت الحاق بلوک‌های متن رمزنگاری شده ایجاد شد.
• TLS 1.2 > در آگوست 2008 ظاهر شد
• TLS 1.3 > در اواخر سال 2016 عرضه می شود

نحوه کار TLS و SSL

بیایید درک کنیم که پروتکل های SSL و TLS چگونه کار می کنند. بیایید با اصول اولیه شروع کنیم، همه دستگاه های شبکه یک الگوریتم کاملاً مشخص برای برقراری ارتباط با یکدیگر دارند که به آن OSI می گویند که به 7 لایه تقسیم شده است. این دارای یک لایه انتقال است که وظیفه تحویل داده ها را بر عهده دارد، اما از آنجایی که مدل OSI نوعی مدینه فاضله است، اکنون همه چیز طبق یک مدل ساده شده TCP/IP، متشکل از 4 لایه، کار می کند. پشته TCP/IP اکنون استانداردی برای انتقال داده ها در شبکه های کامپیوتری است و شامل تعداد زیادی پروتکل سطح برنامه است که برای شما شناخته شده است:

لیست را می توان برای مدت بسیار طولانی ادامه داد، بیش از 200 مورد وجود دارد. در زیر نموداری از لایه های شبکه آورده شده است.

خب، برای وضوح، نموداری از پشته SSL/TLS آورده شده است.

اکنون همه چیز به زبان ساده یکسان است ، زیرا همه این طرح ها را درک نمی کنند و اصل عملکرد ssl و tls مشخص نیست. وقتی مثلاً سایت وبلاگ من را باز می کنید، با استفاده از پروتکل برنامه http به آن دسترسی پیدا می کنید؛ وقتی به آن دسترسی پیدا می کنید، سرور شما را می بیند و داده ها را به رایانه شما منتقل می کند. اگر این را به صورت شماتیک تصور کنید، آنگاه یک عروسک ساده خواهد بود، پروتکل برنامه http روی پشته tcp-ip قرار می گیرد.

اگر سایت دارای گواهی رمزگذاری TLS باشد، عروسک پروتکل پیچیده‌تر خواهد بود و به این شکل به نظر می‌رسد. در اینجا پروتکل برنامه http در SSL/TLS قرار می گیرد که به نوبه خود در پشته TCP/IP قرار می گیرد. همه چیز یکسان است، اما از قبل رمزگذاری شده است، و اگر هکری این داده ها را در مسیر انتقال آن رهگیری کند، فقط زباله های دیجیتالی را دریافت می کند، اما فقط ماشینی که اتصال به سایت را برقرار کرده است می تواند داده ها را رمزگشایی کند.

مراحل ایجاد اتصال SSL/TLS

در اینجا یک طرح زیبا و بصری دیگر برای ایجاد یک کانال امن وجود دارد.

ایجاد یک اتصال SSL/TLS در سطح بسته شبکه

در تصویر، فلش‌های سیاه پیام‌هایی را نشان می‌دهند که به صورت متن واضح ارسال می‌شوند، فلش‌های آبی پیام‌هایی هستند که با کلید عمومی امضا شده‌اند، و فلش‌های سبز پیام‌هایی هستند که با استفاده از رمزگذاری داده‌های انبوه و MAC ارسال می‌شوند که طرفین در طول فرآیند مذاکره بر روی آن توافق کردند. .

خوب، جزئیات در مورد هر مرحله از تبادل پیام های شبکه پروتکل های SSL/TLS.

• 1.ClientHello> بسته ClientHello یک پیشنهاد با لیستی از نسخه های پروتکل پشتیبانی شده، مجموعه های رمز پشتیبانی شده به ترتیب اولویت و لیستی از الگوریتم های فشرده سازی (معمولا NULL) ارائه می دهد. مقدار تصادفی 32 بایت نیز از مشتری می‌آید، محتویات آن نشان‌دهنده زمان فعلی است، بعداً برای یک کلید متقارن و یک شناسه جلسه استفاده می‌شود که مقدار آن صفر خواهد بود، مشروط بر اینکه هیچ جلسه قبلی وجود نداشته باشد.
• 2. سرور سلام> بسته ServerHello ارسال شده توسط سرور، این پیام حاوی گزینه انتخاب شده برای الگوریتم رمزگذاری و فشرده سازی است. همچنین مقدار تصادفی 32 بایت (مهر زمانی فعلی) وجود خواهد داشت، همچنین برای کلیدهای متقارن استفاده می شود. اگر شناسه جلسه فعلی در ServerHello صفر باشد، شناسه جلسه را ایجاد و برمی گرداند. اگر پیام ClientHello شناسه جلسه قبلی را که برای این سرور شناخته شده است پیشنهاد کرد، پروتکل دست دادن طبق یک طرح ساده شده انجام می شود. اگر مشتری یک شناسه جلسه ناشناخته برای سرور ارائه دهد، سرور یک شناسه جلسه جدید را برمی گرداند و پروتکل دست دادن طبق طرح کامل انجام می شود.
• 3-گواهینامه (3)> در این بسته، سرور کلید عمومی خود (گواهی X.509) را برای مشتری ارسال می کند، و با الگوریتم تبادل کلید در مجموعه رمز انتخاب شده مطابقت دارد. به طور کلی، می توانید در پروتکل بگویید، درخواست یک کلید عمومی در DNS، یک رکورد از نوع KEY/TLSA RR. همانطور که در بالا نوشتم، پیام با این کلید رمزگذاری می شود.
• 4. ServerHelloDone >سرور می گوید که جلسه به طور معمول برقرار شده است.
• 5.ClientKeyExchange> مرحله بعدی این است که مشتری یک کلید اصلی را با استفاده از اعداد تصادفی (یا مُهرهای زمانی فعلی) بین سرور و کلاینت ارسال کند. این کلید (کلید pre-master) با کلید عمومی سرور رمزگذاری شده است. این پیام فقط توسط سرور با استفاده از کلید خصوصی قابل رمزگشایی است. اکنون هر دو شرکت‌کننده کلید اصلی مخفی مشترک را از روی کلید اصلی محاسبه می‌کنند.
• 6. ChangeCipherSpec - مشتری> معنای بسته این است که نشان دهد اکنون تمام ترافیکی که از مشتری می آید با استفاده از الگوریتم رمزگذاری داده های انبوه انتخاب شده رمزگذاری می شود و حاوی یک MAC محاسبه شده با استفاده از الگوریتم انتخاب شده است.
• 7. تمام شد - مشتری> این پیام شامل تمام پیام های ارسال و دریافت شده در طول پروتکل دست دادن به جز پیام Finished است. با استفاده از الگوریتم رمزگذاری داده های انبوه رمزگذاری می شود و با استفاده از الگوریتم MAC مورد توافق طرفین هش می شود. اگر سرور بتواند این پیام (شامل همه پیام‌های قبلی) را با استفاده از کلید نشستی که به طور مستقل محاسبه کرده است رمزگشایی و تأیید کند، در این صورت مکالمه با موفقیت انجام شد. اگر نه، در این مرحله سرور جلسه را قطع می کند و یک پیام هشدار با برخی اطلاعات (احتمالاً غیر اختصاصی) در مورد خطا ارسال می کند.
• 8. ChangeCipherSpec - سرور> بسته می گوید که اکنون تمام ترافیک خروجی از این سرور رمزگذاری می شود.
• 9. Finished - سرور>این پیام شامل تمام پیام های ارسال و دریافت شده در طول پروتکل دست دادن به جز پیام Finished است
• 10. پروتکل ضبط >اکنون همه پیام ها با یک گواهی امنیتی SSL رمزگذاری می شوند

نحوه دریافت گواهینامه امنیتی ssl

اکنون بیایید بفهمیم که از کجا یک گواهی رمزگذاری دریافت کنیم، یا چگونه یک گواهی امنیتی SSL دریافت کنیم. البته راه های مختلفی وجود دارد، هم پولی و هم رایگان.

راه رایگان برای دریافت گواهی امنیتی tls

این روش شامل استفاده از گواهی امضا شده است؛ این گواهی می تواند بر روی هر سرور وب با نقش IIS یا Apache ایجاد شود. اگر میزبانی مدرن را در نظر بگیریم، در کنترل پنل ها مانند:

• دایرکت ادمین
• مدیر ISP
• سی پنل

این قابلیت استاندارد در آنجا است. بزرگترین مزیت گواهینامه های رمزگذاری خودامضا رایگان بودن آنها و وجود معایب زیادی است، از آنجایی که هیچکس جز شما به این گواهی اعتماد ندارد، احتمالاً این تصویر را در مرورگرهایی که سایت از گواهی امنیتی شکایت می کند دیده اید.

اگر گواهینامه خود امضا شده دارید که منحصراً برای اهداف داخلی استفاده می شود، این طبیعی است، اما برای پروژه های عمومی، این یک منفی بزرگ خواهد بود، زیرا هیچ کس به آن اعتماد ندارد و تعداد زیادی از مشتریان یا کاربرانی را که می بینند از دست خواهید داد. یک خطای گواهی امنیتی در مرورگر، بلافاصله بسته می شود.

بیایید ببینیم چگونه می توانید گواهی امنیتی SSL دریافت کنید برای این کار درخواستی برای صدور گواهی ایجاد می شود که به آن درخواست CSR (درخواست امضای گواهی) می گویند. این اغلب با یک شرکت خاص در یک فرم وب انجام می شود، که از شما چند سوال در مورد دامنه و شرکت شما می پرسد. هنگامی که همه چیز را وارد کردید، سرور دو کلید خصوصی (بسته) و عمومی (باز) ایجاد می کند. اجازه دهید به شما یادآوری کنم که کلید عمومی محرمانه نیست، بنابراین در درخواست CSR درج می شود. در اینجا نمونه ای از درخواست امضای گواهی است.

تمام این داده های نامفهوم را می توان به راحتی توسط سایت های ویژه CSR Decoder تفسیر کرد.

نمونه هایی از دو سایت رسیور CSR:

• http://www.sslshopper.com/csr-decoder.html
• http://certlogik.com/decoder/

ترکیب درخواست CSR

• نام مشترک: نام دامنه ای که با چنین گواهینامه ای محافظت می کنیم
• سازمان: نام سازمان
• واحد سازمانی: واحد سازمانی
• محل: شهری که دفتر سازمان در آن واقع است
• ایالت: منطقه یا ایالت
• کشور: کد دو حرفی، کشور دفتر
• ایمیل: ایمیل تماس با مدیر فنی یا خدمات پشتیبانی

پس از ایجاد درخواست امضای گواهی، می توانید درخواست گواهی رمزگذاری را شروع کنید. مرجع صدور گواهی تمام داده هایی را که در درخواست CSR مشخص کرده اید بررسی می کند و اگر همه چیز خوب باشد، گواهی امنیتی SSL خود را دریافت می کنید و می توانید از آن برای https استفاده کنید. اکنون سرور شما به طور خودکار گواهی صادر شده را با کلید خصوصی تولید شده مقایسه می کند، بنابراین می توانید ترافیک متصل کننده مشتری به سرور را رمزگذاری کنید.

مرجع گواهی چیست؟

CA چیست - مرجع صدور گواهینامه یا مرجع صدور گواهی، پیوند سمت چپ را بخوانید، من در آنجا با جزئیات در مورد آن صحبت کردم.

گواهی SSL شامل چه داده هایی است؟

گواهینامه اطلاعات زیر را ذخیره می کند:

• نام کامل (محصول) صاحب گواهی
• کلید عمومی مالک
• تاریخ صدور گواهی SSL
• تاریخ انقضای گواهینامه
• نام کامل (محصول) مرجع صدور گواهینامه
• امضای دیجیتال ناشر

چه نوع گواهینامه های رمزگذاری SSL وجود دارد؟

سه نوع اصلی گواهینامه امنیتی وجود دارد:

• اعتبار سنجی دامنه - DV > این یک گواهی رمزگذاری است که فقط نام دامنه منبع را تأیید می کند
• اعتبار سازمان - OV > این یک گواهی رمزگذاری است که سازمان و دامنه را تأیید می کند
• Extendet Validation - EV > این یک گواهی رمزگذاری است که اعتبار سنجی طولانی دارد

هدف از اعتبار سنجی دامنه - DV

و بنابراین، گواهی‌های رمزگذاری که فقط دامنه یک منبع را تأیید می‌کنند، رایج‌ترین گواهی‌های موجود در شبکه هستند؛ آنها سریع‌تر و خودکار ساخته می‌شوند. هنگامی که شما نیاز به بررسی چنین گواهی امنیتی دارید، یک ایمیل با یک لینک ارسال می شود که با کلیک بر روی آن، صدور گواهی تایید می شود. توجه داشته باشم که نامه برای شما ارسال می شود، اما ایمیل تایید شده (ایمیل تایید کننده) که هنگام سفارش گواهی رمزگذاری مشخص شده است، ارسال نمی شود.

ایمیل تایید کننده نیز الزاماتی دارد، منطقی است که اگر گواهی رمزگذاری برای دامنه ای سفارش می دهید، آدرس ایمیل باید از آن باشد و نه ایمیل یا رامبلر، یا باید در whois دامنه و یک نیاز دیگر مشخص شود. ایمیل تایید کننده نام، باید طبق این الگو باشد:

• webmaster@yourdomain
• postmaster@ دامنه شما
• hostmaster@yourdomain
• administrator@ دامنه شما
• مدیر@

من معمولا صندوق پستی postmaster@your را می برم

گواهی tls-ssl که نام دامنه را تأیید می‌کند، زمانی صادر می‌شود که CA تأیید کرده باشد که مشتری دارای حقوق نام دامنه است؛ هر چیز دیگری که مربوط به سازمان است در گواهی نمایش داده نمی‌شود.

اعتبار سازمان هدف - OV

گواهی های رمزگذاری TLS-ssl حاوی نام سازمان شما است، یک شخص خصوصی به سادگی نمی تواند آن را دریافت کند، آنها برای ثبت نام یک کارآفرین فردی ارسال می شوند. از 3 تا 10 روز کاری طول می کشد، همه چیز بستگی به مرکز صدور گواهینامه دارد که آن را صادر می کند.

هدف از اعتبار سنجی Extendet - EV

و بنابراین، شما برای CSR درخواستی برای صدور گواهی رمزگذاری برای سازمان خود ارسال کردید، CA شروع به بررسی اینکه آیا بوق و سم IP واقعاً وجود دارد، مانند CSR، و آیا دامنه مشخص شده در سفارش به آن تعلق دارد یا خیر.

• آنها می توانند نگاه کنند تا ببینند آیا سازمانی در صفحات زرد بین المللی وجود دارد یا خیر؛ برای کسانی که نمی دانند چیست، این ها دایرکتوری های تلفن در آمریکا هستند. همه CA ها به این روش بررسی نمی کنند.
• آنها به whois دامنه سازمان شما نگاه می کنند؛ همه مقامات صدور گواهینامه این کار را انجام می دهند؛ اگر کلمه ای در مورد سازمان شما در whois وجود نداشته باشد، از شما ضمانت نامه ای می خواهند که دامنه متعلق به شما است.
• گواهی ثبت نام ایالتی ثبت دولتی واحد کارآفرینان فردی یا ثبت نام واحد دولتی اشخاص حقوقی
• آنها ممکن است با درخواست صورتحساب از شرکت تلفن شما که شامل شماره است، شماره تلفن شما را تأیید کنند.
• می توانند با این شماره تماس گرفته و موجود بودن شرکت را بررسی کنند، از فردی که مدیر در دستور کار مشخص کرده است می پرسند که به تلفن پاسخ دهد، بنابراین مطمئن شوید که فرد انگلیسی بلد است.

خود گواهی رمزگذاری Extendet Validation EV است، گران‌ترین و پیچیده‌ترین است، به هر حال آنها یک نوار سبز رنگ دارند، قطعاً آن را دیده‌اید، این زمانی است که در سایت در نوار آدرس بازدیدکننده یک نوار سبز رنگ با نام سازمان می بیند. در اینجا نمونه ای از مشتری بانک از Sberbank است.

گواهینامه های رمزگذاری توسعه یافته (extendet Validation - EV) بیشترین اطمینان را دارند و منطقی است که بلافاصله مشاهده کنید که شرکت وجود دارد و شرایط سختگیرانه برای صدور گواهی را پشت سر گذاشته است. گواهی‌های SSL Extendet Validatio توسط CA تنها در صورتی صادر می‌شوند که دو الزام برآورده شود: اینکه سازمان مالک دامنه مورد نیاز باشد و اینکه خود آن در طبیعت وجود داشته باشد. هنگام صدور گواهینامه های EV SSL، مقررات سختگیرانه ای وجود دارد که الزامات قبل از صدور گواهی EV را شرح می دهد.

• باید فعالیت های قانونی، فیزیکی و عملیاتی نهاد را بررسی کند
• بررسی سازمان و مدارک آن
• مالکیت دامنه، سازمان
• بررسی کنید که سازمان کاملاً مجاز به صدور گواهی EV است

گواهی‌های SSL extensionet Validatio تقریباً در مدت 10-14 روز صادر می‌شوند که هم برای سازمان‌های غیرانتفاعی و هم برای سازمان‌های دولتی مناسب است.

انواع گواهی های رمزگذاری SSL

سوال مهم بعدی این است که انواع گواهینامه های رمزگذاری SSL - TLS و تفاوت ها و هزینه های آنها وجود دارد.

• گواهینامه های SSL معمولی > اینها رایج ترین گواهی ها هستند، آنها به صورت خودکار انجام می شوند تا فقط دامنه را تأیید کنند. آنها به طور متوسط ​​18-22 دلار قیمت دارند.
• گواهی‌های SGC > گواهی‌های SSL - TLS هستند که از سطح بالاتری از رمزگذاری پشتیبانی می‌کنند. آنها عمدتاً برای مرورگرهای قدیمی هستند که فقط از رمزگذاری 40-56 بیتی پشتیبانی می کنند. SGC سطح رمزگذاری را به اجبار به 128 بیت افزایش می دهد که چندین برابر بیشتر است. همانطور که XP به سال های پایانی خود می رسد، به زودی دیگر نیازی به گواهی های رمزگذاری SGC نخواهد بود. هزینه این معجزه حدود 300 صد دلار در سال است.
• گواهی‌های Wildcard > برای زیر دامنه‌های دامنه اصلی شما لازم است. یک مثال ساده سایت وبلاگ من است، اگر من یک Wildcard بخرم، می توانم آن را در تمام دامنه های سطح 4 سایت خود، *.site قرار دهم. هزینه گواهی های رمزگذاری Wildcard بسته به تعداد زیر دامنه ها از 190 دلار متفاوت است.
• گواهی‌های SAN > فرض کنید شما یک سرور دارید، اما دامنه‌های مختلفی روی آن میزبانی می‌شود، می‌توانید گواهی SAN را روی سرور آویزان کنید و همه دامنه‌ها از آن استفاده خواهند کرد، هزینه آن از 400 دلار در سال است.
• گواهینامه های EV > در مورد گواهی های توسعه یافته، ما قبلاً در مورد همه چیز در بالا بحث کرده ایم، آنها از 250 دلار در سال هزینه دارند.
• گواهینامه هایی که از دامنه های IDN پشتیبانی می کنند

لیست گواهینامه هایی که دارای چنین پشتیبانی هستند، دامنه های IDN:

• گواهی Thawte SSL123
• وب سرور Thawte SSL
• سایت امن سیمانتک
• Thawte SGC SuperCerts
• وایلدکارت وب سرور SSL Thawte
• وب سرور Thawte SSL با EV
• Symantec Secure Site Pro
• سایت امن سیمانتک با EV
• Symantec Secure Site Pro با EV

ابزارهای مفید:

1. OpenSSL رایج ترین ابزار برای تولید کلید عمومی (درخواست گواهی) و کلید خصوصی است.
   http://www.openssl.org/
2. CSR Decoder ابزاری برای بررسی CSR و داده های موجود در آن است، توصیه می کنم قبل از سفارش گواهی از آن استفاده کنید.
   http://www.sslshopper.com/csr-decoder.html یا http://certlogik.com/decoder/
3. تستر گواهی DigiCert - ابزاری برای بررسی اعتبار خود گواهی
   http://www.digicert.com/help/?rid=011592
   http://www.sslshopper.com/ssl-checker.html

در مقالات آینده، ما خود CA را پیکربندی خواهیم کرد و در عمل از گواهی های رمزگذاری SSL/TLS استفاده خواهیم کرد.

پروتکل SSL TLS

کاربران سازمان‌های بودجه‌ای و نه تنها بودجه‌ای که فعالیت‌هایشان مستقیماً با امور مالی مرتبط است، در تعامل با سازمان‌های مالی، مثلاً وزارت دارایی، خزانه‌داری و غیره، تمام عملیات خود را منحصراً با استفاده از پروتکل امن SSL انجام می‌دهند. اساساً در کار خود از مرورگر اینترنت اکسپلورر استفاده می کنند. در برخی موارد موزیلا فایرفاکس.

اخبار کامپیوتر، نقد و بررسی، راه حل مشکلات کامپیوتر، بازی های کامپیوتری، درایورها و دستگاه ها و سایر برنامه های کامپیوتری." title="programs, drivers, مشکلات با کامپیوتر, بازی ها" target="_blank">!}

خطای SSL

توجه اصلی هنگام انجام این عملیات، و به طور کلی کار، به سیستم امنیتی معطوف می شود: گواهی ها، امضاهای الکترونیکی. نسخه فعلی نرم افزار CryptoPro برای عملیات استفاده می شود. مربوط به مشکلات پروتکل های SSL و TLS، اگر خطای SSLظاهر شد، به احتمال زیاد هیچ پشتیبانی از این پروتکل وجود ندارد.

خطای TLS

خطای TLSدر بسیاری از موارد می تواند نشان دهنده عدم پشتیبانی پروتکل باشد. اما... بیایید ببینیم در این مورد چه می توان کرد.

پشتیبانی از پروتکل SSL و TLS

بنابراین، هنگامی که از مایکروسافت اینترنت اکسپلورر برای بازدید از یک وب سایت دارای امنیت SSL استفاده می کنید، نوار عنوان نمایش داده می شود مطمئن شوید که پروتکل های ssl و tls فعال هستند. اول از همه، لازم است پشتیبانی از پروتکل TLS 1.0 را فعال کنیددر اینترنت اکسپلورر

اخبار کامپیوتر، نقد و بررسی، راه حل مشکلات کامپیوتر، بازی های کامپیوتری، درایورها و دستگاه ها و سایر برنامه های کامپیوتری." title="programs, drivers, مشکلات با کامپیوتر, بازی ها" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

اگر از وب‌سایتی بازدید می‌کنید که سرویس‌های اطلاعات اینترنت 4.0 یا بالاتر را اجرا می‌کند، پیکربندی اینترنت اکسپلورر برای پشتیبانی از TLS 1.0 به ایمن کردن اتصال شما کمک می‌کند. البته به شرطی که وب سرور راه دوری که قصد استفاده از آن را دارید از این پروتکل پشتیبانی کند.

برای انجام این کار در منو سرویستیم را انتخاب کنید گزینه های اینترنت.

روی زبانه علاوه بر ایندر فصل ایمنی، مطمئن شوید که چک باکس های زیر انتخاب شده اند:

از SSL 2.0 استفاده کنید
از SSL 3.0 استفاده کنید
از TLS 1.0 استفاده کنید

روی دکمه کلیک کنید درخواست دادن ، و سپس خوب . مرورگر خود را مجددا راه اندازی کنید .

پس از فعال کردن TLS 1.0، دوباره از وب سایت بازدید کنید.

سیاست امنیتی سیستم

اگر باز هم رخ دهند خطاهای SSL و TLSاگر هنوز نمی توانید از SSL استفاده کنید، احتمالاً وب سرور راه دور از TLS 1.0 پشتیبانی نمی کند. در این صورت لازم است سیاست سیستم را غیر فعال کنید، که به الگوریتم های سازگار با FIPS نیاز دارد.

اخبار کامپیوتر، نقد و بررسی، راه حل مشکلات کامپیوتر، بازی های کامپیوتری، درایورها و دستگاه ها و سایر برنامه های کامپیوتری." title="programs, drivers, مشکلات با کامپیوتر, بازی ها" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

برای انجام این کار، در تابلوهای کنترلانتخاب کنید مدیریتو سپس دوبار کلیک کنید سیاست امنیتی محلی.

در تنظیمات امنیتی محلی، آن را گسترش دهید سیاست های محلیو سپس روی دکمه کلیک کنید تنظیمات امنیتی.

با توجه به خط مشی سمت راست پنجره، دوبار کلیک کنید رمزنگاری سیستم: از الگوریتم های سازگار با FIPS برای رمزگذاری، هش و امضا استفاده کنیدو سپس روی دکمه کلیک کنید معلول .

توجه! این تغییر پس از اعمال مجدد سیاست امنیتی محلی اعمال می شود. به این معنا که آن را روشن کنیدو مرورگر خود را مجددا راه اندازی کنید .

CryptoPro TLS SSL

CryptoPro را به روز کنید

در مرحله بعد، یکی از گزینه های حل مشکل به روز رسانی CryptoPro و همچنین تنظیم منبع است. در این مورد، این کار با پرداخت الکترونیکی است. بنابراین، ما به مرکز صدور گواهینامه می رویم تا به طور خودکار منبع را پیکربندی کنیم. ما پلتفرم های تجارت الکترونیک را به عنوان منبع انتخاب می کنیم.

پس از شروع تنظیم خودکار محل کار، تنها چیزی که باقی می ماند همین است صبر کنید تا مراحل تکمیل شود، سپس مرورگر را دوباره بارگیری کنید. اگر نیاز به وارد کردن یا انتخاب یک آدرس منبع دارید، آدرس مورد نیاز خود را انتخاب کنید. همچنین ممکن است لازم باشد پس از اتمام نصب، رایانه خود را مجدداً راه اندازی کنید.

اخبار کامپیوتر، نقد و بررسی، راه حل مشکلات کامپیوتر، بازی های کامپیوتری، درایورها و دستگاه ها و سایر برنامه های کامپیوتری." title="programs, drivers, مشکلات با کامپیوتر, بازی ها" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

راه اندازی SSL TLS

تنظیمات شبکه

گزینه دیگری می تواند باشد غیرفعال کردن NetBIOS از طریق TCP/IP- در ویژگی های اتصال قرار دارد.

ثبت DLL

Command Prompt را به عنوان Administrator اجرا کنید و دستور را وارد کنید regsvr32 cpcng. برای یک سیستم عامل 64 بیتی، باید از همان regsvr32 استفاده کنید که در syswow64 است.

جلسه SMTP بین سرور و مشتری به طور پیش فرض رمزگذاری نشده است. این امکان رهگیری بسته ها و به دست آوردن اطلاعات محرمانه ارسال شده در متن واضح را فراهم می کند (مگر اینکه از روش های رمزگذاری دیگری استفاده شود).

استفاده از پروتکل TLS به ما کمک می کند تا این وضعیت را اصلاح کنیم، که تضمین می کند:

1. محرمانه بودن (تعامل بین مشتری و سرور به صورت رمزگذاری شده رخ می دهد
جلسه)؛

2. تمامیت (نفوذ بدون توجه به یک جلسه غیرممکن است؛ خرابی داده ها بلافاصله شناسایی می شود).

3. اطمینان احراز هویت (کاربر و سرور می توانند گواهی های تایید شده توسط یک مرجع صدور گواهینامه (CA) را مبادله کنند.

TLS چگونه کار می کند

پروتکل TLS فقط ارتباط بین دو میزبان را رمزگذاری می کند. یک جلسه با استفاده از این پروتکل به صورت زیر انجام می شود:

1. کلاینت با سرور ارتباط برقرار می کند.

2. هاست ها ارتباط را با استفاده از پروتکل SMTP آغاز می کنند.

3. سرور با استفاده از کلمه کلیدی STARTTLS، استفاده از TLS را در تعاملات SMTP پیشنهاد می کند.

4. اگر مشتری بتواند از TLS استفاده کند، با کلمه کلیدی STARTTLS به سرور پاسخ می دهد.

5. گواهی عمومی سرور با کلید خصوصی امضا شده و برای مشتری ارسال می شود.

6. مشتری صحت گواهی سرور را با بررسی امضای مرجع صدور گواهی با امضای عمومی مرجع صدور گواهینامه که در فروشگاه ریشه دارد، تأیید می کند.

7. کلاینت گواهی سرور را با رشته ای که در آن قرار دارد بررسی می کند نام متداول نام دامنه سرور

8. سرویس گیرنده و سرور حالت رمزگذاری داده ها را فعال می کنند.

9. هاست ها داده ها را تبادل می کنند.

10. جلسه به پایان می رسد.

بیایید شروع به ایجاد گواهی برای سرور ایمیل کنیم server.mydomain.ru ، که Postfix به عنوان MTA روی آن عمل می کند و Dovecot نقش MDA را انجام می دهد.

ایجاد یک گواهی جدید آسان است - فقط اسکریپت را اجرا کنید و چند دستور را اجرا کنید.

بیایید 2 فایل ایجاد کنیم - کلید مخفی سرور و یک درخواست امضای گواهی با دستور:

# openssl req -nodes -newkey rsa:2048 -keyout server.key -out server.csr

جایی که سرور نام سرور است (در این مورد می تواند هر چیزی باشد)

فیلدها را پر کنید (فشردن "Enter" مقدار پیش فرض را باقی می گذارد):

نام کشور (کد 2 حرفی): RU
نام ایالت یا استان (نام کامل): اورنبورگ
نام محل (به عنوان مثال، شهر): اورسک
نام سازمان (به عنوان مثال، شرکت): شرکت من
نام واحد سازمانی (به عنوان مثال، بخش): آی تی
نام مشترک (به عنوان مثال، نام شما): server.mydomain.ru
آدرس ایمیل: postmaster @mydomain.ru
رمز عبور چالشی:
نام شرکت اختیاری:

نشان دادن در میدان بسیار مهم است نام متداول نام میزبان کاملا واجد شرایط (FQDN) مربوط به رکوردهای DNS از انواع MX و A

ما از این فرصت برای دریافت گواهینامه های COMODO رایگان با مدت اعتبار 90 روز در سرویس FreeSSL.su استفاده می کنیم. این گواهینامه ها به راحتی توسط همه مرورگرها و کلاینت های ایمیل شناسایی می شوند.

در صفحه اصلی، تمام فیلدهای مورد نیاز را پر کنید، در ستون "انتخاب نرم افزار برای استفاده"، "سایر" را انتخاب کنید. در زمینه CSRمحتویات فایل تولید شده قبلی را وارد کنید server.csr .

پس از ارسال درخواست و تایید آن، یک آرشیو دریافت می کنیم certs.zip ، حاوی فایل های زیر است:

1. AddTrustExternalCARoot.crt؛
2. server_mydomain_ru.crt;
3. ComodoUTNSGCCA.crt;
4. EssentialSSLCA_2.crt;
5. UTNAddTrustSGCCA.crt

فایل server_mydomain_ru.crt گواهی مورد نیاز است. با فایل های باقی مانده چه کنیم؟ بیایید این کار را انجام دهیم - محتویات آنها را در یک فایل ترکیب کنید ca.txt (گواهی CA قابل اعتماد سی.ای. ) به ترتیب زیر:

1. EssentialSSLCA_2.crt
2. ComodoUTNSGCCA.crt
3. UTNAddTrustSGCCA.crt
4. AddTrustExternalCARoot.crt

فایل دریافتی ca.txt در ادامه استفاده خواهیم کرد:

بیایید سرور ایمیل خود را پیکربندی کنیم. برای انجام این کار، تغییراتی در تنظیمات ایجاد می کنیم کبوترخانه و پسوند .

برای کبوترخانه:

dovecot.conf:

پروتکل ها = pop3 imap imaps pop3s

پروتکل pop3 (
گوش کن = *:110
ssl_listen = *:995
...........
}

تصویر پروتکل (
گوش کن = *:143
ssl_listen = *:993
...........
}

disable_plaintext_auth = خیر # ما ورود به روش باز را ممنوع نمی کنیم
ssl = بله # پشتیبانی ssl را فعال کنید
ssl_cert_file = /etc/ssl/certs/dovecot.pem # فایل گواهی،
# مجوزها را روی آن تنظیم کنید: root:root 0444
ssl_key_file = /etc/ssl/private/dovecot.pem # کلید سرور،
# توصیه می شود مجوزها را تنظیم کنید: root:root 0400

ssl_verify_client_cert = بله # اعتبار گواهی های مشتری را بررسی کنید
ssl_parameters_regenerate = 1 # پارامترها را هر ساعت بازسازی کنید
# (مقدار "0" بازسازی را غیرفعال می کند)
ssl_cipher_list = ALL:!LOW:!SSLv2 # رمز SSL
verbose_ssl = بله # log خطاهای ssl در گزارش

بدست آوردن ssl_cert_file باید محتویات فایل ها را ادغام کرد server_mydomain_ru.crt و ca.txt ، نام فایل به دست آمده را به dovecot.pem تغییر دهید. در نقش ssl_key_file فایل کلید مخفی سرور تغییر نام یافته ظاهر می شود server.key ، قبلا تولید شده است.

برای postfix:

main.cf

Smtp_use_tls = بله # اگر سرور راه دور پشتیبانی از TLS را گزارش کند، از TLS استفاده کنید
smtpd_use_tls = بله # به مشتریان در مورد پشتیبانی TLS اطلاع دهید
smtpd_tls_auth_only = بدون # از احراز هویت SMTP برای بیش از اتصالات TLS استفاده کنید
smtp_tls_note_starttls_offer = بله # ثبت نام سرور،
# صدور یک پیام STARTTLS که پشتیبانی TLS برای آن فعال نیست

smtpd_tls_CAfile = /etc/ssl/ca.txt # گواهی قابل اعتماد
smtpd_tls_key_file = /etc/ssl/smtpd.key # کلید خصوصی سرور
smtpd_tls_cert_file = /etc/ssl/smtpd.crt # گواهی سرور

smtpd_tls_loglevel = 2 # پرحرفی پیام‌های فعالیت TLS
smtpd_tls_received_header = بله # درخواست سرصفحه پیام با اطلاعات
# درباره نسخه پروتکل و الگوریتم رمزگذاری
smtpd_tls_session_cache_timeout = 3600 ثانیه # زمان ذخیره داده ها در حافظه پنهان
# جلسه TLS جاری در نظر گرفته می شود
tls_random_source = dev:/dev/urandom # نام دستگاه تولید کننده اعداد شبه تصادفی (PRNG)

برای اینکه Postfix اتصالات TLS را روی یک پورت خاص (465/SMTPS، نه 25/SMTP) در فایل بپذیرد master.cf شما باید خطوط را از کامنت بردارید:

master.cf

Smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=بله
-o smtpd_sasl_auth_enable=بله
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

postfix و dovecot را دوباره راه اندازی کنید، سیاهه ها را بررسی کنید.

فراموش نکنید که پورت های لازم را در فایروال باز کنید: 993 (imaps)، 995 (pop3s)، 465 (smtps)

سرور ایمیل ما آماده کار با آن است TLS !

برای اینکه کلاینت های ایمیل به درستی از قابلیت های سرور جدید استفاده کنند، باید تنظیمات پروتکل را روی آن تنظیم کنید FQDN سرور، همانطور که در هنگام کلید و درخواست مشخص شد و نوع امنیت اتصال را انتخاب کنید SSL/TLS و مرتبط پورت ها.

در پایان دوره اعتبار 90 روزه گواهینامه ها، باید با استفاده از همان فایل برای درخواست، همین رویه را دنبال کنید. server.csr ، بنابراین باید یک کپی از آن را در مکانی امن نگهداری کنید. کل فرآیند به روز رسانی بیش از 10 دقیقه طول نخواهد کشید!

TLS جانشین SSL است، پروتکلی که اتصال مطمئن و ایمن را بین گره‌ها در اینترنت فراهم می‌کند. در توسعه کلاینت های مختلف، از جمله مرورگرها و برنامه های کاربردی سرویس گیرنده-سرور استفاده می شود. TLS در اینترنت اکسپلورر چیست؟

کمی در مورد تکنولوژی

تمامی شرکت ها و سازمان هایی که درگیر تراکنش های مالی هستند از این پروتکل برای جلوگیری از شنود بسته ها و دسترسی غیرمجاز توسط متجاوزان استفاده می کنند. این فناوری برای محافظت از اتصالات مهم در برابر حملات متجاوزان طراحی شده است.

اساسا، سازمان های آنها از یک مرورگر داخلی استفاده می کنند. در برخی موارد - موزیلا فایرفاکس.

فعال یا غیرفعال کردن یک پروتکل

گاهی اوقات دسترسی به برخی از سایت ها غیرممکن است زیرا پشتیبانی از فناوری های SSL و TLS غیرفعال است. یک اعلان در مرورگر ظاهر می شود. بنابراین، چگونه می توانید پروتکل ها را فعال کنید تا بتوانید همچنان از ارتباطات ایمن لذت ببرید؟
1. کنترل پنل را از طریق Start باز کنید. راه دیگر: Explorer را باز کنید و روی نماد چرخ دنده در گوشه سمت راست بالا کلیک کنید.

2. به بخش «گزینه های مرورگر» بروید و بلوک «پیشرفته» را باز کنید.

3. کادرهای کنار «استفاده از TLS 1.1 و TLS 1.2» را علامت بزنید.

4. برای ذخیره تغییرات خود روی OK کلیک کنید. اگر می خواهید پروتکل ها را غیرفعال کنید، که به شدت توصیه نمی شود، به خصوص اگر از بانکداری آنلاین استفاده می کنید، تیک همان موارد را بردارید.

تفاوت بین 1.0 و 1.1 و 1.2 چیست؟ 1.1 تنها نسخه کمی بهبود یافته از TLS 1.0 است که تا حدی کاستی های خود را به ارث برده است. 1.2 امن ترین نسخه پروتکل است. از طرف دیگر، همه سایت ها نمی توانند با فعال بودن این نسخه پروتکل باز شوند.

همانطور که می دانید پیام رسان اسکایپ مستقیماً به عنوان یک جزء ویندوز به اینترنت اکسپلورر متصل می شود. اگر پروتکل TLS را در تنظیمات علامت نداشته باشید، ممکن است مشکلاتی با Skype ایجاد شود. این برنامه به سادگی قادر به اتصال به سرور نخواهد بود.

اگر پشتیبانی TLS در تنظیمات اینترنت اکسپلورر غیرفعال باشد، همه عملکردهای مربوط به شبکه برنامه کار نخواهند کرد. علاوه بر این، ایمنی داده های شما به این فناوری بستگی دارد. در صورت انجام تراکنش های مالی در این مرورگر (خرید در فروشگاه های آنلاین، انتقال پول از طریق بانکداری آنلاین یا کیف پول الکترونیکی و غیره) از آن غافل نشوید.