انواع رمزنگاری‌های SSL/TLS در Cloudflare – سامانه آموزش آفلاین جاب‌استودیو

مقدمه

همانطور که شاید بدانید، کلادفلر برای مراقبت از اتصال‌های سرورهای مشتری‌هایش (Origin Servers)، چهار حالت رمزنگاری SSL/TLS را در اختیار کاربرانش قرار می‌دهد که در این مقاله‌ی کوتاه به توضیح هر کدام خواهیم پرداخت.

بدون رمزنگاری (Off - Not Secure)

همانطور که از عنوان پیداست، هیچ رمزنگاری‌ای در حالت وجود ندارد و تمامی درخواست‌ها به صورت HTTP رد و بدل می‌شوند. در این حالت، در صورتی که شما ادمین سروری هستید که به کلادفلر متصل است، کاربران هنگام مراجعه به سایت شما پیامی مبنی بر ناامن بودن اتصال در مرورگر خود دریافت خواهند کرد، زیرا در ین حالت از هیچ گواهینامه‌ی امنیتی SSL/TLS استفاده نمی‌شود و حتی اگر آن‌ها نصب کرده باشید خاموش می‌شوند.

حالت انعطاف‌پذیر (Flexible)

در حالت انعطاف‌پذیر، ارتباط بین کلادفلر و بازدیدکنندگان سایت امن است و مرورگرها نیز پیام اتصال ناامن به کاربران نمایش نخواهند داد، اما اتصال بین سرور و کلادفلر کماکان ناامن و از طریق پروتکل HTTP خواهد بود.

در این حالت سایت شما فقط تا اندازه‌ای امن شده است و تنها زمانی مفید است که شما به هر دلیلی نمی‌توانید روی سرور خود (Original Server) گواهی امنیتی SSL نصب کنید. مهم‌ترین نکته‌ای که در این شرایط باید در نظر داشته باشید آن است که اتصال امن در این حالت فقط از طریق پورت ۴۴۳ می‌تواند برقرار باشد و اگر سایت شما روی پورت دیگری اتصال امن داشته باشد، کلادفلر به‌صورت خودکار آن را به حالت Full Mode تغییر خواهد داد.

حالت امنیت کامل (Full)

در این حالت، ارتباط بین کلادفلر و بازدیدکنندگان سایت امن و از طریق پروتکل HTTPS بوده و اتصال بین کلادفلر و سرور شما مطابق با درخواست کاربر خواهد بود. برای مثال، اگر کاربر با پروتکل HTTP درخواست ارسال کرده باشد، اتصال کلادفلر تا سرور از طریق همان پروتکل HTTP برقرار خواهد شد و بالعکس.

این حالت برای زمانی مناسب است که شما می‌توانید روی سرور خود گواهینامه‌های SSL نصب کنید اما آن گواهینامه‌ها از مراجع معتبر صادر نشده‌اند و به اصطلاح Publically Trusted نیستند. همانطور که می‌دانید مرورگرهای وب به‌صورت پیش‌فرض به برخی از منابع صادرکننده‌ی گواهینامه‌های SSL اعتماد دارند و این شرکت‌ها از نظر بین‌المللی معتبر هستند. گواهینامه‌های SSL را هر کسی می‌تواند صادر کند، حتی خود شما. گواهینامه‌هایی که توسط خود شما یا افراد و منابع غیرمعتبر دیگر صادر می‌شوند را Self Signed می‌نامند به این معنی که منبع موثقی آن‌ها را تایید و امضا نکرده است. اما گواهینامه‌های معتبر، قسمتی از یک رشته‌گواهینامه‌های معتبر هستند که حداقل دو قسمت دیگر نیز دارند که معمولا به‌صورت پیش‌فرض و از قبل در مرورگرها و سیستم‌عامل سرور شما نصب شده‌اند: گواهینامه‌های SSL میانی و گواهینامه‌های SSL ریشه.

بنابراین زمانی که شما به گواهینامه‌های معتبر و Publically Trusted دسترسی ندارید و فقط می‌توانید روی سرور خود گواهینامه‌های Self Signed را نصب کنید، می‌توانید از حالت امن در کلادفلر بهره ببرید.

اگر به گواهینامه‌های معتبر دسترسی ندارید و قصد نصب کردن گواهینامه‌های Self Signed را هم روی سرور خود ندارید، می‌توانید از گواهینامه‌های رایگان کلادفلر (Origin CA Certificates) استفاده کنید. دقت داشته باشید که در صورت نداشتن هیچ گواهینامه‌ی SSL روی سرور و فعال کردن حالت Full در کلادفلر، بازدیدکنندگان سایت شما پیام خطای 525 را دریافت خواهند کرد (Error 525: SSL handshake failed).

همچنین در این حالت، گواهینامه‌ای که توسط سرور شما ارائه می‌شود به‌هیچ‌وجه بررسی نخواهد شد و از این بابت امنیت سرور شما کاملا حفظ نشده است. همانطور که گفته شد، این گواهینامه‌ها می‌توانند Self Signed و یا حتی باطل‌شده باشند و اتصال شما توسط یک عامل مخرب قابل سرقت است و عامل مخرب می‌تواند در ادامه‌ی اتصال گواهینامه‌ی موردنظر خود را به کاربر ارائه کند که توسط کلادفلر بررسی نمی‌شود.

حالت امنیت کامل سخت‌گیرانه (Strict Full)

در این حالت کلادفلر تمامی اتصالات را همانند حالت قبلی (Full Mode) امن می‌کند با این تفاوت که ارتباط بین سرور و کلادفلر نیز حتما باید امن باشد.

اگر شما گواهینامه‌ی SSL/TLS معتبر و Publically Trusted را روی سرور خود نصب کرده‌اید، دیگر به گواهینامه‌های Cloudflare Origin CA نیازی ندارید و کلادفلر تمامی ارتباطات شما را امن خواهد کرد. در این صورت، اگر کاربر درخواست خود را از طریق پروتکل HTTP ارسال نماید نیز این درخواست توسط کلادفلر به HTTPS تغییر خواهد کرد.

دقت داشته باشید که برخلاف حالت‌های دیگر، در حالت سخت‌گیرانه گواهی نصب‌شده روی سرور شما باید حتما معتبر و پابلیک‌تراست باشد.

پیشنهاد ما و کلادفلر به شما، همواره گزینه‌ی آخر است: Strict Full Mode.

سخن تکمیلی: انواع گواهینامه‌ها در کلادفلر

برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.

گواهینامه‌های لبه (Edge Certificates) و گواهینامه‌های اصلی (Origin Certificates)

فرض کنید که برای سایت خود یک گواهینامه‌ی پابلیک‌تراست را از یک منبع صادرکننده‌ی معتبر خریداری و یکی از حالت‌های امن کلادفلر را نیز فعال کرده‌اید، اما هنگام مشاهده‌ی سایت به‌جای گواهینامه‌ی خریداری‌شده‌ی شما، یک گواهی‌نامه‌ی حداکثر سه‌ماهه‌ نمایش داده می‌شود (معمولا Let’s Encrypt یا گوگل). چرا؟

همانطور که می‌دانید برخی شرکت‌های معتبر گواهینامه‌های رایگان چند ماهه صادر می‌کنند که هر کسی می‌تواند آن‌ها را تهیه و روی سرور خود نصب کند. اما چرا گواهینامه‌ی خریداری‌شده‌ی شما نمایش داده نمی‌شود؟

برای توضیح این موقعیت، باید تفاوت دو نوع گواهینامه را بررسی کنیم: گواهینامه‌هایی که برای ارتباط بین بازدیدکنندگان سایت و کلادفلر استفاده می‌شوند که به آن‌ها گواهینامه‌های لبه (Edge Certificate) گفته می‌شود، و گواهینامه‌های اصلی (Origin Certificates) که برای امن‌کردن ارتباط بین سرورهای کلادفلر و سرور شما استفاده می‌شوند.

هنگامی که شما یک گواهینامه‌ی خریداری‌شده را در سرور خود فعال می‌کنید، این گواهینامه برای ارتباط بین کلادفلر و سرور شما استفاده می‌شود و کاربران این گواهینامه را نمی‌بینند. اما برای ارتباط بین کلادفلر و کاربران چه اتفاقی رخ می‌دهد؟

کلادفلر با همکاری شرکت‌های دیگر که گواهینامه‌های رایگان صادر می‌کنند (معمولا Let’s Encrypt) یک گواهینامه‌ی رایگان سه‌ماهه به‌صورت خودکار برای شما صادر کرده و آن را برای امن‌کردن ارتباط بین سرورهای خود و بازدیدکنندگان سایت شما استفاده می‌کند.

اگر بخواهید از گواهینامه‌ی خود برای ارتباط بین کلادفلر و بازدیدکنندگان سایت خود استفاده کنید، راه‌حل چیست؟ کلادفلر برای مشتری‌هایی که از پلن رایگان استفاده می‌کند، محدودیت ایجاد کرده است و شما نمی‌توانید برای ارتباط کلادفلر با سرورهای اصلی از گواهینامه‌ی خریداری‌شده‌ی خود استفاده کنید.

برای استفاده از کلادفلر و گواهینامه‌ی خریداری‌شده‌ی خود، حتما باید یک پلن پولی کلادفلر را فعال کنید تا به Advanced Certificate Manager دسترسی داشته باشید. سپس در قسمت گواهینامه‌های لبه در پنل کاربری کلادفلر، می‌توانید گواهینامه‌ی موردنظر خود را بارگذاری و فعال کنید. لازم به یادآوری است که از همان گواهی که سرورهای اصلی استفاده می‌کنند می‌توانید برای سرورهای لبه نیز بهره ببرید، و تنها نکته‌ی قابل توجه آن است که گواهی خریداری‌شده‌ی شما باید تمای ساب‌دامین‌های مورد استفاده‌ی شما را نیز پوشش دهد.

توجه داشته باشید که در صورت خاموش کردن ابر کلادفلر در قسمت مدیریت DNS، گواهینامه‌ی خریداری‌شده‌ی شما فعال شده و می‌توانید از آن استفاده کنید؛ برخی از ضعف‌های این انتخاب، فاش شدن آی‌پی اصلی سرور شما و عدم بهره‌مندی از امکانات کلادفلر (مانند کش) خواهد بود.

گواهینامه‌های Origin CA کلادفلر

این گواهینامه‌ها با گواهینامه‌های معتبر و پابلیک‌تراست متفاوت‌اند: گواهینامه‌های معتبر را تمامی مرورگرها به رسمیت می‌شناسند و مسئول امن کردن ارتباطات هستند، اما گواهینامه‌های رایگان کلادفلر پابلیک‌تراست نیستند، مرورگرها آن‌ها را نمی‌شناسند و تنها در شبکه‌ی داخلی کلادفلر برای امن کردن ارتباط بین سرور شما و سرورهای کلادفلر قابل استفاده هستند. بنابراین اگر یک گواهینامه‌ی معتبر SSL دارید، نیازی به نصب گواهینامه‌های Origin CA کلادفلر نخواهید داشت.

بررسی گواهینامه‌ی سایت شما

اگر قصد بررسی گواهینامه‌های وب‌سایت خود را دارید و می‌خواهید وضعیت آن‌ها را مشاهده کنید می‌توانید از ابزارهای آنلاین مختلفی بهره ببرید که دو مورد از معتبرترین آن‌ها، دیجی‌سرت (این لینک +) و اس‌اس‌ال‌شاپر (این لینک +) هستند.