آموزش برنامه نویسی وب و مهارتهای مرتبط
پنجشنبه ۰۴ اردیبهشت ۱۴۰۴
Thursday, April 24, 2025 GMT +3:30
Thursday, April 24, 2025 GMT +3:30
دسته بندی
دسترسی سریع
پروتکل امن HTTPS و رمزنگاری SSL چیست؟
پروتکل HTTPS چیست و چه فرقی با HTTP دارد؟
SSL به چه معناست؟
شیوه رمزنگاری اطلاعات در SSL به چه صورت است؟
چگونه مطمئن شویم که سایت از پروتکل امن استفاده می کند؟
چرا در برخی از سایت ها، مرورگر تقاضای تایید اعتبار می کند؟
چگونه برای سایت خود گواهی SSL تهیه کنیم؟
SSL رایگان و غیررایگان
اهمیت گواهی SSL برای موتورهای جستجو
مشکل تداخل منابع HTTP و HTTPS
نسخه های متفاوت SSL
پروتکل HTTPS چیست و چه فرقی با HTTP دارد؟
SSL به چه معناست؟
شیوه رمزنگاری اطلاعات در SSL به چه صورت است؟
چگونه مطمئن شویم که سایت از پروتکل امن استفاده می کند؟
چرا در برخی از سایت ها، مرورگر تقاضای تایید اعتبار می کند؟
چگونه برای سایت خود گواهی SSL تهیه کنیم؟
SSL رایگان و غیررایگان
اهمیت گواهی SSL برای موتورهای جستجو
مشکل تداخل منابع HTTP و HTTPS
نسخه های متفاوت SSL
پروتکل امن HTTPS و رمزنگاری SSL چیست؟
همان طور که می دانیم اطلاعاتی که به طور معمول در صفحات وب رد و بدل می شوند در بستر پروتکل HTTP (مخفف Hyper Text Transfer Protocol) انتقال می یابند، این پروتکل استانداردی تعریف شده است که با آن متن و سایر اطلاعات چندرسانه ای را در وب منتقل می کنند که این داده ها به دلیل خام بودن و رمزنگاری نشدن برای افراد سوم شخص قابل خواندن هستند، به طور مثال اگر کلمه عبور خود را در بستر این پروتکل از صفحه مرورگر به سرور یک سایت ارسال کنیم ممکن است از طریق سرویس دهنده اینترنت یا اشخاص دیگری که به صورت مجاز یا غیر مجاز به ترافیک شبکه ما دسترسی دارند، قابل روئیت باشد (به فرض با استفاده از برنامه هایی تحت عنوان Sniffer)، لذا استفاده از پروتکل HTTP از لحاظ امنیتی برای انجام کارهایی که با اطلاعات حساس از جمله حساب های بانکی و رمزهای مشتریان سر و کار دارند به هیچ وجه شیوه مناسبی نیست، از این رو بانک ها، فروشگاه های اینترنتی و در کل سایت هایی که امنیت کاربران برایشان اهمیت زیادی دارد، از پروتکل دیگری به نام HTTPS (مخفف Hyper Text Transfer Protocol Secure) جهت انتقال داده های رمزنگاری شده به شیوه SSL (مخفف Secure Sockets Layer) استفاده می کنند.
پروتکل HTTPS چیست و چه فرقی با HTTP دارد؟
HTTPS پروتکلی است که در بستر آن امکان رمزنگاری (Encrypt) و انتقال اطلاعات رمزنگاری شده فراهم می شود، به لحاظ تخصصی در HTTP در حالت پیش فرض پورت 80 مورد استفاده قرار می گیرد در حالی که در HTTPS این پورت 443 است، از طرفی همانطور که گفتیم در HTTP داده ها به صورت ساده و خوانا هستند اما در HTTPS رمزنگاری داده ها به وسیله لایه SSL و نسل جدید آن یعنی TLS (مخفف Transport Layer Security) انجام می شود.
SSL به چه معناست؟
SSL مخففی است از سرواژه های Secure Sockets Layer و در اصطلاح به استاندارد رمزنگاری و انتقال داده ها در وب اطلاق می شود، SSL را ابتدا شرکت Netscape به منظور نقل و انتقال امن و رمز نگاری شده اطلاعات ایجاد نمود و اکنون تقریبا تمام مرورگرهای استاندارد از جمله فایر فاکس، اینترنت اکسپلورر، گوگل کروم، سافاری و اپرا از آن پشتیبانی می کنند، همچنین در این رابطه شرکت هایی وجود دارند که گواهی SSL ارائه می کنند.
شیوه رمزنگاری اطلاعات در SSL به چه صورت است؟
در بیانی ساده الگوریتم SSL اطلاعات را به وسیله دو کلید رمزنگاری می کند، کلید عمومی (Public Key) و کلید خصوصی (Private Key) که این ساز و کار را در اصطلاح PKI یا Public Key Infrastructure می گویند، بر این اساس پس از ارائه درخواست دریافت URL از طرف مرورگر (یا هر Client دیگری) به سرور در بستر اتصال امن، سرور کلید عمومی را به همراه پارامترهای شناسایی گواهی SSL خود با امضای دیجیتال در اختیار مرورگر قرار می دهد، کلید عمومی برای افراد سوم شخص دست یافتنی اما رمزنگاری شده و فاقد استفاده است، کلید خصوصی مقادیر رمزنگاری شده ای است که صرفا در اختیار سرور بوده و به صورت محفوظ نگهداری می شود.
در طی فرآیند برقراری ارتباط امن و به اصطلاح "دست دادن" (Handshake) بین دو طرف مرورگر وضعیت اعتبار گواهی را با بانکی که برایش تعریف شده می سنجد و در صورت مورد تایید بودن پیام پذیرش را به سرور ارسال می کند، در این هنگام سرور نشست SSL Encrypte را شروع کرده و با شروع نشست اطلاعات رمزنگاری شده رد و بدل می شوند.
نکته 1: کلید عمومی و کلید خصوصی به همدیگر مرتبط بوده و هر کدام به تنهایی کارایی نخواهند داشت.
نکته 2: از نظر فنی مراحل دیگری نیز در این فرآیند اتفاق می افتد، به طور مثال پس از تائید اعتبار گواهی SSL، مرورگر از کلید عمومی برای ایجاد Pre-Master Key استفاده و این کلید را به سرور ارسال می کند و در صورتی که این کلید مورد تائید سرور باشد ساز و کار Shared Secret شکل می گیرد که به معنی استفاده دو سمت (مرورگر و سرور) از عبارت رمزی شده مشترک برای حفاظت بستر ارتباط امن است.
نکته 3: گواهی SSL تحت فایل های خاصی که توسط شرکت های معتبر (Certification Authorities یا به اختصار CA) شناخته می شوند ایجاد می شود و لذا در صورتی که شخصی به هر طریق کلید عمومی خود را جایگزین کلید مرورگر کند، به جهت وجود این ساز و کار عملا درخواست او از طرف سرور رد خواهد شد.
چگونه مطمئن شویم که سایت از پروتکل امن استفاده می کند؟
چند فاکتور در تعیین معتبر بودن گواهی یک سایت نقش دارند، اول از همه کلید کوچکی است که در مرورگرهای مختلف با کمی اختلاف در مکان و شکل نشان داده می شود، برخی از مرورگرها در نسخه های جدید خود پس از برقراری یک اتصال امن، نوار آدرس را به رنگ سبز نیز نشان می دهند، فاکتور دیگر وجود عبارت HTTPS در ابتدای آدرس آن سایت است، باید دقت کنیم که برای برخی از سایت ها (بخصوص سایت های داخلی) ممکن است ابتدا نیاز به ثبت دستی گواهی آنها در بانک اطلاعاتی مرورگر باشد، متاسفانه اینگونه مشکلات گاهی به دلیل مسائل تحریم و گاهی به دلیل شخصی بودن ارائه کننده گواهی به وجود می آید.
چرا در برخی از سایت ها، مرورگر تقاضای تایید اعتبار می کند؟
بعضا ممکن است با صفحاتی روبرو شویم که مرورگر نسبت به منقضی شدن اعتبار گواهی ارتباط امن آنها پیام هشدار نمایش دهد، این اتفاق به چند دلیل ممکن است رخ دهد، یکی اینکه گواهی آن سایت واقعا به پایان رسیده و تمدید نشده باشد، دوم اینکه تاریخ و زمان سیستم ما از زمان حقیقی عقبتر یا حتی جلوتر باشد که در این صورت با اصلاح تاریخ و زمان مشکل برطرف می شود، دلیل سوم هم می تواند به مسائل فنی صفحه و ترکیب اشتباه داده های عادی با داده های رمزنگاری شده مربوط باشد که این عامل به مدیریت سایت ارتباط دارد و امکان رفع مشکل توسط کاربر میسر نیست.
چگونه برای سایت خود گواهی SSL تهیه کنیم؟
برای داشتن یک ارتباط امن در بستر HTTPS برای سایت خود نیاز به تهیه گواهی معتبر SSL داریم، معمولا این گواهی از طریق نمایندگی ها و سرویس دهندگان خدمات هاستینگ قابل خریداری (یا در برخی موارد رایگان) است و با یک جستجوی ساده در وب با تعداد زیادی از این شرکت ها روبرو خواهیم شد، گواهی SSL در انواع مختلف ارائه می شود که از صرف رمزنگاری داده ها تا تائید کامل اعتبار سایت و شرکت متغیر هستند، این موضوع در مدت زمان و مدارک مورد نیاز جهت فعال سازی گواهی و هزینه نهایی آن موثر خواهد بود، اگر صرفا نیاز به رمزنگاری داده ها و حفظ امنیت اطلاعات داریم معمولا روند تهیه گواهی SSL به صورت آنی، بدون نیاز به ارائه مدارکی خاص و با هزینه کمتر یا رایگان (مانند گواهی Let's Encrypt) انجام می گیرد، اما برای سایر انواع گواهی ها بسته به اعتباری که به برند ما می بخشند ممکن است نیاز به مدت زمانی خاص، ارائه مدارک معتبر هویتی یا حتی ثبت شرکت (شخص حقوقی) باشد، علاوه بر این موارد به لحاظ فنی به سروری با قابلیت پشتیانی از SSL و یک IP اختصاصی احتیاج خواهیم داشت، البته نگران نباشید اغلب شرکت های میزبان سایت به لحاظ فنی چنین قابلیتی را فراهم می کنند، همچنین مشکل تهیه IP اختصاصی با فعال بودن امکانی تحت عنوان SNI (مخفف Server Name Indication) قابل حل است، در صورت فعال بودن SNI در سرور می توان با استفاده از یک IP به سایت های مختلفی امکان استفاده از گواهی SSL را داد، بنابراین جهت جلوگیری از هزینه های اضافی بهتر است قبل از خرید گواهی SSL در این زمینه به دقت تحقیق، بررسی و با پشتیبانی سرور سایت خود مذاکره داشته باشیم، توصیه ما این است حتما هاستینگ هایی که SSL رایگان ارائه می دهند را بررسی داشته باشیم.
SSL رایگان و غیررایگان
اگر هدف از تهیه گواهی SSL صرفا نیاز به تبادل امن اطلاعات و بحث سئو سایت باشد استفاده از گواهی های رایگانی مثل Let's Encrypt کفایت می کند، Let's Encrypt از 12 آوریل 2016 مرجع صدور گواهی های ارائه شده توسط گروه عامل المنفعه ISRG (مخفف Internet Security Research Group) است و از نظر فنی تفاوت چندانی بین این نوع گواهی ها با نوع غیررایگان آن وجود ندارد اما از جنبه های دیگر تفاوت هایی وجود دارد که با توجه به هزینه بالای تهیه گواهی غیررایگان شاید این موارد برای طیف وسیعی از کسب و کارها قابل چشم پوشی باشد، از جمله این تفاوت ها اینکه مدت اعتبار گواهی رایگان دوره های 90 روزه است هرچند در حال حاضر به صورت خودکار تمدید می شود، همچنین باید توجه کنیم گواهی های رایگان ممکن است در برنامه ها و مرورگرهای قدیمی پشتیبانی نشوند به طور مثال با به روزرسانی اخیر Let's Encrypt این گواهی صرفا در OpenSSL 1.1.0 به بعد شناسایی می شود و در مرورگرهای قدیمی هم احتمالا خطای عدم اتصال امن دریافت خواهیم کرد، علاوه بر این طبق قوانین جاری مرکز توسعه تجارت الکترونیکی سایت هایی که به اینماد دو ستاره نیازمند هستند نمی توانند این نوع گواهی را مستند قرار دهند چون برای دریافت نماد اعتماد سطح دو ستاره حداقل زمان باقیمانده تا انقضای گواهی SSL باید یکسال باشد، البته قاعدتا این قانون ممکن است در آینده مورد بازنگری واقع شود و ذاتا به معنی ناکارآمد بودن گواهی های رایگان نیست.
اهمیت گواهی SSL برای موتورهای جستجو
استفاده از پروتکل HTTPS و رمزنگاری SSL از نظر موتورهای جستجو یک فاکتور مهم محسوب می شود اما به دلیل نیاز به انجام فرایندهای فنی اتصال بین مرورگر و سرور یا بعضا اعمال محدودیت هایی از سمت ISP ها، کم و بیش ممکن است سرعت انتقال اطلاعات از این طریق نسبت به شیوه معمول یعنی HTTP پائینتر باشد، لذا در صورتی که با مشکل کندی مواجه بودیم و بحث سئو (SEO یا بهینه سازی برای موتورهای جستجو) با توجه به نوع سایت (اداری، سازمانی، شخصی و...) اهمیت زیادی نداشت می توانیم موقتا یا دائمی تنها در صفحاتی از این پروتکل استفاده کنیم که اطلاعات حساسی در آنها رد و بدل می شود، خوشبختانه طی سالیان اخیر با فراگیر شدن استفاده از گواهی SSL مشکلات زیرساختی مرتبط با آن نیز کمتر شده است.
مشکل تداخل منابع HTTP و HTTPS
در استفاده از پروتکل HTTPS دقت داشته باشیم نباید محتوایی از قسمت HTTP سایتمان را در صفحات HTTPS استفاده کنیم، به طور مثال نباید فایل تصویر را که قسمت src آن با آدرس http://yoursite.com شروع می شود در صفحه ای که به صورت https://yoursite.com است وارد کنیم، در این صورت مرورگر پیام هشداری مبنی بر امن نبودن اتصال به کاربر نمایش خواهد داد، برای رفع این حالت می توانیم کلیه فایل ها را به صورت آدرس مطلق با https درج یا اینکه فایل ها را به صورت آدرس دهی نسبی به طور مثال به صورت
../images/logo.pngنسخه های متفاوت SSL
علاوه بر SSL که استاندارد معمول و متداول در خصوص رمزنگاری داده ها در وب است، ممکن است با عبارت دیگری تحت عنوان TLS (مخفف Transport Layer Security) روبرو شویم، این استاندارد در واقع نسخه پیشرفته و بهبود یافته SSL است و صرفا به لحاظ فنی تفاوت هایی وجود دارد (آخرین نسخه از SSL نسخه 3.0 است و برخی TLS را نسخه 3.1 SSL نیز می نامند).
دسته بندی: مهارتهای وب » دانستنی ها
برچسب ها: دانستنی ها
مطالب بیشتر:IP چیست و چه کاربردی دارد؟
حمله DDoS چیست و چگونه از آن جلوگیری کنیم؟
مفهوم پلتفرم (Platform) و فریم ورک (Framework)
دلایل بهم ریختن قالب وبلاگ و سایت
جلوگیری از بلاک یا ارسال ایمیل به اسپم با SPF
دیدگاه
۳۶ دیدگاه برای این مطلب ارسال شده است. چینش دیدگاه ها به ترتیب از جدیدترین به قدیمی ترین است.meysam
۱۸:۴۳ ۱۳۹۴/۱۰/۲۷
ادامه سوال قبل:
جواب شما صحیح است. ولی از شرکتی که گواهی (ssl standard) را تهیه کردیم هنگامیکه که به پشتیبانی آن تماس گرفتیم کارشناس آن گفت که نیازی به خرید ssl برای هاست دانلود خود ندارید فقط کافی با استفاده از htaccess redirect این مشکل را برطرف نمایید. یعنی در صفحاتمان از https استفاده نماییم که علامت اخطار ندهد.
نظر شما در این مورد چیست؟ ایا اشتباه گفته است یا اینکه برای شما این مورد پیش نیامده و اطلاعی ندارید؟
اگر لطف کنید بصورت دقیق و قاطع پاسخ دهید منون میشم. چون همونجور که اطلاع دارید هزینه تهیه ssl نسبتا بالاست.
با تشکر
جواب شما صحیح است. ولی از شرکتی که گواهی (ssl standard) را تهیه کردیم هنگامیکه که به پشتیبانی آن تماس گرفتیم کارشناس آن گفت که نیازی به خرید ssl برای هاست دانلود خود ندارید فقط کافی با استفاده از htaccess redirect این مشکل را برطرف نمایید. یعنی در صفحاتمان از https استفاده نماییم که علامت اخطار ندهد.
نظر شما در این مورد چیست؟ ایا اشتباه گفته است یا اینکه برای شما این مورد پیش نیامده و اطلاعی ندارید؟
اگر لطف کنید بصورت دقیق و قاطع پاسخ دهید منون میشم. چون همونجور که اطلاع دارید هزینه تهیه ssl نسبتا بالاست.
با تشکر
تا آنجا که اطلاع داریم این مشکل با صرف دستورات htaccess قابل حل نیست چون ارتباط مرورگر و سرور قبل از اینکه دستورات htaccess پردازش شوند، برقرار می شود، لذا راه حل اصلی آن داشتن گواهی Wildcard است، البته نمی توانیم بگوییم که حتما گواهی جدید تهیه کنید یا خیر، می توانید در اینترنت در خصوص تغییر تنظیمات ssl.conf، پارامتر virtual server و پورت 443 جستجو کنید، ممکن است با تغییر تنظیمات سرور راه حل هایی برای آن باشد (البته معمولا باید سرور اختصاصی داشته باشید، چون هاستینگ ها چندان تمایلی به ایجاد تغییرات سفارشی از این سبک ندارند!).
meysam
۱۶:۵۴ ۱۳۹۴/۱۰/۲۷
سلام و احترام مجدد
دامنه اصلی وبسایت https میباشد ولی ساب دامنه آن به ادرس www.dl.domain.com از گواهی ssl برای ان تهیه نشده است لذا چون از لینک های http در صفحات https نمیتونیم استفاده کنیم (بخاطر عدم تطابق) لذا چگونه میتوان در هاست dl با استفاده از htaccss درخواست های https دروغی را به http تبدیل کرد. یعنی ما بصورت fake در صفحات https سایت ادرس فایل های هاست را بصورت fake بصورت https://dl.domain.com وارد میکنیم ولی هنگام لود عکس ها سمت هاست dl انها به http تبدیل شوند.
این کد جواب نمیدهد:
دامنه اصلی وبسایت https میباشد ولی ساب دامنه آن به ادرس www.dl.domain.com از گواهی ssl برای ان تهیه نشده است لذا چون از لینک های http در صفحات https نمیتونیم استفاده کنیم (بخاطر عدم تطابق) لذا چگونه میتوان در هاست dl با استفاده از htaccss درخواست های https دروغی را به http تبدیل کرد. یعنی ما بصورت fake در صفحات https سایت ادرس فایل های هاست را بصورت fake بصورت https://dl.domain.com وارد میکنیم ولی هنگام لود عکس ها سمت هاست dl انها به http تبدیل شوند.
این کد جواب نمیدهد:
RewriteCond %{HTTPS} on
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]با این شیوه نمی توانید گواهی SSL را به صفحات HTTP تسری دهید و به اصطلاح تطابق ایجاد کنید، مرورگر در نهایت HTTP بودن محتوا (عدم استفاده از گواهی معتبر) را تشخیص داده و آیکن هشدار را نمایش می دهد! تنها راه استفاده از گواهی معتبر برای ساب دامین ها یا عدم بارگذاری محتوا از ساب دامین ها در صفحات اصلی است!
meysam
۰۹:۳۶ ۱۳۹۴/۱۰/۲۵
سلام
چند روزی است گواهی SSL را خریداری کرده ایم از شرکت معتبر. میخواستم راهنمایی کنید که چه چیزی هایی باعث میشه که در بعضی صفحات سایت https از حالت سبز رنگ و secure خارج میشه؟ تمامی لینک های داخل صفحه را به https://example.com تغییر داده ایم بجز لینک هایی که از ساب دامین سایت به آدرس http://dl.example.com درون صفحات استفاده شده. آیا این لینکاست که مشکل ایجاد کرده که https سبز رنگ نمیشه یا مشکلات دیگری سر راه است؟ آیا این مشکل را باید از طریق مرورگر حل کرد یا راه دیگری؟ در کل وبسایت یا مقاله ای در این مورد وجود دارد؟ (بنده حداقل در سایت های فارسی در این مورد چیزی پیدا نکردم. لذا ممنون میشم در این مورد راهنمایی نمایید که چه آدرس ها و چه کدهایی در صفحات html php) باعث میشوند که جلوگیری کنه از https امن و سبز رنگ. با تشکر جناب مهندس.
چند روزی است گواهی SSL را خریداری کرده ایم از شرکت معتبر. میخواستم راهنمایی کنید که چه چیزی هایی باعث میشه که در بعضی صفحات سایت https از حالت سبز رنگ و secure خارج میشه؟ تمامی لینک های داخل صفحه را به https://example.com تغییر داده ایم بجز لینک هایی که از ساب دامین سایت به آدرس http://dl.example.com درون صفحات استفاده شده. آیا این لینکاست که مشکل ایجاد کرده که https سبز رنگ نمیشه یا مشکلات دیگری سر راه است؟ آیا این مشکل را باید از طریق مرورگر حل کرد یا راه دیگری؟ در کل وبسایت یا مقاله ای در این مورد وجود دارد؟ (بنده حداقل در سایت های فارسی در این مورد چیزی پیدا نکردم. لذا ممنون میشم در این مورد راهنمایی نمایید که چه آدرس ها و چه کدهایی در صفحات html php) باعث میشوند که جلوگیری کنه از https امن و سبز رنگ. با تشکر جناب مهندس.
به طور کلی هر محتوایی که از دامنه سایت شما در صفحه مرورگر بارگذاری می شود باید از پروتکل HTTPS و گواهی معتبر استفاده نماید، لذا زمانی که این محتوا به صورت دوگانه (HTTP و HTTPS)
باشد، نوار سبز رنگ نمایش داده نخواهد شد یا در برخی از مرورگرها به همراه هشدار نشان داده خواهد شد، البته تا آنجا که اطلاع داریم، برای ایمن کردن ساب دامین ها باید گواهی شما از نوع Wildcard باشد!، برای تست دقیقتر می توانید یک صفحه HTML ساده داشته باشید و با آزمایش و خطا، در آن محتوا و لینک های مشکوک را درج و امتحان کنید!
باشد، نوار سبز رنگ نمایش داده نخواهد شد یا در برخی از مرورگرها به همراه هشدار نشان داده خواهد شد، البته تا آنجا که اطلاع داریم، برای ایمن کردن ساب دامین ها باید گواهی شما از نوع Wildcard باشد!، برای تست دقیقتر می توانید یک صفحه HTML ساده داشته باشید و با آزمایش و خطا، در آن محتوا و لینک های مشکوک را درج و امتحان کنید!
امین
۱۷:۰۶ ۱۳۹۴/۱۰/۰۲
سلام استاد من یک سایت خبری دارم درست میکنم و تقریبا آماده شده. حالا برای این مورد که کاربران فقط متن ها رو میخونند و نه تصویر قرار میدهند نه ویدئو به نظر شما قسمت ارسال نظرات نیازه ssl باشه؟ و یا اینکه چه قسمتی از سایتم رو رمز نگاری کنم؟ قسمت مدیریتش رو رمز نگاری کنم؟ منظورم پنلشه؟ و سوال آخر و مهم اینکه : بعد رمز نگاری ، آدرس دهی فرمهای php من چطور باشه؟ مثلا من یک فرم دارم که action اون خالیه - چون به همون صفحه ارسال میشه. حالا آیا باید تو اکشنش چیزی بنویسم؟
در صورتی که اطلاعات حساسی در بخش عمومی سایت رد و بدل نمی شود، استفاده از SSL با توجه به شرایط کنونی اینترنت کشور چندان توصیه نمی شود (در حال حاضر کمتر سایت خبری در ایران از این پروتکل استفاده می کند!)، لذا پیشنهاد می کنیم صرفا بخش مدیریتی را با SSL ایمن کنید، در مورد فرم ها، مرورگرها در هنگام ارسال فرم، از همان آدرسی پیروی می کنند که صفحه بر اساس آن بارگذاری شده، لذا در کل نیازی به اعمال تغییر نیست، اما اگر امکانش فراهم بود، استفاده از آدرس های مطلق (کامل) روش بهینه تری در این خصوص است!
۱۶:۵۲ ۱۳۹۴/۰۹/۲۱
سلام چطور میتونم وب سایتمو به https تبدیل کنم؟
باید به سایت شرکت های ارائه دهنده گواهی SSL (مخصوص دامنه ir) مراجعه نمائید (در وب جستجو کنید) و از انواع گواهی موجود با توجه به هدفتان یک مورد را انتخاب کرده و در صورت نیاز پس از تکمیل و ارسال مدارک، اطلاعات گواهی به همراه آموزش های مرتبط برای شما ارسال یا گواهی توسط بخش فنی شرکت هاستینگ روی دامنه شما راه اندازی خواهد شد!
ناصر
۱۴:۴۱ ۱۳۹۴/۰۹/۰۲
سلام
چرا گفته می شود حتی در وبسایت های ساده هم از HTTPS استفاده شود؟
چرا گفته می شود حتی در وبسایت های ساده هم از HTTPS استفاده شود؟
استفاده از این پروتکل همیشه (و اغلب) ضروری نیست، بهتر است در جایی استفاده شود که حفظ امنیت تبادل اطلاعات واقعا نیاز باشد یا مسئله به حریم خصوصی افراد مرتبط باشد، مانند سایت هایی که اطلاعات خاص را ارسال و دریافت می کنند، یا برای پنل کاربری، شبکه های اجتماعی و...، در مجموع به نظر این گفته بیشتر به بازارگرمی شرکت های ارائه کننده خدمات مربوطه مرتبط می شود!
محمد
۱۹:۵۷ ۱۳۹۴/۰۵/۳۰
با سلام
یکی از چتروم ها از آدرس https در اول آدرسش استفاده میکند و ادعا میکند که با این کار دیگر کارگروه تعیین مصادیق مجرمانه ، نمیتواند فیلترش کند چون قبلا از http استفاده میکرد ، بیش از 10 بار فیلتر شد . ولی بعد از اینکه از https استفاده میکند ، دیگر کسی ندید که فیلتر شود حالا میخواستم ببینم آیا واقعا فیلتر کردن https امکانپذیر نیست ؟ در ضمن ما میبینیم سایتهایی نظیر فیسبوک و یوتیوب ، که از https استفاده میکنند ، فیلتر هستند خلاصه این تناقض رو نمیدونم چجوری هست . خواهشا اگر اطلاعاتی در این خصوص دارید بفرمایید .
یکی از چتروم ها از آدرس https در اول آدرسش استفاده میکند و ادعا میکند که با این کار دیگر کارگروه تعیین مصادیق مجرمانه ، نمیتواند فیلترش کند چون قبلا از http استفاده میکرد ، بیش از 10 بار فیلتر شد . ولی بعد از اینکه از https استفاده میکند ، دیگر کسی ندید که فیلتر شود حالا میخواستم ببینم آیا واقعا فیلتر کردن https امکانپذیر نیست ؟ در ضمن ما میبینیم سایتهایی نظیر فیسبوک و یوتیوب ، که از https استفاده میکنند ، فیلتر هستند خلاصه این تناقض رو نمیدونم چجوری هست . خواهشا اگر اطلاعاتی در این خصوص دارید بفرمایید .
به طور کلی سایت هایی که ترافیک آنها از مسیر کشور عبور کند قابل مسدودسازی هستند، منتها به لحاظ فنی و مالی ممکن است کنترل یک پروتکل خیلی راحت تر و کم هزینه تر باشد، به همین علت است که سایت های پروتکل HTTP سریعا مسدود می شوند، چون محتوای آنها هیچ نوع رمزنگاری یا پیچیدگی فنی از این نظر ندارد و عمدتا با تعریف الگوریتم های خودکار و سنجش محتوا می توان موارد مشکوک را شناسایی یا مسدود کرد! اما این اتفاق برای پروتکل HTTPS زمانبرتر است، علت آن هم رمزی شدن داده های سایت و در نتیجه عدم شناسایی توسط الگوریتم های خودکار است، اما این دلیل بر همیشه در دسترس بودن سایت مورد نظر نیست و در صورت مشاهده افراد کنترل کننده یا ارسال گزارشات، با توجه به سابقه قبلی احتمال مسدود شدن آن سایت خیلی زیاد و از نظر فنی ممکن است!
امیر
۲۲:۴۸ ۱۳۹۴/۰۳/۲۷
با سلام . چرا توصیه شده حتی در وبسایت های ساده و کم اهمیت هم از HTTPS استفاده شود؟
اصولا استفاده از HTTPS با فاکتور امنیت ارتباط دارد و یکی از امتیازات مثبت سایت ها در رقابت با هم محسوب می شود، منتها اینکه واقعا یک سایت ساده یا سایتی که محتوای حساس در آن رد و بدل نمی شود نیز باید از HTTPS استفاده کند یا خیر، جای بحث دارد، در عمل به دلیل سرعت پائین تر این پروتکل و برخی مشکلات دیگر در مقایسه با پروتکل عادی وب یعنی HTTP، روال این است که تنها صفحات حساس (مانند صفحات ورود و خروج، درگاه پرداخت و...) از این ویژگی استفاده می کنند، ضمن اینکه قیمت و فرآیند صدور گواهی SSL بخصوص در ایران و به طور خاص برای دامنه های با پسوند ir طوری است که سایت های غیر سازمانی و غیر دولتی، کمتر تمایل به استفاده از آن دارند.
نکته: اگرچه پروتکل HTTPS توسط موتورهای جستجو توصیه شده و مزیت های زیادی دارد، اما به دلیل هزینه بر بودن، کاهش سرعت و پیچیده تر بودن از نظر مباحث فنی، همچنان اغلب وبسایت های شبکه جهانی تمایلی به استفاده از این پروتکل (به جزء در موارد خاص) ندارند، لذا این توصیه می تواند تا حدودی نیز ناشی از بازارگرمی شرکت های ارائه دهنده گواهی SSL باشد!
نکته: اگرچه پروتکل HTTPS توسط موتورهای جستجو توصیه شده و مزیت های زیادی دارد، اما به دلیل هزینه بر بودن، کاهش سرعت و پیچیده تر بودن از نظر مباحث فنی، همچنان اغلب وبسایت های شبکه جهانی تمایلی به استفاده از این پروتکل (به جزء در موارد خاص) ندارند، لذا این توصیه می تواند تا حدودی نیز ناشی از بازارگرمی شرکت های ارائه دهنده گواهی SSL باشد!
cyc
۰۲:۲۸ ۱۳۹۳/۱۲/۱۸
با سلام آیا پروتکل ssl قابل نفوذ هست؟
اگرچه بر اساس یک قاعده کلی هر قفلی کلیدی دارد، اما در مورد SSL خطر هک شدن در دنیای واقعی بسیار ناچیز و کار هکر بسیار مشکل است، البته این به متد و الگوریتم استفاده شده برای رمزنگاری داده ها، طول کلید استفاده شده و همچنین پیچیده گی کلمات عبور و... نیز بستگی دارد، در SSL نسخه 2 مشکلاتی وجود داشت اما این موارد در نسخه 3 کاملا مرتفع شده است.
آرتین
۲۳:۵۷ ۱۳۹۳/۱۰/۱۷
با سلام و تشکر از مطالب مفیدتون
در مورد پروتکلهای امنیت در بانکداری اینترنتی و مقایسه آن مطالبی میخواستم بسیار ممنون میشوم اگر راهنمایی بفرمایید.
در مورد پروتکلهای امنیت در بانکداری اینترنتی و مقایسه آن مطالبی میخواستم بسیار ممنون میشوم اگر راهنمایی بفرمایید.
سوالتان خیلی کلی است و پاسخ دقیق به آن نیاز به گذراندن واحدهای درسی دانشگاهی دارد! در حد آشنایی با مفاهیم کلی مقاله موجود در لینک زیر (به زبان اصلی) مفید خواهد بود:
http://csrc.nist.gov/nissc/1997/proceedings/041.pdfهادی
۱۶:۲۷ ۱۳۹۳/۰۹/۲۵
بسیار ممنون. خدا قوت
مبینا
۱۸:۳۴ ۱۳۹۳/۰۹/۲۲
سلام ببخشید من یک سوال دارم چرا در سایت های مختلف رنگ https های آن با هم فرق دارند؟؟؟؟؟؟؟؟؟ اگه میشه جواب بدید ممنون میشم
این موضوع بین مرورگرهای مختلف متفاوت است، اما در کل رنگ سبز نشانه تائید کامل گواهی SSL سایت مذکور، رنگ آبی یا زرد نشانه وجود یک نقض در گواهی SSL است که معمولا مشکل جدی نیست (رمزی سازی داده ها ممکن است کامل انجام نشود) و رنگ قرمز نشانه منقضی شدن اعتبار گواهی SSL یا عدم تائید آن است.
محسن اسکندری
۱۲:۵۸ ۱۳۹۳/۰۸/۲۳
با سلام خواستم ببینم آیا رنگ پروتکل https اگه زرد باشه مشکلی داره یا حتما باید سبز باشه
این حالت معمولا در رابطه با برخی سایت هایی که از پروتکل HTTPS استفاده می کنند اتفاق می افتد و دلیل آن هم در اغلب موارد ناشی از خطاها یا به عبارت بهتر سهل انگاری های برنامه نویسی است، به طور مثال ممکن است تصاویر سایت از یک منبع HTTP بارگذاری شوند، در صورتی که کل سایت از HTTPS استفاده می کند، در این حالت مرورگر به نشانه هشدار رنگ زرد را نمایش می دهد (مبنی بر اینکه برخی از محتوا رمزی نشده است)، در مجموع رنگ زرد مسئله خاصی ندارد و جای نگرانی نیست!
محمد جواد
۱۱:۴۸ ۱۳۹۳/۰۲/۲۵
من هر موقع وارد گوگل به صورت امن وارد می شوم این پیام را میدهد.
این اتصال غیر قابل اعتماد است
شما از فایرفاکس خواستهاید که به صورت امن به google.com متصل شود، ولی تأیید امنیت اتصال شما امکانپذیر نیست.
معمولاً هنگامی که تلاش میکنید به صورت امن اتصال برقرار کنید، پایگاه ها امکانات قابل اعتمادی برای تشخیص هویت فراهم میکنند که ثابت کنند مقصد شما همان پایگاهی است که قصد رفتن به آن را داشتید. با این وجود، امکان تأیید هویت این پایگاه وجود ندارد.
چه باید کرد؟
اگر معمولاً بدون اشکال به این پایگاه وصل میشوید، این پیغام خطا به معنی آن است که شخصی تلاش میکند هویت این پایگاه را جعل کند، پس نباید به مرور این پایگاه ادامه دهید.
پایان
بعد از این پیام نوشته است ترک این مکان و جزئیات فنی متوجه خطرات هستم.
اگر امن هست چرا پیام اتصال غیر قابل اعتماد میدهد.
جواب بدهید. باید چه کرد. درضمن ممنون از سایت خوبتون.
این اتصال غیر قابل اعتماد است
شما از فایرفاکس خواستهاید که به صورت امن به google.com متصل شود، ولی تأیید امنیت اتصال شما امکانپذیر نیست.
معمولاً هنگامی که تلاش میکنید به صورت امن اتصال برقرار کنید، پایگاه ها امکانات قابل اعتمادی برای تشخیص هویت فراهم میکنند که ثابت کنند مقصد شما همان پایگاهی است که قصد رفتن به آن را داشتید. با این وجود، امکان تأیید هویت این پایگاه وجود ندارد.
چه باید کرد؟
اگر معمولاً بدون اشکال به این پایگاه وصل میشوید، این پیغام خطا به معنی آن است که شخصی تلاش میکند هویت این پایگاه را جعل کند، پس نباید به مرور این پایگاه ادامه دهید.
پایان
بعد از این پیام نوشته است ترک این مکان و جزئیات فنی متوجه خطرات هستم.
اگر امن هست چرا پیام اتصال غیر قابل اعتماد میدهد.
جواب بدهید. باید چه کرد. درضمن ممنون از سایت خوبتون.
تا آنجا که اطلاع داریم دریافت این پیام به دلیل ایجاد اختلالات مخابراتی در سیستم انتقال امن داده ها یا SSL سایت گوگل است که تنها در داخل کشور و در برخی ISP ها وجود دارد! همچنین به تاریخ سیستمتان دقت کنید که تنظیم باشد، در هر صورت تمام کاربران به همین صورت در حال استفاده هستند و تنها مشکل، از کار افتادن سیستم رمزنگاری داده ها است، لذا می توانید روی دکمه "متوجه خطرات هستم" کلیک کنید.
متاسفانه در این رابطه امکان توضیح بیشتر نیست!
متاسفانه در این رابطه امکان توضیح بیشتر نیست!
۲۰:۲۶ ۱۳۹۳/۰۲/۰۹
سلام
چطوري هست وقتي از اين پرتكل امن استفاده مي كنيم باز نميشه صحفه مورد نظرمون؟
چطوري هست وقتي از اين پرتكل امن استفاده مي كنيم باز نميشه صحفه مورد نظرمون؟
سرعت این پروتکل در کل پائین تر است که محدودیت های مخابراتی نیز بر آن اضافه می شود! به هر صورت جهت بررسی بیشتر لطفا یک لینک قرار دهید.
صفحه 2 از 3 محتوا در وبگو به صورت تألیفی تهیه می شود و دارای حق تألیف است، در صورت نیاز به کپی برداری لطفا ابتدا "شرایط استفاده" را مطالعه کنید.
خدمات و راه های ارتباطی ما صرفا تحت دامنه Webgoo.ir ارائه و اطلاع رسانی می شوند، صفحات یا عناوین مشابه مورد تائید نمی باشند.
- به سوالات کلی، زمانبر، مبهم و مشکلاتی که تلاشی برای رفع آنها نکرده باشید پاسخ مختصر داده شده یا به بخش برنامه نویسی اختصاصی ارجاع داده می شوند.
- کدها و اسکریپت های طولانی را ترجیحا در یک صفحه وب آنلاین یا به صورت حساب موقت و آزمایشی قرار دهید تا امکان بررسی دقیق مشکل و خطایابی میسر باشد.
- تمام دیدگاه های ارسالی خوانده شده و برای هر کاربر مدت زمان لازم جهت پاسخگویی در نظر گرفته می شود، لطفا از طرح سوالات متعدد در بازه زمانی کوتاه خودداری کنید.