Defaults.Exposed › رفع اشکال‌ها › Modern encryption (TLS version & ciphers)

چطور Modern encryption (TLS version & ciphers) را رفع کنید

Q: من تکنیکی نیستم — آیا میتوانم خودم این را حل کنم؟

نیازی نیست جزئیات فنی را بفهمید. در بیشتر هاستینگهای مدرن این یک یا دو تنظیم است، و رایگان است. بخش 'چگونه آن را رفع کنیم' را به هر کسی که وبسایت یا هاستینگ شما را اجرا میکند بدهید.

Q: آیا تغییر به رمزگذاری مدرن مرورگرهای مشتریان قدیمی را از کار میاندازد؟

در عمل، نه. هر مرورگر مدرن و تلفن از حدود دههی گذشته از قبل از رمزگذاری جدید و cipher های قوی به طور پیشفرض استفاده میکند. تنها چیزهایی که به نسخههای قدیمی یا cipher های ضعیف تکیه داشتند خودشان هم قدیمی و ناامن هستند.

Q: سایتم با قفل خوب بارگذاری میشود — چرا همچنان علامتگذاری میشود؟

قفل فقط به معنای وجود یک اتصال امن است؛ نمیگوید کدام نسخهی TLS یا کدام cipher پشت آن است. سایت شما میتواند قفل کاملاً عادی نشان دهد در حالی که بهآرامی یک نسخهی قدیمی شکسته یا یک cipher ممنوع در کنار نسخههای خوب قبول میکند.

Q: تفاوت بین نسخهی TLS و cipher چیست؟

نسخهی TLS را به عنوان اینکه کدام نسل از قفل را استفاده میکنید و cipher را به عنوان دستورالعمل خاصی که برای رمزگذاری داده استفاده میکند در نظر بگیرید. هر دو باید درست باشند، به همین دلیل هر دو را جداگانه بررسی میکنیم.

Q: آیا رفع واقعاً رایگان است؟

بله. غیرفعال کردن نسخههای قدیمی TLS و cipher های ضعیف تغییرات پیکربندی روی سرور یا هاستینگ موجود شماست — چیزی برای خرید نیست.

TLS قفلی است که داده‌های جاری بین بازدیدکنندگان و وب‌سایت شما را رمزگذاری می‌کند. دو چیز آن قفل را قابل اعتماد می‌کند: استفاده از نسخه‌ی مدرن TLS (نه نسخه‌های قدیمی و شکسته)، و استفاده از cipher های قوی (دستورالعمل رمزگذاری واقعی). این صفحه هر دو را پوشش می‌دهد — به علاوه چند تنظیم مرتبط که بر نمره‌ی شما تأثیر نمی‌گذارند اما ارزش دانستن دارند.

نتیجه نهایی برای کسب‌وکار شما: اگر سایت شما روی رمزگذاری قدیمی یا cipher های ضعیف اجرا شود، اطلاعات خصوصی که مشتریان تایپ می‌کنند — ورودها، شماره‌های کارت، اطلاعات تماس — می‌توانند در شبکه‌های مشترک به‌آرامی رهگیری و خوانده شوند، و می‌توانید بررسی‌های امنیتی‌ای را که بانک‌ها، پردازنده‌های پرداخت و مشتریان بزرگ‌تر قبل از انجام کسب‌وکار با شما نیاز دارند شکست دهید.

هزینه این برای شما

یک مشتری از WiFi هتل یا کافه پرداخت یا ورود به سیستم می‌کند، یک اتصال قدیمی یا cipher ضعیف به یک غریبه در آن شبکه اجازه می‌دهد کارت و رمز عبور آن‌ها را در زمان واقعی بخواند.
برای قبول پرداخت با کارت درخواست می‌دهید (یا ارائه‌دهنده‌ی پرداخت شما مجدداً بررسی می‌کند) و رد می‌شوید چون TLS قدیمی یا یک cipher ممنوع قوانین امنیت پرداخت را نقض می‌کند.
تیم IT یک مشتری بزرگ‌تر یک اسکن امنیتی معمول قبل از امضا اجرا می‌کند، می‌بیند سایت شما همچنان رمزگذاری شکسته را اجازه می‌دهد، و شما را به عنوان ریسک علامت‌گذاری می‌کند.
بعد از هر شکایت یا نقض، اولین چیزی که یک مقام حفاظت از داده می‌خواهد بداند این است که آیا داده‌های شخصی را 'به طور مناسب' محافظت کردید — اجرای رمزگذاری که سال‌هاست در ملاء عام شکسته شده پاسخ بسیار سختی است.
سایت شما قفل نشان می‌دهد، پس همه فرض می‌کنند کاملاً امن است، و این شکاف برای سال‌ها ناشناخته می‌ماند.

چرا اهمیت دارد. رمزگذاری که امن است نامرئی است؛ رمزگذاری که قدیمی یا ضعیف است یک مسئولیت است که به‌آرامی می‌نشیند تا روزی که برایتان هزینه‌ی مشتری، قرارداد یا قبولی انطباق داشته باشد. نسخه‌ی TLS و بررسی‌های cipher دو بخشی هستند که نمره‌ی شما را واقعاً تغییر می‌دهند، و هر دو معمولاً یک تنظیم رایگان هستند.

به زبان ساده

وقتی کسی از وب‌سایت شما بازدید می‌کند، همه چیزی که تایپ می‌کنند در حین انتقال رمزگذاری می‌شود. تکنولوژی که رمزگذاری را انجام می‌دهد TLS نامیده می‌شود. برای اینکه آن رمزگذاری واقعاً امن باشد، دو چیز باید درست باشند:

نسخه‌ی TLS — از کدام نسل این تکنولوژی استفاده می‌کنید. نسخه‌های اولیه (TLS 1.0 و 1.1) سال‌هاست در ملاء عام شکسته شده؛ نسخه‌های امن TLS 1.2 و TLS 1.3 هستند.
Cipher — دستورالعمل خاصی که TLS برای رمزگذاری استفاده می‌کند. برخی cipher ها (مثل RC4، DES و 3DES) شکسته شده و اکنون ممنوع هستند.

این صفحه هر دو را پوشش می‌دهد، چون یک سایت می‌تواند یکی را درست کند و دیگری را اشتباه.

این چقدر ممکن است برای شما هزینه داشته باشد

یک مشتری در WiFi عمومی دزدی می‌شود. کسی ورود یا پرداخت از هتل، کافه یا فرودگاه انجام می‌دهد. چون سایت شما همچنان نسخه‌ی TLS قدیمی یا cipher ضعیف را اجازه می‌دهد، یک غریبه در همان شبکه اتصال را به گزینه‌ی قابل شکست پایین می‌آورد.
پرداخت با کارت شما قطع می‌شود. قوانین امنیت پرداخت (PCI DSS) حداقل TLS 1.2 را نیاز دارند و صریحاً cipher های ضعیف مثل RC4 را ممنوع می‌کنند.
یک معامله در بررسی امنیتی متوقف می‌شود. قبل از امضای یک مشتری بزرگ‌تر، تیم IT آن‌ها اسکن معمول اجرا می‌کند. فوراً علامت‌گذاری می‌کند که سایت شما همچنان رمزگذاری شکسته را قبول می‌کند.
یک مقام سؤال ناخوشایند می‌پرسد. بعد از هر شکایت یا نقض، اولین چیزی که یک مقام حفاظت از داده می‌خواهد بداند این است که آیا داده‌های شخصی را «به طور مناسب» محافظت کردید.

در واقع چیست

نسخه‌ی TLS

یک سایت فقط یک نسخه‌ی TLS را پشتیبانی نمی‌کند — می‌تواند چندین نسخه را همزمان ارائه دهد. خطر این است که نسخه‌های قدیمی و شکسته می‌توانند کنار نسخه‌های خوب به عنوان درِ پشتی باز بمانند: یک مهاجم می‌تواند اتصال بازدیدکننده را به TLS 1.0 یا 1.1 «پایین بیاورد» و از نقاط ضعف شناخته شده در آن نسخه‌ها بهره‌برداری کند.

«خوب» چه شکلی است:

TLS 1.3 (با یا بدون 1.2)، و بدون legacy: بهترین نتیجه. نمره‌ی کامل.
TLS 1.2 فقط، بدون 1.3: امن و قبول می‌شود.
TLS 1.0 یا 1.1 همچنان قبول می‌شود: شکست خودکار، صفر امتیاز و علامت‌گذاری بحرانی — باید این را رفع کنید.

Cipher

هنگامی که یک نسخه انتخاب می‌شود، TLS یک cipher انتخاب می‌کند. تعداد کمی شکسته شده‌اند و هرگز نباید استفاده شوند: RC4، DES، 3DES، به علاوه NULL (اصلاً بدون رمزگذاری)، EXPORT-grade cipher ها (عمداً ضعیف شده)، و anonymous cipher ها (بدون بررسی هویت).

بررسی cipher ما دو کار انجام می‌دهد: اول cipher ای که سرور شما با ما مذاکره کرد را بررسی می‌کند. سپس فعالانه سعی می‌کند با استفاده از چندین cipher شناخته شده‌ی شکسته دست بدهد — یک سرور می‌تواند یک cipher قوی با یک مشتری مدرن انتخاب کند در حالی که همچنان یک cipher ضعیف را در صورت اصرار یک مهاجم قبول کند.

چگونه آن را رفع کنیم (رایگان، ~۳۰ دقیقه)

این را به IT خود بدهید — اصلاح رایگان است.

ساده‌ترین رویکرد قابل اعتماد این است که یک پیکربندی شناخته-خوب تولید کنید: نوع سرور خود را در Mozilla’s SSL Configuration Generator در https://ssl-config.mozilla.org/ وارد کنید و پروفایل “Intermediate” را انتخاب کنید.

به پلتفرم:

Cloudflare یا یک هاست مدیریت شده — معمولاً یک یا دو کلیک. در Cloudflare: SSL/TLS → Edge Certificates → Minimum TLS Version → TLS 1.2.

Nginx. نسخه‌های مدرن-فقط و یک لیست cipher قوی صریح تنظیم کنید، سپس reload کنید:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;

Apache. نسخه‌های قدیمی را غیرفعال کنید و یک لیست cipher قوی اضافه کنید:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder on

Windows / IIS. از ابزار رایگان IIS Crypto استفاده کنید تا TLS 1.0 و 1.1 را غیرفعال کنید، RC4/DES/3DES/NULL/EXPORT cipher ها را غیرفعال کنید.

اشتباهات رایج

«قفل داریم، پس خوب هستیم.» قفل فقط ثابت می‌کند یک اتصال امن وجود دارد. هیچ‌چیزی درباره‌ی اینکه آیا نسخه‌ی قدیمی یا cipher ممنوع همچنان در پس‌زمینه قبول می‌شود نمی‌گوید.
رفع نسخه اما نه cipher ها (یا برعکس). غیرفعال کردن TLS 1.0/1.1 به طور خودکار RC4 یا 3DES را حذف نمی‌کند.
گذاشتن تاگل‌های ‘legacy’ یا ‘old-browser compatibility’ روشن. بسیاری از هاست‌ها و CDN ها گزینه‌ای دارند که به‌آرامی نسخه‌های شکسته یا cipher های ضعیف را برای «سازگاری» دوباره فعال می‌کند.
فراموش کردن reload/restart سرور. تغییرات پیکربندی تا بارگذاری مجدد وب سرور اثر نمی‌کنند.

پرسش‌های متداول

من تکنیکی نیستم — آیا می‌توانم خودم این را حل کنم؟

نیازی نیست جزئیات فنی را بفهمید. در بیشتر هاستینگ‌های مدرن این یک یا دو تنظیم است، و رایگان است. بخش 'چگونه آن را رفع کنیم' را به هر کسی که وب‌سایت یا هاستینگ شما را اجرا می‌کند بدهید.

آیا تغییر به رمزگذاری مدرن مرورگرهای مشتریان قدیمی را از کار می‌اندازد؟

در عمل، نه. هر مرورگر مدرن و تلفن از حدود دهه‌ی گذشته از قبل از رمزگذاری جدید و cipher های قوی به طور پیش‌فرض استفاده می‌کند. تنها چیزهایی که به نسخه‌های قدیمی یا cipher های ضعیف تکیه داشتند خودشان هم قدیمی و ناامن هستند.

سایتم با قفل خوب بارگذاری می‌شود — چرا همچنان علامت‌گذاری می‌شود؟

قفل فقط به معنای وجود یک اتصال امن است؛ نمی‌گوید کدام نسخه‌ی TLS یا کدام cipher پشت آن است. سایت شما می‌تواند قفل کاملاً عادی نشان دهد در حالی که به‌آرامی یک نسخه‌ی قدیمی شکسته یا یک cipher ممنوع در کنار نسخه‌های خوب قبول می‌کند.

تفاوت بین نسخه‌ی TLS و cipher چیست؟

نسخه‌ی TLS را به عنوان اینکه کدام نسل از قفل را استفاده می‌کنید و cipher را به عنوان دستورالعمل خاصی که برای رمزگذاری داده استفاده می‌کند در نظر بگیرید. هر دو باید درست باشند، به همین دلیل هر دو را جداگانه بررسی می‌کنیم.

آیا رفع واقعاً رایگان است؟

بله. غیرفعال کردن نسخه‌های قدیمی TLS و cipher های ضعیف تغییرات پیکربندی روی سرور یا هاستینگ موجود شماست — چیزی برای خرید نیست.