پروتکل SSL/TLS چیست؟
پروتکل TLS (Transport Layer Security) تضمینکنندهی برقراری ارتباطی امن و رمزنگاریشده بین کلاینت و سرور در یک شبکهی کامپیوتری است که در ارتباطات مختلفی مانند ایمیلها، پیامرسانها و … مورد استفاده قرار میگیرد. این پروتکل با ایجاد یک لایهی امنیتی در HTTPS مسیر ارتباطی میان کاربر و وبسرور را ایمن میکند. TLS جایگزین نسخه قدیمی و منسوخشدهی SSL (Secured Socket Layer) است. به همین دلیل با عنوان کلیتر SSL/TLS نیز شناخته میشود.
TLS به کمک دو کلید عمومی و خصوصی در هر ارتباط، یک Session Key تولید میکند. این کلید منحصر به یک ارتباط است و برای رمزنگاری تمام پیامهای ردوبدل شده در آن Session مورد استفاده قرار میگیرد. کلید نشست بهازای کاربران و نشستهای مختلف تغییر میکند، بنابراین ارتباط هر کاربر در هر زمان بهوسیلهی کلیدی منحصربهفرد رمزنگاری میشود و خطر شنود و حملاتی مانند MITM (Man In The Middle Attack) را از بین میبرد. فرآیندی که در آن کلید نشست تولیدشده و گواهینامهها اعتبارسنجی میشوند، TLS Handshake نام دارد.
در حالت کلی، وقتی ترافیک وب با TLS رمزگذاری میشود، کاربران در مرورگر و در ابتدای URL مورد نظر یک قفل سبز رنگ را مشاهده میکنند و این بدان معنی است که ارتباط میان بازدیدکننده و سرورهای وبسایت بهشکل امن رمزنگاری شدهاند و قابل شنود و یا تغییر نیست.
تفاوت نسخههای مختلف TLS
بهمرور زمان قابلیتهای امنیتی و استانداردهای رمزنگاری پیشرفتهتری به نسخههای جدید TLS اضافه شدهاند. از ژانویه ۲۰۱۸ نسخهی TLS 1.2 یکی از الزامهای اصلی برای انطباق با استاندارد PCI (Payment Card Industry) محسوب میشود و برای تطابق با این استاندارد لازم است تا دستکم نسخهی پشتیبانیشده بهوسیلهی سایت، برابر ۱.۲ باشد. همینطور نسخهی جدیدتر بهنام TLS 1.3 که شامل بهبودهای بیشتری در زمینهی امنیت و همچنین افزایش سرعت است، از سمت کمیتهی IETF در ماه می سال ۲۰۱۸ معرفی شد.
میتوانید در شکل زیر تفاوت عملکردی بین نسخهی ۱.۲ و ۱.۳ و تاثیر آن در بهبود سرعت را بهوضوح مشاهده کنید. با کمتر شدن تعداد رفت و برگشت پیام در نسخهی ۱.۳ زمان لازم برای TLS Handshake از حدود ۳۰۰ میلی ثانیه به حدود ۲۰۰ میلی ثانیه کاهش یافته است.
مقایسه TLS 1.2 و TLS 1.3- منبع: https://medium.com/@vanrijn/what-is-new-with-tls-1-3-e991df2caaac
کدام نسخهی TLS برای وبسایت شما مناسب است؟
از آنجاییکه بعضی مرورگرها از نسخههای جدید TLS، یعنی ۱.۲ و ۱.۳ پشتیبانی نمیکنند، ممکن است بسته به نوع کسبوکار یا الزامات امنیتی وبسایتتان، به فعالسازی و استفاده از نسخههای متفاوتی TLS نیاز داشته باشید.
در حال حاضر، نسخههای TLS 1.0 و TLS 1.1 منقضی شدهاند. با اینحال، اگر بازدیدکنندههای وبسایتتان یا اپلیکیشنهایی که به دامنهی شما متصل میشوند هنوز از این نسخههای قدیمیتر استفاده میکنند و شما قصد دارید پشتیبانی از آنها را ادامه دهید، شاید لازم باشد حالت پیشفرض این تنظیم را در CDN آروان تغییر ندهید.
پیشنهاد ابر آروان استفاده از دستکم نسخهی TLS 1.2 برای وبسایت شما است، تا امنیت در برقراری ارتباط، بهخوبی حفظ شود.
تعیین کمترین نسخهی TLS در پنل CDN ابر آروان
شما میتوانید در پنل کاربریتان با انتخاب کمترین نسخهی TLS مجاز در قسمت تنظیمات HTTPS شبکه توزیع محتوا، تعیین کنید که بازدیدکنندههای وبسایتتان با چه نسخهای از پروتکل TLS به وبسایتتان متصل شوند. با انتخاب یک نسخه TLS، شبکهی توزیع محتوا ابر آروان برقراری ارتباط با سایتتان را فقط با همان نسخهی TLS و نسخههای بالاتر ممکن میکند؛ بنابراین، درخواستهایی که با TLS نسخهی پایینتر از نسخهی انتخابی ارسال شوند، مسدود خواهند شد.
با انتخاب کمترین نسخه، میتوان اطمینان داشت که همهی نسخههای بعدی و جدیدتر پروتکل نیز پشتیبانی شوند. TLS 1.0 نسخهای است که ابر آروان بهشکل پیشفرض برای همهی مشتریانی که ارتباط HTTPS را فعال کردهاند، بهعنوان کمترین نسخهی TLS اعمال میکند. همینطور باید بدانید که فعالسازی HTTPS در بخش CDN از طریق بارگذاری گواهینامه در پنل کاربری یا دریافت سرتیفیکیت رایگان ابر آروان امکانپذیر است. به این ترتیب، ابر آروان درخواستهای رمزگذاریشده با تمام نسخههای TLS بیشتر از ۱.۰ را نیز میپذیرد.
با استفاده از ابزارهایی مانند SSL Labs که تنظیمات SSL/TLS را بررسی میکنند، میتوانید رتبهی امنیتی سرتیفیکیت و وبسایت خود را بررسی کنید. در شکل زیر نمونهی رتبهی امنیتی برای سایتی که حداقل نسخه TLS آن برابر 1.3 است را مشاهده میکنید.
همچنین، تصویر زیر این گزارش را برای دامنهای که حداقل نسخهی TLS مجاز در آن برابر 1.2 قرار داده شده است، نشان میدهد.
در نظر داشته باشید که تنظیمات SSL/TLS و سرتیفیکیتهای HTTPS در حالتی روی دامنهی شما اعمال میشوند که نماد ابر رکوردهای DNS روشن باشد و ترافیک از سرورهای لبه CDN عبور کند. زمانیکه فقط از سرویس DNS استفاده میشود، تنظیمات HTTPS از روی سرورهای اصلی اعمال خواهند شد.
چرا با وجود امنیت بالاتر، ابر آروان نسخهی پیشفرض TLS را برای همهی وبسایتها روی نسخهی 1.3 قرار نمیدهد؟
با وجود اینکه نسخهی جدید TLS نسبت به نسخههای قدیمیتر مزیتهای بسیاری مانند بهبود قابلیتهای امنیتی و سرعت برقراری ارتباط دارد، همچنان بسیاری از مرورگرها و سیستمعاملهای قدیمی از این پروتکل پشتیبانی نمیکنند. بنابراین اگر نسخهی TLS 1.3 برای همهی وبسایتها بهشکل پیشفرض فعال شود، برقراری ارتباط با نسخههای قدیمیتر محدود میشود و ارتباط بسیاری از کاربران که از تجهیزات قدیمیتر استفاده میکنند، دچار مشکل خواهد شد.
در شکل زیر نشان داده شده است که هر مرورگر چه نسخهای از پروتکل TLS 1.3 را پشتیبانی میکند.
جمعبندی
با مراجعه به قسمت تنظیمات HTTPS در بخش CDN پنل کاربری ابر آروان، میتوانید کمترین نسخهی TLS مورد نظر خود را فعال کنید. بدیهی است که نسخههای بالاتر دارای امنیت و سرعت بیشتری هستند. اما توجه کنید که کاربران شما باید از مرورگرها یا سیستمعاملهایی استفاده کنند که امکان پشتیبانی از نسخههای جدید را داشته باشند.