تعیین حداقل نسخه TLS برای تنظیمات HTTPS در CDN ابر آروان

پروتکل SSL/TLS چیست؟

پروتکل TLS (Transport Layer Security) تضمین‌کننده‌ی برقراری ارتباطی امن و رمزنگاری‌شده بین کلاینت و سرور در یک شبکه‌ی کامپیوتری است که در ارتباطات مختلفی مانند ایمیل‌ها، پیام‌رسان‌ها و … مورد استفاده قرار می‌گیرد. این پروتکل با ایجاد یک لایه‌ی امنیتی در HTTPS مسیر ارتباطی میان کاربر و وب‌سرور را ایمن می‌کند. TLS جایگزین نسخه قدیمی و منسوخ‌شده‌ی SSL (Secured Socket Layer) است. به همین دلیل با عنوان کلی‌تر SSL/TLS نیز شناخته می‌شود.

TLS به کمک دو کلید عمومی و خصوصی در هر ارتباط، یک Session Key تولید میکند. این کلید منحصر به یک ارتباط است و برای رمزنگاری تمام پیامهای رد‌وبدل شده در آن Session مورد استفاده قرار میگیرد. کلید نشست به‌ازای کاربران و نشستهای مختلف تغییر میکند، بنابراین ارتباط هر کاربر در هر زمان به‌وسیله‌ی کلیدی منحصربه‌فرد رمزنگاری میشود و خطر شنود و حملاتی مانند MITM (Man In The Middle Attack) را از بین می‌برد. فرآیندی که در آن کلید نشست تولیدشده و گواهی‌نامه‌ها اعتبارسنجی می‌شوند، TLS Handshake نام دارد. 

در حالت کلی، وقتی ترافیک وب با TLS رمزگذاری میشود، کاربران در مرورگر و در ابتدای URL مورد نظر یک قفل سبز رنگ را مشاهده میکنند و این بدان معنی است که ارتباط میان بازدیدکننده و سرورهای وبسایت به‌شکل امن رمزنگاری شده‌اند و قابل شنود و یا تغییر نیست. 

 

تفاوت نسخه‌های مختلف TLS

به‌مرور زمان قابلیت‌های امنیتی و استانداردهای رمزنگاری پیشرفته‌تری به نسخه‌های جدید TLS اضافه شده‌اند. از ژانویه ۲۰۱۸ نسخه‌ی TLS 1.2 یکی از الزام‌های اصلی برای انطباق با استاندارد PCI (Payment Card Industry) محسوب می‌شود و برای تطابق با این استاندارد لازم است تا دست‌کم نسخه‌ی پشتیبانی‌شده به‌وسیله‌ی سایت، برابر ۱.۲ باشد. همین‌طور نسخه‌ی جدیدتر به‌نام TLS 1.3 که شامل بهبودهای بیشتری در زمینه‌ی امنیت و همچنین افزایش سرعت است، از سمت کمیته‌ی IETF در ماه می سال ۲۰۱۸ معرفی شد. 

می‌توانید در شکل زیر تفاوت عملکردی بین نسخه‌ی ۱.۲  و ۱.۳ و تاثیر آن در بهبود سرعت را به‌وضوح مشاهده کنید. با کم‌تر شدن تعداد رفت و برگشت پیام در نسخه‌ی ۱.۳ زمان لازم برای TLS Handshake از حدود ۳۰۰ میلی ثانیه به حدود ۲۰۰ میلی ثانیه کاهش یافته است. 

مقایسه TLS 1.2 و TLS 1.3

مقایسه TLS 1.2 و TLS 1.3- منبع: https://medium.com/@vanrijn/what-is-new-with-tls-1-3-e991df2caaac

 

کدام نسخه‌ی TLS برای وب‌سایت شما مناسب است؟

از آن‌جایی‌که بعضی مرورگرها از نسخه‌های جدید TLS، یعنی ۱.۲ و ۱.۳ پشتیبانی نمی‌کنند، ممکن است بسته به نوع کسب‌وکار یا الزامات امنیتی وب‌سایت‌تان، به فعال‌سازی و استفاده از نسخه‌های متفاوتی TLS نیاز داشته باشید.

در حال حاضر، نسخههای TLS 1.0 و TLS 1.1 منقضی‌ شده‌اند. با این‌حال، اگر بازدیدکننده‌های وبسایت‌تان یا اپلیکیشنهایی که به دامنه‌ی شما متصل میشوند هنوز از این نسخههای قدیمی‌تر استفاده میکنند و شما قصد دارید پشتیبانی از آنها را ادامه دهید، شاید لازم باشد حالت پیشفرض این تنظیم را در CDN آروان تغییر ندهید. 

پیشنهاد ابر آروان استفاده از دست‌کم نسخه‌ی TLS 1.2 برای وبسایت شما است، تا امنیت در برقراری ارتباط، به‌خوبی حفظ شود. 

 

تعیین کم‌ترین نسخه‌ی TLS در پنل CDN ابر آروان

شما می‌توانید در پنل کاربری‌تان با انتخاب کم‌ترین نسخه‌ی TLS مجاز در قسمت تنظیمات HTTPS شبکه توزیع محتوا، تعیین کنید که بازدیدکننده‌های وب‌سایت‌تان با چه نسخه‌ای از پروتکل TLS به وب‌سایت‌تان متصل شوند. با انتخاب یک نسخه TLS، شبکه‌‌ی توزیع محتوا ابر آروان برقراری ارتباط با سایت‌تان را فقط با همان نسخه‌ی TLS و نسخه‌های بالاتر ممکن می‌کند؛ بنابراین، درخواست‌هایی که با TLS نسخه‌ی پایین‌تر از نسخه‌ی انتخابی ارسال شوند، مسدود خواهند شد.

با انتخاب کم‌ترین نسخه، می‌توان اطمینان داشت که همه‌ی نسخه‌های بعدی و جدیدتر پروتکل نیز پشتیبانی شوند. TLS 1.0 نسخه‌ای است که ابر آروان به‌شکل پیش‌فرض برای همه‌ی مشتریانی که ارتباط HTTPS را فعال کرده‌اند، به‌عنوان کم‌ترین نسخه‌ی TLS اعمال می‌کند. همین‌طور باید بدانید که فعال‌سازی HTTPS در بخش CDN از طریق بارگذاری گواهی‌نامه در پنل کاربری یا دریافت سرتیفیکیت رایگان ابر آروان امکان‌پذیر است. به این ترتیب، ابر آروان درخواست‌های رمزگذار‌ی‌شده با تمام نسخه‌های TLS بیش‌تر از ۱.۰ را نیز می‌پذیرد.

با استفاده از ابزارهایی مانند SSL Labs که تنظیمات SSL/TLS را بررسی می‌کنند، می‌توانید رتبه‌ی امنیتی سرتیفیکیت و وب‌سایت خود را بررسی کنید. در شکل زیر نمونه‌ی رتبه‌ی امنیتی برای سایتی که حداقل نسخه TLS آن برابر 1.3 است را مشاهده می‌کنید.

گزارش SSL Labs روی TLS 1.3

هم‌چنین، تصویر زیر این گزارش را برای دامنه‌ای که حداقل نسخه‌ی TLS مجاز در آن برابر 1.2 قرار داده شده است، نشان می‌دهد.

گزارش SSL Labs روی TLS 1.2

در نظر داشته باشید که تنظیمات SSL/TLS و سرتیفیکیت‌های HTTPS در حالتی روی دامنه‌ی شما اعمال می‌شوند که نماد ابر رکوردهای DNS روشن باشد و ترافیک از سرورهای لبه CDN عبور کند. زمانی‌که فقط از سرویس DNS استفاده می‌شود، تنظیمات HTTPS از روی سرورهای اصلی اعمال خواهند شد.

 

چرا با وجود امنیت بالاتر، ابر آروان نسخه‌ی پیش‌فرض TLS را برای همه‌ی وبسایت‌ها روی نسخه‌ی 1.3 قرار نمی‌دهد؟

با وجود این‌که نسخه‌ی جدید TLS نسبت به نسخه‌های قدیمی‌تر مزیت‌های بسیاری مانند بهبود قابلیت‌های امنیتی و سرعت برقراری ارتباط دارد، هم‌چنان بسیاری از مرورگرها و سیستم‌عامل‌های قدیمی از این پروتکل پشتیبانی نمی‌کنند. بنابراین اگر نسخه‌ی TLS 1.3 برای همه‌ی وب‌سایت‌ها به‌شکل پیش‌فرض فعال شود، برقراری ارتباط با نسخه‌های قدیمی‌تر محدود می‌شود و ارتباط بسیاری از کاربران که از تجهیزات قدیمی‌تر استفاده می‌کنند، دچار مشکل خواهد شد.

در شکل زیر نشان داده شده است که هر مرورگر چه نسخه‌ای از پروتکل TLS 1.3 را پشتیبانی می‌کند.

 

پشتیبانی از TLS 1.3 در مرورگرها

جمع‌بندی

با مراجعه به قسمت تنظیمات HTTPS در بخش CDN پنل کاربری ابر آروان، می‌توانید کم‌ترین نسخه‌ی TLS مورد نظر خود را فعال کنید. بدیهی است که نسخه‌های بالاتر دارای امنیت و سرعت بیش‌تری هستند. اما توجه  کنید که کاربران شما باید از مرورگرها یا سیستم‌عامل‌هایی استفاده کنند که امکان پشتیبانی از نسخه‌های جدید را داشته باشند.