hamid1101
January 21st, 2017, 15:36
در اینجا به توضیح در مورد پیامهایی که برای گواهینامه SSL در مرورگرهای جدید کروم (نسخه 39 به بالا) نشان داده می شود می پردازیم. در اینجا لیستی از پیغام هایی است که میخواهیم درمورد آنها توضیح دهیم:
Further, this page includes other resources which are not secure. These resources can be viewed by others while in transit, and can be modified by an attacker to change the look of the page.
This site uses a weak security configuration (SHA-1 signatures), so your connection may not be private. <...> The certificate chain for this website contains at least one certificate that was signed using a deprecated signature algorithm based on SHA-1.
Your connection to domain.com is encrypted using an obsolete cipher suit.
No Certificate Transparency information was supplied by the server.
چگونه به قسمت پیام ها در کروم برویم: بر روی قفل و یا نوار آدرس سبز کلیک کنید و سپس گزینه Details را انتخاب نمایید. در این لحظه قادر خواهید بود پیام ها را در سمت راست مرورگر خود مشاهده نمایید.
1 - پیام “Further, this page includes other resources which are not secure. These resources can be viewed by others while in transit, and can be modified by an attacker to change the look of the page.” اغلب پس از نصب SSL نشان داده می شود:
دلیل نمایش این پیام وجود لینک های HTTP در کد HTML صفحه وب است. میتوان لینک ها را در مرورگر بررسی نمود٫ کافی است که ترکیب کلیدهای Ctrl+Shift+J (یا Command+Option+J در مکینتاش) را فشار دهید و سپس بر روی Console کلیک کنید.
2 - پیام “This site uses a weak security configuration (SHA-1 signatures), so your connection may not be private. <...> The certificate chain for this website contains at least one certificate that was signed using a deprecated signature algorithm based on SHA-1.” برای همه گواهینامه هایی که از الگوریتم رمزنگاری SHA-1 استفاده می کنند نشان داده میشود:
این مشکل با ارتقای گواهینامه SSL به SHA-256 از طریق صدور مجدد آن برطرف میشود. ارتقا به الگوریتم SHA-256 with RSA برای گواهینامه های آرون به صورت خودکار صورت میگیرد.
3 - اگر پیام هشدار “Your connection to domain.com is encrypted using an obsolete cipher suit.” را مشاهده نمودید٫ سایت شما از یک سامانه امنیتی و یا پروتکل SSL/TLS ضعیف برای رمزنگاری ارتباطات استفاده می کند:
علی رغم وجود این پیام٫ قفل سبزرنگ نشان داده میشود. ولی همچنان برای اینکه بتوان ارتباط ایمنی را داشته باشیم بهتر است که سامانه های امنیتی یا پروتکل های ضعیف را در سرور (مانند SSLv2, SSLv3, RC4, SHA1 یا MD5 استفاده شده برای احراز هویت) را غیرفعال نمود. میتوان با استفاده از این ابزار (https://www.ssllabs.com/) نسبت به بررسی پروتکل های فعال بر روی وب سایت و نقاط ضعف امنیتی سایت اقدام نمود. برای اینکه بتوان پیکربندی سرور را تغییر داد نیاز به دسترسی root می باشد٫ بنابراین اگر شما چنین دسترسی ندارید٫ با ارایه کننده سرویس میزبانی/سرور خود برای کمک تماس بگیرید.
4 - پیام “No Certificate Transparency information was supplied by the server.” مرتبط با پروژه Certificate Transparency است. در این مورد نیز قفل سبزرنگ نشان داده میشود:
پروژه Certificate Transparency (http://www.certificate-transparency.org/) بررسی و مانیتورینگ گواهینامه های SSL در لحظه است٫ که باعث میشود صدور و استفاده از SSL های تقلبی غیرممکن شود. این پروژه بایستی در سطح صادرکنندگان گواهینامه آغاز شود.
در میان گواهینامه های SSL تنها گواهینامه های Extended Validation از این پروژه پشتیبانی میکنند.
برای گواهینامه های Domain Validation و Organization Validation ممکن است در آینده نزدیک این کار صورت پذیرد. متاسفانه در حال حاضر هیچ زمان مشخصی برای این موضوع وجود ندارد.
در زیر لینک هایی ارایه شده که ممکن است مفید باشد:
Mixed Content در Mozilla (https://developer.mozilla.org/en-US/docs/Security/MixedContent)
پروژه Certificate Transparency (http://www.certificate-transparency.org/)
پیکربندی Apache, Nginx, و OpenSSL برای Forward Secrecy (https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy)
متن اصلی این نوشته:
https://aron.host/kb/2017/01/18/%d9%be%db%8c%d8%a7%d9%85-%d9%87%d8%a7%db%8c-ssl-%d8%af%d8%b1-%da%a9%d8%b1%d9%88%d9%85-%d9%88-%d9%85%d8%b9%d9%86%db%8c-%d8%a2%d9%86%d9%87%d8%a7/
Further, this page includes other resources which are not secure. These resources can be viewed by others while in transit, and can be modified by an attacker to change the look of the page.
This site uses a weak security configuration (SHA-1 signatures), so your connection may not be private. <...> The certificate chain for this website contains at least one certificate that was signed using a deprecated signature algorithm based on SHA-1.
Your connection to domain.com is encrypted using an obsolete cipher suit.
No Certificate Transparency information was supplied by the server.
چگونه به قسمت پیام ها در کروم برویم: بر روی قفل و یا نوار آدرس سبز کلیک کنید و سپس گزینه Details را انتخاب نمایید. در این لحظه قادر خواهید بود پیام ها را در سمت راست مرورگر خود مشاهده نمایید.
1 - پیام “Further, this page includes other resources which are not secure. These resources can be viewed by others while in transit, and can be modified by an attacker to change the look of the page.” اغلب پس از نصب SSL نشان داده می شود:
دلیل نمایش این پیام وجود لینک های HTTP در کد HTML صفحه وب است. میتوان لینک ها را در مرورگر بررسی نمود٫ کافی است که ترکیب کلیدهای Ctrl+Shift+J (یا Command+Option+J در مکینتاش) را فشار دهید و سپس بر روی Console کلیک کنید.
2 - پیام “This site uses a weak security configuration (SHA-1 signatures), so your connection may not be private. <...> The certificate chain for this website contains at least one certificate that was signed using a deprecated signature algorithm based on SHA-1.” برای همه گواهینامه هایی که از الگوریتم رمزنگاری SHA-1 استفاده می کنند نشان داده میشود:
این مشکل با ارتقای گواهینامه SSL به SHA-256 از طریق صدور مجدد آن برطرف میشود. ارتقا به الگوریتم SHA-256 with RSA برای گواهینامه های آرون به صورت خودکار صورت میگیرد.
3 - اگر پیام هشدار “Your connection to domain.com is encrypted using an obsolete cipher suit.” را مشاهده نمودید٫ سایت شما از یک سامانه امنیتی و یا پروتکل SSL/TLS ضعیف برای رمزنگاری ارتباطات استفاده می کند:
علی رغم وجود این پیام٫ قفل سبزرنگ نشان داده میشود. ولی همچنان برای اینکه بتوان ارتباط ایمنی را داشته باشیم بهتر است که سامانه های امنیتی یا پروتکل های ضعیف را در سرور (مانند SSLv2, SSLv3, RC4, SHA1 یا MD5 استفاده شده برای احراز هویت) را غیرفعال نمود. میتوان با استفاده از این ابزار (https://www.ssllabs.com/) نسبت به بررسی پروتکل های فعال بر روی وب سایت و نقاط ضعف امنیتی سایت اقدام نمود. برای اینکه بتوان پیکربندی سرور را تغییر داد نیاز به دسترسی root می باشد٫ بنابراین اگر شما چنین دسترسی ندارید٫ با ارایه کننده سرویس میزبانی/سرور خود برای کمک تماس بگیرید.
4 - پیام “No Certificate Transparency information was supplied by the server.” مرتبط با پروژه Certificate Transparency است. در این مورد نیز قفل سبزرنگ نشان داده میشود:
پروژه Certificate Transparency (http://www.certificate-transparency.org/) بررسی و مانیتورینگ گواهینامه های SSL در لحظه است٫ که باعث میشود صدور و استفاده از SSL های تقلبی غیرممکن شود. این پروژه بایستی در سطح صادرکنندگان گواهینامه آغاز شود.
در میان گواهینامه های SSL تنها گواهینامه های Extended Validation از این پروژه پشتیبانی میکنند.
برای گواهینامه های Domain Validation و Organization Validation ممکن است در آینده نزدیک این کار صورت پذیرد. متاسفانه در حال حاضر هیچ زمان مشخصی برای این موضوع وجود ندارد.
در زیر لینک هایی ارایه شده که ممکن است مفید باشد:
Mixed Content در Mozilla (https://developer.mozilla.org/en-US/docs/Security/MixedContent)
پروژه Certificate Transparency (http://www.certificate-transparency.org/)
پیکربندی Apache, Nginx, و OpenSSL برای Forward Secrecy (https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy)
متن اصلی این نوشته:
https://aron.host/kb/2017/01/18/%d9%be%db%8c%d8%a7%d9%85-%d9%87%d8%a7%db%8c-ssl-%d8%af%d8%b1-%da%a9%d8%b1%d9%88%d9%85-%d9%88-%d9%85%d8%b9%d9%86%db%8c-%d8%a2%d9%86%d9%87%d8%a7/