تعیین کم‌ترین نسخه‌ی TLS در CDN ابر آروان

پروتکل SSL/TLS چیست؟

پروتکل TLS (Transport Layer Security) تضمین‌کننده‌ی برقراری ارتباطی امن و رمزنگاری‌شده بین کلاینت و سرور در یک شبکه‌ی کامپیوتری است که در ارتباطات مختلفی مانند ایمیل‌ها، پیام‌رسان‌ها و … مورد استفاده قرار می‌گیرد. این پروتکل با ایجاد یک لایه‌ی امنیتی در HTTPS مسیر ارتباطی میان کاربر و وب‌سرور را ایمن می‌کند. TLS جایگزین نسخه قدیمی و منسوخ‌شده‌ی SSL (Secured Socket Layer) است. به همین دلیل با عنوان کلی‌تر SSL/TLS نیز شناخته می‌شود.

TLS به کمک دو کلید عمومی و خصوصی در هر ارتباط، یک Session Key تولید می‌کند. این کلید منحصر به یک ارتباط است و برای رمزنگاری تمام پیام‌های رد‌وبدل شده در آن Session مورد استفاده قرار می‌گیرد. کلید نشست به‌ازای کاربران و نشست‌های مختلف تغییر می‌کند، بنابراین ارتباط هر کاربر در هر زمان به‌وسیله‌ی کلیدی منحصربه‌فرد رمزنگاری می‌شود و خطر شنود و حملاتی مانند MITM (Man In The Middle Attack) را از بین می‌برد. فرآیندی که در آن کلید نشست تولیدشده و گواهی‌نامه‌ها اعتبارسنجی می‌شوند، TLS Handshake نام دارد. 

در حالت کلی، وقتی ترافیک وب با TLS رمزگذاری می‌شود، کاربران در مرورگر و در ابتدای URL مورد نظر یک قفل سبز رنگ را مشاهده می‌کنند و این بدان معنی است که ارتباط میان بازدیدکننده و سرورهای وب‌سایت به‌شکل امن رمزنگاری شده‌اند و قابل شنود و یا تغییر نیست. 

تفاوت نسخه‌های مختلف TLS

به‌مرور زمان قابلیت‌های امنیتی و استانداردهای رمزنگاری پیشرفته‌تری به نسخه‌های جدید TLS اضافه شده‌اند. از ژانویه ۲۰۱۸ نسخه‌ی TLS 1.2 یکی از الزام‌های اصلی برای انطباق با استاندارد PCI (Payment Card Industry) محسوب می‌شود و برای تطابق با این استاندارد لازم است تا دست‌کم نسخه‌ی پشتیبانی‌شده به‌وسیله‌ی سایت، برابر ۱.۲ باشد. همین‌طور نسخه‌ی جدیدتر به‌نام TLS 1.3 که شامل بهبودهای بیش‌تری در زمینه‌ی امنیت و هم‌چنین افزایش سرعت است، از سمت کمیته‌ی IETF در ماه می سال ۲۰۱۸ معرفی شد. 

می‌توانید در شکل زیر تفاوت عملکردی بین نسخه‌ی ۱.۲  و ۱.۳ و تاثیر آن در بهبود سرعت را به‌وضوح مشاهده کنید. با کم‌تر شدن تعداد رفت و برگشت پیام در نسخه‌ی ۱.۳ زمان لازم برای TLS Handshake از حدود ۳۰۰ میلی ثانیه به حدود ۲۰۰ میلی ثانیه کاهش یافته است. 

مقایسه TLS 1.2 و TLS 1.3- منبع: https://medium.com/@vanrijn/what-is-new-with-tls-1-3-e991df2caaac

کدام نسخه‌ی TLS برای وب‌سایت شما مناسب است؟

از آن‌جایی‌که بعضی مرورگرها از نسخه‌های جدید TLS، یعنی ۱.۲ و ۱.۳ پشتیبانی نمی‌کنند، ممکن است بسته به نوع کسب‌وکار یا الزامات امنیتی وب‌سایت‌تان، به فعال‌سازی و استفاده از نسخه‌های متفاوتی TLS نیاز داشته باشید.

در حال حاضر، نسخه‌های TLS 1.0 و TLS 1.1 منقضی‌ شده‌اند. با این‌حال، اگر بازدیدکننده‌های وب‌سایت‌تان یا اپلیکیشن‌هایی که به دامنه‌ی شما متصل می‌شوند هنوز از این نسخه‌های قدیمی‌تر استفاده می‌کنند و شما قصد دارید پشتیبانی از آن‌ها را ادامه دهید، شاید لازم باشد حالت پیش‌فرض این تنظیم را در CDN آروان تغییر ندهید. 

پیشنهاد ابر آروان استفاده از دست‌کم نسخه‌ی TLS 1.2 برای وب‌سایت شما است، تا امنیت در برقراری ارتباط، به‌خوبی حفظ شود. 

تعیین کم‌ترین نسخه‌ی TLS در پنل CDN ابر آروان

شما می‌توانید در پنل کاربری‌تان با انتخاب کم‌ترین نسخه‌ی TLS مجاز در قسمت تنظیمات HTTPS شبکه توزیع محتوا، تعیین کنید که بازدیدکننده‌های وب‌سایت‌تان با چه نسخه‌ای از پروتکل TLS به وب‌سایت‌تان متصل شوند. با انتخاب یک نسخه TLS، شبکه‌‌ی توزیع محتوا ابر آروان برقراری ارتباط با سایت‌تان را فقط با همان نسخه‌ی TLS و نسخه‌های بالاتر ممکن می‌کند؛ بنابراین، درخواست‌هایی که با TLS نسخه‌ی پایین‌تر از نسخه‌ی انتخابی ارسال شوند، مسدود خواهند شد.

با انتخاب کم‌ترین نسخه، می‌توان اطمینان داشت که همه‌ی نسخه‌های بعدی و جدیدتر پروتکل نیز پشتیبانی شوند. TLS 1.0 نسخه‌ای است که ابر آروان به‌شکل پیش‌فرض برای همه‌ی مشتریانی که ارتباط HTTPS را فعال کرده‌اند، به‌عنوان کم‌ترین نسخه‌ی TLS اعمال می‌کند. همین‌طور باید بدانید که فعال‌سازی HTTPS در بخش CDN از طریق بارگذاری گواهی‌نامه در پنل کاربری یا دریافت سرتیفیکیت رایگان ابر آروان امکان‌پذیر است. به این ترتیب، ابر آروان درخواست‌های رمزگذار‌ی‌شده با تمام نسخه‌های TLS بیش‌تر از ۱.۰ را نیز می‌پذیرد.

با استفاده از ابزارهایی مانند SSL Labs که تنظیمات SSL/TLS را بررسی می‌کنند، می‌توانید رتبه‌ی امنیتی سرتیفیکیت و وب‌سایت خود را بررسی کنید. در شکل زیر نمونه‌ی رتبه‌ی امنیتی برای سایتی که حداقل نسخه TLS آن برابر 1.3 است را مشاهده می‌کنید.

هم‌چنین، تصویر زیر این گزارش را برای دامنه‌ای که حداقل نسخه‌ی TLS مجاز در آن برابر 1.2 قرار داده شده است، نشان می‌دهد.

در نظر داشته باشید که تنظیمات SSL/TLS و سرتیفیکیت‌های HTTPS در حالتی روی دامنه‌ی شما اعمال می‌شوند که نماد ابر رکوردهای DNS روشن باشد و ترافیک از سرورهای لبه CDN عبور کند. زمانی‌که فقط از سرویس DNS استفاده می‌شود، تنظیمات HTTPS از روی سرورهای اصلی اعمال خواهند شد.

چرا با وجود امنیت بالاتر، ابر آروان نسخه‌ی پیش‌فرض TLS را برای همه‌ی وبسایت‌ها روی نسخه‌ی 1.3 قرار نمی‌دهد؟

با وجود این‌که نسخه‌ی جدید TLS نسبت به نسخه‌های قدیمی‌تر مزیت‌های بسیاری مانند بهبود قابلیت‌های امنیتی و سرعت برقراری ارتباط دارد، هم‌چنان بسیاری از مرورگرها و سیستم‌عامل‌های قدیمی از این پروتکل پشتیبانی نمی‌کنند. بنابراین اگر نسخه‌ی TLS 1.3 برای همه‌ی وب‌سایت‌ها به‌شکل پیش‌فرض فعال شود، برقراری ارتباط با نسخه‌های قدیمی‌تر محدود می‌شود و ارتباط بسیاری از کاربران که از تجهیزات قدیمی‌تر استفاده می‌کنند، دچار مشکل خواهد شد.

در شکل زیر نشان داده شده است که هر مرورگر چه نسخه‌ای از پروتکل TLS 1.3 را پشتیبانی می‌کند.

جمع‌بندی

با مراجعه به قسمت تنظیمات HTTPS در بخش CDN پنل کاربری ابر آروان، می‌توانید کم‌ترین نسخه‌ی TLS مورد نظر خود را فعال کنید. بدیهی است که نسخه‌های بالاتر دارای امنیت و سرعت بیش‌تری هستند. اما توجه  کنید که کاربران شما باید از مرورگرها یا سیستم‌عامل‌هایی استفاده کنند که امکان پشتیبانی از نسخه‌های جدید را داشته باشند.