Ssl لزوما به آی پی اختصاصی نیاز ندارد....

با سلام خدمت دوستان
چند وقتیه در فروم ها و سایت های ایرانی به دنبال SSL می گشتم و متوجه موضوع فجیحی شدم که لازم میدونم حتما با شما در میان بگذارم.

همان طور که میدونید اکثر اعضا فروم وقتی به بحث خرید یا نصب SSL می پردازند قید میکنند " SSL حتما به نیاز به آی پی اختصاصی دارد".

این مطلب لزوما درست نیست!!!!

روند کار SSL بدین صورت است که وقتی کاربر درخواست برقراری کانکشن TLS میدهد سرور باید یک گواهینامه را ارائه دهد. حالا وقتی سرور میخواد ارائه بده از کجا باید بدونه مال کدوم سایته؟ به همین دلیل هست که میگن آی پی اختصاصی لازمه (پیشاپیش از اینکه یه مقدار بد توضیح میدم عذر میخوام برای ایم مطلب سایت فارسی پیدا نکردم که کپی کنم برا همین خودم دارم مینویسم)

حالا اگه سرور بدونه که برای کدوم سایته چی؟ اگه بدونه به آی پی اختصاصی نیاز نیست دیگه درسته؟ این مشکل توسط تکنولوژی SNI حل شده. در این افزونه TLS اطلاعات Hostname نیز در گواهی درج میشه و دیگه برای نصب و راه اندازی و استفاده از SSL نیازی به آی پی اختصاصی نیست!! بدین ترتیب هزینه نگهداری سایت هم به صورت چشم گیری کاهش پیدا میکنه.

برای مطالعه بیشتر به این لینک برید:
Server Name Indication - Wikipedia, the free encyclopedia

سوال: یعنی واقعا میشه ؟
پاسخ : بله! تنها محدودیتی که در SNI وجود داره عدم پشتیبانی از مرورگر های قدیمیه که بزرگترینشون IE در ویندوز XP هست.(آخر همون صفحه بالا نوشته)

سوال: چرا پس همه میگن آی پی اختصاصی لازمه؟ چرا هیچکس تاحالا اشاره نکرده؟
پاسخ: نمیدونم!! به احتمال زیاد عدم آگاهی از دانش فنی لازم یا منفعت طلبی. چون شما مجبورید IP رو از همون هاست بگیرید خیلی راحت روش سود میکنن.به عنوان مثال یکی از هاست های معروف ایرانی IP رو سالی 250 هزار تومان میده در صورتی که خود شرکت پارس آنلاین IP رو ماهی 5000 تومان به کاربران میده! (اون شرکتی که عرض کردم لزوما از پارس آنلاین نمیگیره فقط خواستم تفاوت قیمت رو ببینید)

سوال: هاست ایرانی هم هست که ارائه بده؟
جواب: بله. در گوگل سرچ کنید. من خودم تاحالا از بین این همه هاست فقط 2 تا پیدا کردم که از این تکنولوژی پشتیبانی میکنند. به دلیل عدم حمایت اسمشون رو مستقیم نمیارم.

امیدوارم مطالب مورد استفاده همه قرار بگیره.

سلام
تشکر ویژه بابت اینکه مطلب به این خوبی را خودتون نوشتید.

اما این نکته که:

نقل قول:

---

تنها محدودیتی که در sni وجود داره عدم پشتیبانی از مرورگر های قدیمیه که بزرگترینشون ie در ویندوز xp هست

---

مشکل ساز هست ، اکثر دفاتر و ادارات دولتی از ویندوز xp استفاده میکنند و همینطور تعداد زیادی از مردم
اینطور ممکن هست درصدی که از ie قدیمی استفاده میکنند ، دسترسی درستی به وب سایت و بصورت دقیق تر جایی که ما ssl به کار بردیم نداشته باشند.

معمولا این امکان بسته هست باید اینطوری بازش کرد

کد PHP:

---

enable_ssl_sni=1 


---

این رو در این فایل اضافه کنید

کد PHP:

---

/usr/local/directadmin/conf/directadmin.conf 


---

بله شما درست میفرمایید. البته فقط در IE این مشکل وجود داره و با firefox در ویندوز xp این مشکل حل میشه.
من هدفم فقط اطلاع رسانی بوده

واقعا مطلب فوق العاده و جالبی بود
خیلی بهش نیاز داشتم

توجه توجه : سرفا جهت اطلاع دوستان عزیز sni یک سری چینش ها رو در لایه ها به سمت سرور اختلال ایجاد میکنه و شما به صورت کامل به سرور متصل نیستید و من هم همین فکرو میکردم که یکی دو بار هک شدم - 2 اون sni نیست که باعت بروز خطا تو مرورگر های قدیمی میشه نوع کد گذاری هست مثالا sha 2 از ویندوز xp پشتیبانی نمیکنه.
SHA2(more Secure, but WinXP SP2 don't support)
SHA1(According to WebTrust BR, CA can't issue SHA-1 certificate validity period greater than January 1, 2017.)
و این که یه سری شرکتا هم هستن ای پی اختصاصی ارزون بدن - مثالا یکی که من میشناسم سالیانه 50 هزارتومن میگیره.

با تشکر از سخنان مفید دوستان

ssl لزوما نیازی به آی پی اختصاصی نداره اما کدوم هاستینگ حاضره رو آی پی خودش به شما ssl بده و برای هر مشتری بیاد dnszone های خوشودشو دستکاری بکنه ؟ در ضمن استفاده از sni خطراتی هم داره

استفاده از ip اختصاصی امن تر است !
اما sni هم چندان ضعیف نیست؛ ما نیز برای مشترانی که ip اختصاصی نخواهند از همین روش استفاده می کنیم. در بعضی موارد هم برای کاربر و هم برای هاستینگ به صرفه است.

نقل قول:

---

نوشته اصلی توسط Asp.Net

ssl لزوما نیازی به آی پی اختصاصی نداره اما کدوم هاستینگ حاضره رو آی پی خودش به شما ssl بده و برای هر مشتری بیاد dnszone های خوشودشو دستکاری بکنه ؟ در ضمن استفاده از sni خطراتی هم داره

---

لطفا بفرمایید چه خطراتی؟

نقل قول:

---

نوشته اصلی توسط SamaN DL

لطفا بفرمایید چه خطراتی؟

---

یکی از این خطرات تغییراتی هست که روی لایه های هاست ایجاد میشه و امنیت سرور پایین میاد

نقل قول:

---

نوشته اصلی توسط Asp.Net

یکی از این خطرات تغییراتی هست که روی لایه های هاست ایجاد میشه و امنیت سرور پایین میاد

---

جسارتا میشه لایه‌های هاست رو مشخص بفرمایید؟! و اینکه چه تغییراتی بر روی این لایه‌ها ایجاد میشه و مهم‌تر از همه اینکه گواهی ssl چه ارتباطی به امنیت سرور میتونه داشته باشه!
متشکرم.

Asp.Net عزیز شما یه دامنه به من بده 1سال هاست + 1 سال ssl f-r-e-e ر-ا-ی-گ-ا-ن میدم.
حتی اگه دامنت دات ای ار باشه.
رو sni تعداد شرکتایی که میزارن رو sni شما ssl استفاده کنید خیلی کمم نیست
مثال talahost - mihanuptime و web4iran

نقل قول:

---

نوشته اصلی توسط hamid.soltani92

جسارتا میشه لایه‌های هاست رو مشخص بفرمایید؟! و اینکه چه تغییراتی بر روی این لایه‌ها ایجاد میشه و مهم‌تر از همه اینکه گواهی ssl چه ارتباطی به امنیت سرور میتونه داشته باشه!
متشکرم.

---

لایه های هاست یا host layer شامل سه لایه application -session-presentation هست . نصب sni راه رو برای حملات لایه 7 باز میکنه

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط salar123

Asp.Net عزیز شما یه دامنه به من بده 1سال هاست + 1 سال ssl f-r-e-e ر-ا-ی-گ-ا-ن میدم.
حتی اگه دامنت دات ای ار باشه.
رو sni تعداد شرکتایی که میزارن رو sni شما ssl استفاده کنید خیلی کمم نیست
مثال talahost - mihanuptime و web4iran

---

همه این سایت ها این مشکل رو دارند و به راحتی .....

نقل قول:

---

نوشته اصلی توسط Asp.Net

لایه های هاست یا host layer شامل سه لایه application -session-presentation هست . نصب sni راه رو برای حملات لایه 7 باز میکنه

---

لایه ترنسپورت رو نفرمودید!
به ۲ سوال بنده هم پاسخ ندادید!
چه تغییراتی در لایه‌های مدل OSI صورت می‌گیره؟
ارتباط گواهی ssl با امنیت سرور چیه؟
همچنین لطفا در مورد حفره امنیتی احتمالی که فرمودید یک مدرک ارائه بفرمایید.
هندشیک tls به این صورت هست:
http://blog.layershift.com/wp-conten..._handshake.png

در استفاده از SNI تنها تغییری که صورت می‌گیره، هاست‌نیم به client hello اضافه میشه و هیچ اتفاق خاص دیگه‌ای نمی‌افته که بخواد مشکلی برای سرور یا کلاینت پیش بیاره!
خواهش می‌کنم وقتی در مورد چیزی اطلاعات کافی ندارید، فقط خواننده باشید. در غیر این صورت باعث گمراه کردن دیگران خواهید شد.

سلام
جناب سلطانی ssl هایی که شرکت هایی مثل کلود فلار میدهند به چه صورت هست؟ امنیت و ...؟
باتشکر

نقل قول:

---

نوشته اصلی توسط hamid.soltani92

لایه ترنسپورت رو نفرمودید!
به ۲ سوال بنده هم پاسخ ندادید!
چه تغییراتی در لایه‌های مدل OSI صورت می‌گیره؟
ارتباط گواهی ssl با امنیت سرور چیه؟
همچنین لطفا در مورد حفره امنیتی احتمالی که فرمودید یک مدرک ارائه بفرمایید.
هندشیک tls به این صورت هست:
http://blog.layershift.com/wp-conten..._handshake.png

در استفاده از SNI تنها تغییری که صورت می‌گیره، هاست‌نیم به client hello اضافه میشه و هیچ اتفاق خاص دیگه‌ای نمی‌افته که بخواد مشکلی برای سرور یا کلاینت پیش بیاره!
خواهش می‌کنم وقتی در مورد چیزی اطلاعات کافی ندارید، فقط خواننده باشید. در غیر این صورت باعث گمراه کردن دیگران خواهید شد.

---

فعال کردن sni باعث میشه بیت های پرسجو از 16 به 32 ارتقا پیدا کنه و سیستم اسیب پذیر شود ( صرفا برای بالا بردن اطلاعات شما )

نقل قول:

---

نوشته اصلی توسط Asp.Net

فعال کردن sni باعث میشه بیت های پرسجو از 16 به 32 ارتقا پیدا کنه و سیستم اسیب پذیر شود ( صرفا برای بالا بردن اطلاعات شما )

---

لطفا برای بالا بردن اطلاعات بنده و سایرین بفرمایید که کی گفته بیت‌های پرسجو افزایش پیدا می‌کنه؟ همچنین این افزایش چطور میتونه باعث آسیب‌پذیر شدن سیستم بشه؟
لطفا منبع معتبر اعلام بفرمایید.

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط jahromweb

سلام
جناب سلطانی ssl هایی که شرکت هایی مثل کلود فلار میدهند به چه صورت هست؟ امنیت و ...؟
باتشکر

---

سلام و عرض ادب.
متاسفانه در این مورد بنده اطلاع ندارم. ببخشید.
ارادتمند.

نقل قول:

---

نوشته اصلی توسط hamid.soltani92

لطفا برای بالا بردن اطلاعات بنده و سایرین بفرمایید که کی گفته بیت‌های پرسجو افزایش پیدا می‌کنه؟ همچنین این افزایش چطور میتونه باعث آسیب‌پذیر شدن سیستم بشه؟
لطفا منبع معتبر اعلام بفرمایید.

- - - Updated - - -


سلام و عرض ادب.
متاسفانه در این مورد بنده اطلاع ندارم. ببخشید.
ارادتمند.

---

براتون پ خ میکنم گفتنش اینجا فایده نداره

نقل قول:

---

نوشته اصلی توسط Asp.Net

براتون پ خ میکنم گفتنش اینجا فایده نداره

---

گرامی♥ هر موضوعی هست همینجا مطرح کنید تا کاربران هم استفاده کنند!

نقل قول:

---

نوشته اصلی توسط Asp.Net

براتون پ خ میکنم گفتنش اینجا فایده نداره

---

لطفا همینجا بفرمایید. بدون شک فایده داره. چند نفر چیز جدید یاد می‌گیرند.

نقل قول:

---

نوشته اصلی توسط Asp.Net

لایه های هاست یا host layer شامل سه لایه application -session-presentation هست . نصب sni راه رو برای حملات لایه 7 باز میکنه

- - - Updated - - -



همه این سایت ها این مشکل رو دارند و به راحتی .....

---

oh oh oh oh oh کلی مشتری ما بد بخت شدن الان که همه سایتاشون به راحتی .... بشه پیشنهاد میکنم یه شکایت نامه خیلی سنگینی برای cpanel آماده کنیم آقا اگه کامل تر بگید تا ما هم یاد بگیریم

نقل قول:

---

نوشته اصلی توسط iwpanel

oh oh oh oh oh کلی مشتری ما بد بخت شدن الان که همه سایتاشون به راحتی .... بشه پیشنهاد میکنم یه شکایت نامه خیلی سنگینی برای cpanel آماده کنیم آقا اگه کامل تر بگید تا ما هم یاد بگیریم

---

قرار بود به بنده پیام خصوصی بدن، ندادن هنوز!

نقل قول:

---

نوشته اصلی توسط hamid.soltani92

قرار بود به بنده پیام خصوصی بدن، ندادن هنوز!

---

والا شما اگه فهمیدی به ما هم بگو بالاخره کارمون هست نمیخواییم شرمنده مشتری بشیم

یه شکوایه سنگین هم باید برای cpanel آماده کنم ۷۵ لایسنس داریم ازشون کلا بدبختمون کرده ظاهرا 8-|:-ss البته هنوز که ما هم نفهمیدیم قصد این عمل سر چی بوده ..... همه با هم ....... بشیم اینجوری باشه نصف هاستینگ دنیا الان تعطیله مخصوص 1and1 که میگه موردی نداره اس اس ال بزن ro sni هر چی دوست داری

نقل قول:

---

نوشته اصلی توسط iwpanel

والا شما اگه فهمیدی به ما هم بگو بالاخره کارمون هست نمیخواییم شرمنده مشتری بشیم

یه شکوایه سنگین هم باید برای cpanel آماده کنم ۷۵ لایسنس داریم ازشون کلا بدبختمون کرده ظاهرا 8-|:-ss البته هنوز که ما هم نفهمیدیم قصد این عمل سر چی بوده ..... همه با هم ....... بشیم اینجوری باشه نصف هاستینگ دنیا الان تعطیله مخصوص 1and1 که میگه موردی نداره اس اس ال بزن ro sni هر چی دوست داری

---

مساله رو زیاد جدی نگیرید;)

نقل قول:

---

نوشته اصلی توسط hamid.soltani92

مساله رو زیاد جدی نگیرید;)

---

نه بابا انصافا من تو عمرا به هیچ شرکتی مثل cpanel اطمینان نداشتم حالا هم که sni داره توپ روش کار مکنه من روی یه اکانت user cpanel با یه دامین ۴تا اس اس ال زدم آخ هم نگفت سایته :-)

نقل قول:

---

نوشته اصلی توسط iwpanel

نه بابا انصافا من تو عمرا به هیچ شرکتی مثل cpanel اطمینان نداشتم حالا هم که sni داره توپ روش کار مکنه من روی یه اکانت user cpanel با یه دامین ۴تا اس اس ال زدم آخ هم نگفت سایته :-)

---

متاسفانه ایشون کلا دیگه به این تاپیک سر نمیزنن:))
احتمالا مشغول هک کردن سایت‌های شما هستن!

نقل قول:

---

نوشته اصلی توسط hamid.soltani92

متاسفانه ایشون کلا دیگه به این تاپیک سر نمیزنن:))
احتمالا مشغول هک کردن سایت‌های شما هستن!

---

آره فکر کنم جواب ایشون که دیشب به من دادن

سلام
این باگ توسط ssl رفع شده

خیلی ممنون
البته استفاده از sni خطراتی داره

نقل قول:

---

نوشته اصلی توسط aloochy

خیلی ممنون
البته استفاده از sni خطراتی داره

---

خطراتی که داره رو بفرمایید...

نقل قول:

---

نوشته اصلی توسط danymogh

با سلام خدمت دوستان
چند وقتیه در فروم ها و سایت های ایرانی به دنبال SSL می گشتم و متوجه موضوع فجیحی شدم که لازم میدونم حتما با شما در میان بگذارم.

همان طور که میدونید اکثر اعضا فروم وقتی به بحث خرید یا نصب SSL می پردازند قید میکنند " SSL حتما به نیاز به آی پی اختصاصی دارد".

این مطلب لزوما درست نیست!!!!

روند کار SSL بدین صورت است که وقتی کاربر درخواست برقراری کانکشن TLS میدهد سرور باید یک گواهینامه را ارائه دهد. حالا وقتی سرور میخواد ارائه بده از کجا باید بدونه مال کدوم سایته؟ به همین دلیل هست که میگن آی پی اختصاصی لازمه (پیشاپیش از اینکه یه مقدار بد توضیح میدم عذر میخوام برای ایم مطلب سایت فارسی پیدا نکردم که کپی کنم برا همین خودم دارم مینویسم)

حالا اگه سرور بدونه که برای کدوم سایته چی؟ اگه بدونه به آی پی اختصاصی نیاز نیست دیگه درسته؟ این مشکل توسط تکنولوژی SNI حل شده. در این افزونه TLS اطلاعات Hostname نیز در گواهی درج میشه و دیگه برای نصب و راه اندازی و استفاده از SSL نیازی به آی پی اختصاصی نیست!! بدین ترتیب هزینه نگهداری سایت هم به صورت چشم گیری کاهش پیدا میکنه.

برای مطالعه بیشتر به این لینک برید:
Server Name Indication - Wikipedia, the free encyclopedia

سوال: یعنی واقعا میشه ؟
پاسخ : بله! تنها محدودیتی که در SNI وجود داره عدم پشتیبانی از مرورگر های قدیمیه که بزرگترینشون IE در ویندوز XP هست.(آخر همون صفحه بالا نوشته)

سوال: چرا پس همه میگن آی پی اختصاصی لازمه؟ چرا هیچکس تاحالا اشاره نکرده؟
پاسخ: نمیدونم!! به احتمال زیاد عدم آگاهی از دانش فنی لازم یا منفعت طلبی. چون شما مجبورید IP رو از همون هاست بگیرید خیلی راحت روش سود میکنن.به عنوان مثال یکی از هاست های معروف ایرانی IP رو سالی 250 هزار تومان میده در صورتی که خود شرکت پارس آنلاین IP رو ماهی 5000 تومان به کاربران میده! (اون شرکتی که عرض کردم لزوما از پارس آنلاین نمیگیره فقط خواستم تفاوت قیمت رو ببینید)

سوال: هاست ایرانی هم هست که ارائه بده؟
جواب: بله. در گوگل سرچ کنید. من خودم تاحالا از بین این همه هاست فقط 2 تا پیدا کردم که از این تکنولوژی پشتیبانی میکنند. به دلیل عدم حمایت اسمشون رو مستقیم نمیارم.

امیدوارم مطالب مورد استفاده همه قرار بگیره.

---

با سلام و عرض ادب

اینجا ما یک سوالی برامون پیش میاد در صورتی که روی سیستم عامل های قدیمی مانند ایکس پی ساپورت نکنه کاربران قدیمی که امکان ارتقا سیستم ندارن چی کار باید بکنن
که از سایتشون بتونن استفاده کنن

جواب این سوال رو هم اگه کسی میدونه اعلام کنه

ممنون

نقل قول:

---

نوشته اصلی توسط iraneserver

با سلام و عرض ادب

اینجا ما یک سوالی برامون پیش میاد در صورتی که روی سیستم عامل های قدیمی مانند ایکس پی ساپورت نکنه کاربران قدیمی که امکان ارتقا سیستم ندارن چی کار باید بکنن
که از سایتشون بتونن استفاده کنن

جواب این سوال رو هم اگه کسی میدونه اعلام کنه

ممنون

---

یاید ip بگیره

نقل قول:

---

نوشته اصلی توسط iwpanel

یاید ip بگیره

---

بله کاملا درست هست و فکر میکنم اگر اشتباه نکنم می شود از مرور گر های دیگر هم استفاده کرد. البته من که تاپیک استارتر هستم اصلا فکر نمیکردم بعد از این همه مدت دوستان علاقه نشون بدن و تا 3 ماه پیش نیز ظاهرا فعال بوده و خیلی خوشحالم که میبینم دوستان تونستن از مطالب استفاده لازم رو ببرند.
در مورد اون دوستمون هم که می گفتن باعث ایجاد حفره امنیتی میشه می تونید به همون مقاله ذکر شده مراجعه کنید و می بینید که اینطور نیست.

به عنوان مثال در webmin قابلیتی به عنوان virtual host طراحی شده که هاست رو کاملا از بقیه سرور مجزا میکنه. و حتی اگر هم به هر دلیلی هاست هک شه این نفوذ پذیری به بقیه سرور سرایت نخواهد کرد. SNI صرفا یک header به لایه SSL اضافه می کنه که در اون اطلاعات domain گنجانده شده است.

با توجه به اینکه الان دیگه ویندوز 10 آمده سازمان هایی که هنوز دارن از ویندوز XP استفاده می کنن کم کم دارن به ویندوز 7 ارتقا میدن و دیگه نگرانی عدم پشتیبانی از IE XP نیز برطرف خواهد شد.