×

مارال هاست ارائه دهنده خدمات تخصصی میزبانی وب ایران

آموزش
مارال هاست
قوانین

Archive

دسته: SSL Certificates

وقتی صحبت از حملات مختلف به میان می آید بیشتر این مورد مد نظر قرار می گیرد که هکر ها به یک سایت حمله کرده و کنترل آن را در دست گرفته اند و یا اینکه اطلاعات مربوط به یک شخص را سرقت نموده اند. اطلاعاتی حساس که می تواند از یک پسورد شبکه اجتماعی […]&url=https%3A%2F%2Fwww.maralhost.com%2Fkb%2Fjava-script-attack-by-ssl-error%2F">
تیم تولید محتوا

حمله جاوا اسکریپت با ارور SSL ؛ یک حمله خطرناک

وقتی صحبت از حملات مختلف به میان می آید بیشتر این مورد مد نظر قرار می گیرد که هکر ها به یک سایت حمله کرده و کنترل آن را در دست گرفته اند و یا اینکه اطلاعات مربوط به یک شخص را سرقت نموده اند. اطلاعاتی حساس که می تواند از یک پسورد شبکه اجتماعی تا اطلاعات مربوط به کارت بانکی فرد متغیر باشد. اما در بعضی موارد هر دوی این روش ها مورد استفاده قرار می گیرد و می توان با استفاده از هر کدام از آنها یک تخریب بزرگ را ایجاد نمود. در این مقاله می خواهیم در مورد یکی از مهمترین این موارد صحبت کنیم و ببینیم که حمله جاوا اسکریپت با ارور SSL چگونه می تواند به ما آسیب برساند و ما چگونه باید از این حملات جلوگیری کنیم و چه مواردی را باید در نظر داشته باشیم.

قبل از اینکه به بررسی دلایل بروز و اینکه ساختار حمله جاوا اسکریپت با ارور SSL به چه صورتی می باشد بپردازیم باید ببینیم که کارکرد صفحات وب و همینطور جاوا اسکریپت به چه صورتی می باشد و چه امکاناتی باعث شده است تا این حملات به وجود بیایند و در واقع این حملات بر کدام یک از قابلیت های وب استوار هستند و از چه تکنیک هایی استفاده می کنند.

 

کارکرد صفحات وب و جاوا اسکریپت

وقتی صحبت از صفحات وب به میان می آید مهمترین و اولین چیزی که به ذهن هر کاربری می رسد یک صفحه رنگارنگ با متن و عکس های زیاد است که بعضا تصاویر و عکس های چشمک زن و متحرک و رنگارنگی آن را پوشانده است و زرق و برق آن حسابی می تواند چشم نواز باشد. اما این موضوع که در پس هر صفحه ای چه کاری انجام می شود موضوعی است ک بحث طولانی ای را می طلبد. هر سایت اینترنتی از دو بخش اصلی تشکیل شده است. اولین و مهمترین بخش که تعیین کننده قابلیت های اصلی سایت می باشد بک اند یا بخش سمت سرور نام دارد. یک بخش نرم افزاری و کدنویسی شده که وظیفه اصلی آن این است که پردازش های مورد نیاز کاربر را هر چه که باشد به انجام برساند.

کراکرد صفحات وب

بخش دوم که شاید در موارد خاصی اهمیت آن از بخش اول هم بیشتر باشد فرانت اند یا همان رابط کاربری نام دارد و مسئول این است که آنچه که در بک اند اتفاق می افتد را به کاربر نمایش دهد. هر آنچه که در ظاهر سایت وجود دارد و شما در زمان استفاده از سایت آن را مشاهده می کنید، رابط کاربری تلقی می شود. در واقع این بخش از سایت از کد هایی تلفیقی از زبان های سمت کلاینت می باشد که معمولا از CSS، HTML و JS های جاوا اسکریپت تشکیل شده است.

وقتی که کاربری می خواهد به یک صفحه از سایت دسترسی داشته باشد، یک درخواست از طرف وی به وب سرور ارسال می شود. بعد از اینکه وب سرور درخواست را دریافت کرد آن را بررسی کرده و اطلاعات مورد نیاز برای صفحه را که در واقع همان کد های صفحه می باشد را به صورت بسته های کوچک و پشت سر هم برای کاربر ارسال می کند. این کد ها و بسته ها در سیستم کاربر تجمیع شده و با استفاده از مرورگر وب برای کاربر به نمایش در خواهند آمد. پس بخش اعظم پردازش اطلاعات در سرور اتفاق افتاده و بقیه موارد جزئی و کد های نمایشی برای کاربر ارسال می شود.

در بین این کدهایی که به کاربر می رسد، کدهای مختلف وجود دارد که علاوه بر کارهای نمایشی می توانند در سمت کلاینت پردازش شوند. کدهای جاوا اسکریپت از این دسته کدها هستند و این امکان را برای شما خواهند داشت. جاوا اسکریپت همیشه قابلیت های خوبی را برای کدهای پردازشی از خود نشان داده است و به کارگیری آن در وب صرفا به رابط کاربری محدود نمی شود و سمت سرور را می توان با آن طراحی کرد.

کد هایی که از وب سرور به ما می رسند باید کد های دست نخورده باشند، و اگر در این کد ها تغییری ایجاد شود و اسکریپتی وارد شود که در پس زمینه کار بکند، ممکن است نتایج خوبی را برای ما نداشته باشد. حمله جاوا اسکریپت با ارور SSL یکی از حملاتی است که یکی از این کد ها را به کار می گیرد و در ادامه متن در مورد اینکه این حمله دقیقا جه کار می کند، بیشتر صحبت خواهیم کرد. اما پیش از رسیدگی به حمله جاوا اسکریپت با ارور SSL باید کمی در مورد اینکه عملکرد حملات به چه صورت است و با چه اهدافی اجرا می شوند هم صحبت کنیم.

 

حملات احتمالی روی سایت ها و از طریق سایت ها

وقتی صحبت از یک حمله اینترنتی به میان می آید ممکن است موارد مختلفی در ذهن شما تداعی شود. این موارد می تواند از سرقت اطلاعات کارت بانکی و خالی کردن حساب، تا تخریب یک سایت به طور کامل و جلوگیری از فعالیت آن ادامه داشته باشد. به صورت کلی می توان دو نوع حمله اینترنتی را متصور شد. اولین دسته حملاتی است که از طریق سایت ها برای اطلاعات کاربران اتفاق می افتد که بزرگترین خانواده آن حملات فیشینگ هستند.

انواع حملات روی سایت ها

در این دسته از حملات حمله کنندگان تمام تلاش خود را می کنند که به نحوی به اطلاعات کاربر دست پیدا کنند این کار می تواند از طریق ساخت سایت های جعلی و صفحات کلون(Clone) باشد و یا از طریق ایمیل های مختلفی که برای شما ارسال می شود انجام شود. شاید به نظر برسد که این نوع از حملات دیگر قدیمی شده اند، اما بد نیست بدانید که بیشتر حملات موفقی که با کلاهبرداری همراه بوده است از نوع فیشینگ می باشد. برای اطلاعات بیشتر در خصوص این نوع از حملات می توانید به مقاله فیشینگ چیست مراجعه کنید.

خانواده دیگر حملات، حملاتی هستند که توسط هکر ها به سایت های مختلف انجام می شود و هدف آنها این بار یک فرد نیست، بلکه یک سایت اینترنتی است که یک فرصت برای حمله به آنها داده است. این حملات می تواند انواع مختلف و گسترده ای را داشته باشد. عموم حملاتی که برای از کار انداختن یک سایت مورد استفاده قرار می گیرد از نوع حملات دیداس هستند که در مقاله دیداس چیست به طور کامل به آن پرداختیم. این نوع از حمله با سیلی از درخواست ها کاری می کند که سایت فلج شود و نتواند سرویس دهی کند. اما نوع دیگری از حمله وجود دارد که اوضاع را کمی وخیم تر می کند.

حملات تزریق کد یا همان SQL Injection نوع دیگری از حملات هستند که با استفاده از منافذی که ممکن است در سایت باشد، نسبت به راه اندازی یک حمله اقدام کرده و شروع به ارسال کد های سطح بالا از طریق این منافذ می کند. این کد ها به پایگاه داده شما ارسال شده و در صورتی که در آنجا اجرا شوند اوضاع به هم خواهد ریخت. حمله کنندگان با استفاده از این نوع حمله می توانند کنترل پایگاه داده و همینطور سایت را به صورت کامل به دست بگیرند. این نوع از حملات در مقاله حمله SQL Injection به صورت کامل توضیح داده شده اند.

روش حمله جاوا اسکریپت با ارور SSL چیست

حمله جاوا اسکریپت با ارور SSL حمله ای است که به صورت چند مرحله ای و ترکیبی انجام می شود و تقریبا می توان آن را در هر دو نوع از این حملات طبقه بندی کرد اما بیشتر باید گفت که به حملاتی که مربوط به کاربر می شود گرایش دارد. در ادامه در مورد اینکه حمله جاوا اسکریپت با ارور SSL چیست بیشتر صحبت خواهیم کرد.

 

حمله جاوا اسکریپت با ارور SSL چیست

حمله های مختلف تکنیک های خود را دارند به عنوان مثال در یک حمله تزریق کد حمله کنندگان معمولا به دنبال بررسیی ورودی های اطلاعاتی مانند فرم های عضویت و فرم های ورود به سایت هستند و یا در حملات فیشینگ صفحاتی به صورت کلون شده نمایش داده خواهد شد که دقیقا مانند صفحات اصلی هستند و در بعضی موراد برای ساخت آنها از عکس ها و اسکرین های این صفحات استفاده می شود. اما در حمله جاوا اسکریپت با ارور SSL اوضاع کمی فرق می کند.

حمله جاوا اسکریپت با ارور SSL چیست

قطعا شما در فضای وب با ارور SSL آشنا شده اید چند باری به آن برخورد کرده اید. این ارور ها زمانی اتفاق می افتد که اعتبار گواهینامه SSL سایت به پایان رسیده باشد و شما بخواهید به سایت دسترسی پیدا کنید. در این ارور ها صفحه ای به شما نمایش می دهد که از شما می خواهد بازگردید و به شما می گوید که لینکی که می خواهید به آن دسترسی پیدا کنید ناامن است. گزینه پیشنهادی مرورگر در اینگونه موارد خروج از سایت است، اما گزینه دیگری هم وجود دارد که شما با انتخاب آن و تایید تمامی خطراتی که این انتخاب برای شما می تواند داشته باشد، این امکان را خواهید داشت که به صفحه مورد نظر خود دست پیدا کنید و این صفحه برای شما نمایش داده شود.

معمولا وقتی ما با این ارور مواجه می شویم، به سراغ سایت خواهیم رفت. البته این بستگی به شما دارد که کدام یک از این موارد را انتخاب کنید و در صورتی که بخواهید می توانید سایت را ترک کنید. اما خیلی از افراد مسر هستند که صفحه مورد نظر را ببینند. کاری که در حمله جاوا اسکریپت با ارور SSL انجام می شود این است که این ارور را برای شما بازسازی کرده، و به شما می گوید که از سایت خارج شوید. وقتی که شما می پذیرید که با خطرات آن کنار آمده و بدون SSL وارد سایت شوید، به شما گفته می شود که باید افزونه امنیتی SSL را به صورت آپدیت روی مرورگر خود نصب کنید.

این افزونه معمولا از دامنه های شبهه امنی ارائه می شود که نام های مربوط به ارائه کنندگان SSL را دارند. بعد از دانلود و نصب این افزونه شما یک ابزار فیشینگ را به مرورگر خود ارائه داده اید که می تواند هر کاری را که می کنید و یا هر پسوردی که روی آن ذخیره کرده اید را در اختیار طراح خود بگذارد.

در ادامه به صورت جز به جز در مورد اینکه عملکرد حمله جاوا اسکریپت با ارور SSL به چه صورتی است صحبت خواهیم کرد.

 

عملکرد حمله جاوا اسکریپت با ارور SSL چگونه است

حمله جاوا اسکریپت با ارور SSL یکی از حملات پیچیده است که در واقع مراحل طولانی ای دارد اما در صورتی که به درستی اجرا شود می تواند بسیار خطرناک باشد. در واقع باید گفت که حمله جاوا اسکریپت با ارور SSL به نسبت سایر حمله ها یک حمله جدید است.  مراحل حمله جاوا اسکریپت با ارور SSL با استناد به تحقیقات انجام گرفته توسط وبلاگ تخصصی امنیتی gaurav.it به این صورت معرفی می شود:

 

مرحله اول –  ثبت دامنه برای ارائه دهنده SSL

اولین مرحله در حمله جاوا اسکریپت با ارور SSL این است که یک بستر برای جلب اعتماد کاربر ارائه شود. با جست و جو و تحقیقاتی که gaurav.it در سایت های ارائه دامنه و ارائه اطلاعات دامنه ای مانند Who.is انجام داده است مشخص شده که دامنه های زیادی به صورت فعال وجود دارند که برای خرید و ارائه گواهینامه SSL تهیه شده اند و از SSL در نام دامنه ها استفاده شده است. اما در حال حاضر کار خاصی را انجام نمی دهند و سرویس دهی نمی کنند. این دامنه های خاموش می توانند نشانه ای از گستردگی حمله جاوا اسکریپت با ارور SSL در آینده ای نزدیک باشد.

عملکرد حمله جاوا اسکریپت با ارور SSL

 

مرحله دوم پیدا کردن قربانی برای تزریق اسکریپت

در این مرحله حمله کننده باید بستری را پیدا کند که تله خود را در آن بگذارد. این تله می تواند هر چیزی باشد. یک سایت ضعیف که امنیت پایینی دارد، یک سایت که برای این هدف راه اندازی شده است و یا یک افزونه null شده و یا اسکریپتی کرک شده که بعضی از افراد آنها را در سایت خود استفاده می کنند.

 

مرحله سوم تله گذاری در بستر پیدا شده

وقتی سایت مقصد پیدا شد و نفوذ به آن توسط هر عاملی انجام گردید، یک اسکریپت در آن جایگذاری می شود که می تواند کاری کند که حمله جاوا اسکریپت با ارور SSL با نمایش یک ارور SSL شروع شود. تصویر زیر یکی از این اسکریپت ها را به نمایش می گذارد که می توانند این کار را انجام دهند.

 

اسکریپت حمله جاوا اسکریپت با ارور SSL

 

وقتی این افزونه در سایت مورد نظر پیاده سازی شد کاری که می کند این است که ارور SSL را به کاربران نمایش می دهد. از اینجا به بعد حمله جاوا اسکریپت با ارور SSL با کمک کاربر دنبال خواهد شد.

 

مرحله چهارم در دام انداختن کاربر

کاربری به سراغ سایتی که از آن صحبت کرده ایم آمده است. ارور SSL به وی نمایش داده خواهد شد و این کاربر اکنون در معرض یک حمله بزرگ است. کاربر ممکن است که فریب بخورد ولی احتمال ترک سایت نیز وجود دارد. در خیلی از مواقع که حمله کنندگان خود سایت و بستر حمله را طراحی کرده اند با عناوینی که وعده هایی بزرگ می دهد، مانند دانلود رایگان یک برنامه گران قیمت و یا تخفیف چند ده درصدی روی یک محصول پر طرفدار باعث می شوند که کاربر به کار خود ادامه دهد.

و در مواردی که از سایت های دیگری برای حمله جاوا اسکریپت با ارور SSL استفاده شده باشد کاربرانی که به آن سایت اعتماد داشته اند و قبلا هم از آن استفاده کرده اند ورود به سایت را با پذیرش خطر استفاده نکردن از SSL قبول خواهند کرد.

 

مرحله پنجم نمایش پیغام آپدیت امنیتی

در این مرحله حساس از حمله جاوا اسکریپت با ارور SSL قربانی پذیرفته است که وارد سایت شود و به هر قیمتی می خواهد صفحه مورد نظر خود را ببیند. حالا مرورگر برای وب یک لینک دانلود را باز کرده است که می گوید اگر می خواهی به سایت بدون SSL وارد شوی، لازم است که از این افزونه امنیتی استفاده کنید و باید یک آپدیت را نصب کنی.

با تایید کاربر حمله جاوا اسکریپت با ارور SSL به صورت تقریبا موفقی انجام شده است. فایل exe دانلود شده و کاربر آن را نصب کرده و به صفحه وارد می شود. اکنون هکر ابتکار عمل را به دست دارد و حمله وی ثمر داده است. در همین لحظات کوتاه ممکن است پسورد ها و بخش Privacy مرورگر برای وی ایمیل شده باشد و یا از آن بدتر این حمله کننده برای زمانی که شما وارد یک صفحه پرداخت شده باشید منتظر مانده است.

اینگونه است که حمله جاوا اسکریپت با ارور SSL می تواند به راحتی جواب بدهد و اطلاعاتی که نمی خواهید را به کسانی که نباید برساند. جلوگیری از این حمله می تواند کاری ساده باشد، هر جا که ارور SSL را مشاهده کردید به عقب برگردید و تمام. اما فرار از ماجرا روش خوبی برای حمله جاوا اسکریپت با ارور SSL نیست و بهتر است که روش های بهتری را برای تشخیص و بی اثر کردن آن استفاده کنیم. در ادامه به بررسی روش های جلوگیری و خنثی سازی حمله جاوا اسکریپت با ارور SSL خواهیم پرداخت.

نمایش آپدیت در حمله جاوا اسکریپت با ارور SSL

 

جلوگیری از حمله جاوا اسکریپت با ارور SSL

برای اینکه از حمله جاوا اسکریپت با ارور SSL جلوگیری کنید و در امان بمانید باید ساختار SSL را بشناسید که آن را در مقاله SSL چیست به صورت کامل توضیح داده این. SSL یک مکانیزم امنیتی است که به شما این امکان را می دهد به صورت محرمانه تبادل اطلاعات را انجام دهید.

المانی که SSL را پیاده سازی می کند سرور های اینترنتی هستند و شما وقتی که می خواهید SSL یک سایت را هم تنظیم نمایید باید به سراغ هاست آن بروید. پس این را به یاد داشته باشید که هیچ برنامه نصبی ای برای بهبود SSL وجود ندارد و این موضوع از کنترل شما خارج است.

پس به صورت اکید به شما توصیه میکنیم که برای بهبود SSL هیچوقت و هیچ کجا، هیچ نوع برنامه و یا Add-on خاصی را نصب نکنید. هر مورد امنیتی که وجود داشته باشد اولین کسی که آن را اصلاح خواهد کرد خود مرورگر شما خواهد بود. پس برای اینکه برنامه ای خارجی را نصب کنید، مرورگر خود را آپدیت کنید.

مورد بعدی که باید در مورد ارائه دهندگان خدمات امنیتی در نظر داشته باشید این است که SSL خود این سایت ها باید تایید شده سطح 2 به بالا باشد. این تایید ها یعنی اینکه وقتی روی قفل کنار آدرس در نوار آدرس مرورگر کلیک می کنید و گزینه Connection Secure را انتخاب می کنید به شما بگوید که توسط کدام شرکت تایید شده است و در صورت کلیک روی More Information اطلاعات مربوط به سایت مورد نظر و آدرس شرکتی که این دامنه به آن تعلق دارد را به شما ارائه کند. به عنوان مثال تصویر زیر نشان دهنده اطلاعات مربوط به SSL گوگل است.  

بررسی SSL برای جلوگیری از حمله جاوا اسکریپت با ارور SSL

 

به طور کلی می توان گفت که دو نکته عدم نصب افزونه های امنیتی و توجه به آیکون قفلی که کنار آدرس در مرورگر نمایش داده می شود می تواند حمله جاوا اسکریپت با ارور SSL را برای شما بی اثر کند.

 

نتیجه گیری

در این مقاله در مورد حمله جاوا اسکریپت با ارور SSL با هم صحبت کردیم و دیدیم که این حمله جدید چگونه می تواند عمل کند. در واقع کار اصلی این حمله این است که شما را با یک ارور که با آن قبلا هم برخورد داشته اید و معمولا حوصله خواندن اطلاعات طولانی آن را ندارید فریب می دهد. در صورتی که با این ارور مانند همیشه برخورد کنید از شما می خواهد که برنامه ای را روی سیستم خود نصب کرده و بعد از نصب آن کار تمام است. موارد تکنیکی زیادی در این حملات وجود دارد که به صورت کامل به آنها پرداختیم و اگر بخواهیم در آخر یک توصیه دوستانه به شما داشته باشیم این است که هیچ وقت از منابع ناشناس افزونه ها و برنامه های امنیتی را نصب نکنید و این موضوع را بدانید که SSL را صرفا باید با آپدیت مرورگر ارتقا داد.

 

پروتکل های مختلفی هستند که در سطح اینترنت کار می کنند و استفاده از این پروتکل ها می تواند فواید متعددی داشته باشد. در بعضی مواقع شما صرفا برای جا به جا کردن فایل ها از این پروتکل ها استفاده می کنید، و در بعضی مواقع این پروتکل ها وظیفه برقراری یک ارتباط رمزنگاری شده […]&url=https%3A%2F%2Fwww.maralhost.com%2Fkb%2Fhow-to-redirect-http-to-https%2F">
تیم تولید محتوا

آموزش ریدایرکت HTTP به HTTPS به صورت کامل

پروتکل های مختلفی هستند که در سطح اینترنت کار می کنند و استفاده از این پروتکل ها می تواند فواید متعددی داشته باشد. در بعضی مواقع شما صرفا برای جا به جا کردن فایل ها از این پروتکل ها استفاده می کنید، و در بعضی مواقع این پروتکل ها وظیفه برقراری یک ارتباط رمزنگاری شده و امن را برای شما خواهند داشت. آنچه که مسلم است این است که این پروتکل ها از آنچه به نظر می رسد مهمتر است. ریدایرکت HTTP به HTTPS یکی از تغییرات بین این پروتکل هاست که شما باید به آن توجه ویژه ای داشته باشید و تعیین می کند که سایت شما به صورت نسخه امن ظاهر شود یا اینکه یک نسخه با ارتباطات نا امن را به کاربران خود ارائه می کنید.

قبل از اینکه به آموزش چگونگی ریدایرکت HTTP به HTTPS بپردازیم لازم است تا کمی در مورد اینکه این پروتکل ها چه هستند و چگونه کار می کنند صحبت کنیم.

 

پروتکل اینترنتی چیست

پروتکل یا قانون یکی از اصول اصلی و بنیادینی است که در ابتدای شروع شبکه های کامپیوتری و اینترنتی به وجود آمدند. این قوانین در ابتدایی ترین زمان تشکیل خود مسئولیت این امر را داشتند که با اعمال روش هایی خاص روی داده هایی که در شبکه رد و بدل می شد، یک استاندارد را ارائه کنند که به واسطه آن بتوان مطمئن بود که یک انتقال درست کار می کند. این پروتکل ها کم کم گسترش پیدا کردند و کار به آنجا رسید که از آنها به عنوان یک کنترل کننده خوب برای امنیت و سایر موارد دیگر نیز استفاده شد.

ساز و کار پروتکل ها

بعد از مدتی پروتکل های مختلفی در اینترنت عرضه شدند که هر کدام کار خاص خود را انجام می دادند. به عنوان نمونه می توان به پروتکل انتقال فایل یا همان FTP و پروتکل انتقال Hypertext یا همان HTTP اشاره کرد. این نوع پروتکل را می توان متداول ترین و عمومی ترین انواع پروتکل نامید. پروتکل های دیگری مانند UDP هم وجود دارند که کارایی خاص خود را دارند، اما می توان گفت که HTTP و FTP معروفترین و پرکاربردترین پروتکل های اینترنتی هستند.

HTTP پروتکلی است که به ارائه یک روش برای انتقال صفحات وب سایت ها می پردازد و با استفاده از آن شما می توانید یک صفحه وب را در یک زمان سریع و با یک استاندارد جهانی که در تمامی مرورگر ها به یک پورت قابل مشاهده است، دریافت کنید. اما اخیرا یک پروتکل جدید به نام HTTPS عرضه شده است که تقریبا در حال تصاحب جایگاه HTTP است. در واقع باید گفت که نه HTTPS جدید است و نه در حال گرفتن جایگاه HTTP، بلکه همان پروتکل HTTP است که به صورت امن و رمزنگاری شده کار می کند.

در ادامه این بحث و قبل از آموزش ریدایرکت HTTP به HTTPS در مورد اینکه این امنیت از کجا تامین می شود کمی بیشتر توضیح خواهیم داد.

 

SSL چیست

روش های زیادی وجود دارد که به وسیله آنها می توان یک داده را رمزگذاری کرد و آن را به صورتی تبدیل کرد که برای کسانی که ما نمی خواهیم آن را درک کنند قابل فهم باشد. اما عموم این روش ها قابل شکسته شدن هستند و مشکلات زیادی را ایجاد می کنند. ولی روش هایی هم وجود دارد که تقریبا می توان آنها را غیر قابل نفوذ دانست و گفت که این روش ها قابل هک شدن نیستند و نمی توان این رمزنگاری ها را باز کرد. یکی از این روش ها SSL یا همان Secure Socket Layer به معنی لایه انتقال امن می باشد.

SSL چیست

SSL یک پروتکل دو طرفه است که با استفاده از کلید های خیلی بزرگ داده ها را رمزنگاری می کند و باز کردن این رمزنگاری صرفا با کلیدهای خصوصی که امن نگهداری می شوند قابل انجام است. باز کردن SSL تقریبا غیر ممکن است و مدت زمانی که طول می کشد این رمزنگاری حتی با استفاده از سوپر کامپیوتر ها شکسته شود، به طور قطع حتما از مدت زمان اعتبار داده بیشتر خواهد بود.

عملکرد SSL به این صورت است که در این ارتباط هر فرستنده و هر گیرنده دو کلید دارد، کلید عمومی و کلید خصوصی، داده ها با استفاده از کلید عمومی طرف مقابل رمزگذاری می شود، و بازکردن آنها صرفا با کلید خصوصی وی امکان پذیر خواهد بود. ازین رو وقتی دو طرف با رمزنگاری که برای یکدیگر انجام می دهند، پیامی را رد و بدل می کنند، مطمئنا نفر سومی قادر به دریافت و ترجمه آن نیست.

وقتی می گوییم پروتکل HTTPS یک HTTP است که امن شده است منظور ما این است که برای امنیت داده ها و اینکه این خط ارتباطی بین کاربر و سایت، توسط شخص سومی شنود نشود، از پروتکل SSL استفاده می کند. همین توضیحات کوتاه در مورد این پروتکل برای آموزش ریدایرکت HTTP به HTTPS کفایت می کند و اگر علاقه دارید تا بیشتر در مورد SSL ها پروتکل های مربوط به آنها مطالعه کنید، می توانید به مقاله SSL چیست مراجعه کنید. در ادامه به بررسی اینکه چرا به ریدایرکت HTTP به HTTPS خواهیم پرداخت.

اس اس ال چیست

 

چرا ریدایرکت HTTP به HTTPS مورد نیاز است

شاید این سوال برای شما هم پیش آمده باشد که خوب ما تا دیروز از SSL استفاده نمی کردیم و از امروز این ماژول امنیتی را فعال کرده ایم، حالا چه نیازی دارد که ریدایرکت HTTP به HTTPS را نیز فعال کنیم و اگر این کار را نکنیم چه می شود. برای ریدایرکت HTTP به HTTPS دو دلیل اساسی وجود دارد که به شما اثبات خواهد کرد این کار بسیار بسیار مهم است:

 

ارائه نسخه امن از سایت

اولین دلیل موارد امنیتی است. اگر سایت شما ریدایرکت HTTP به HTTPS را به صورت فعال شده نداشته باشد، تمام کسانی که با استفاده از HTTP به سایت شما متصل شوند را بدون اینکه از SSL استفاده بکند سرویس دهی می کند. به این صورت که انگار SSL روی آن فعال نشده است و شما از پروتکل امنیتی استفاده نمی کنید. پس برای برقراری امنیت هم که شده است باید ریدایرکت HTTP به HTTPS را انجام دهید تا تمامی کسانی که بر طبق عادت از آدرسی با بخش ابتدایی HTTP از سایت شما بازدید می کنند بتوانند از رمزنگاری های SSL استفاده کرده و یک ارتباط امن داشته باشند.

پس در صورتی که می خواهید تمامی کاربران شما از تمامی امکاناتی که روی سایت خود دارید استفاده کنند و امنیت ارتباطات را تضمین کنید، باید ریدایرکت HTTP به HTTPS را پس از فعال سازی SSL انجام دهید.

 

فهرست شدن در موتورهای جست و جو

دومین دلیلی که باید نسبت به ریدایرکت HTTP به HTTPS اقدام کنید، این است که موتور های جست و جو پروتکل را نیز بخشی از آدرس سایت شما در نظر می گیرند و سایت شما با HTTPS را، با سایت بدون HTTPS دو نسخه جدا از هم در نظر می گیرند. وقتی این اتفاق بیافتد موتور جست و جو تمامی مطالبی که در هر دو سایت شما وجود دارد دارد را به صورت Duplicate یا کپی در نظر می گیرد و فکر می کند که دو سایت کاملا مشابه وجود دارند.

چرا ریدایرکت HTTP به HTTPS

 در چنین حالتی سایت شما برای یک موتور جست و جو به عنوان دو سایت بی ارزش و کپی از هم تلقی می شود و از نتایج جست و جو یا به طور کامل حذف خواهید شد و یا یک رتبه تصادفی به شما داده می شود. این فاجعه بارترین اتفاقی است که می تواند برای یک سایت اینترنتی بیفتد و تقریبا بخش عظیمی از ترافیک خود را از دست خواهید داد. با ریدایرکت HTTP به HTTPS می توانید از این اتفاق جلوگیری کنید و در واقع به موتور های جست و جو بگویید که در اینجا با یک سایت اصلی که آن هم از پروتکل SSL استفاده می کند طرف است. لازم به ذکر است استفاده از SSL خود در رتبه بندی موتورهای جست و جو تاثیر ویژه ای دارد و سایت هایی که از HTTPS در آدرس خود استفاده می کنند، رشد خیلی بیشتر و قابل لمس تری دارند.

اما سوال اساسی اینجاست که ریدایرکت HTTP به HTTPS چگونه انجام می گیرد و برای این کار باید چه کار کنیم!؟

 

ریدایرکت HTTP به HTTPS

برای ریدایرکت HTTP به HTTPS شما می توانید از روش های مختلفی استفاده کنید. در ادامه به معرفی و بررسی چهار مورد از کاربردی ترین این روش ها خواهیم پرداخت و آنها را معرفی خواهیم نمود.

 

ریدایرکت HTTP به HTTPS در وردپرس

وردپرس یکی از معروف ترین و همینطور کاربردی ترین سیستم های مدیریت محتوا است که طرفداران زیادی دارد و با اختلاف بسیار بالایی نسبت به رقیبان خود در مقام اولین سیستم مدیریت محتوای پر استفاده قرار گرفته است. اگر با این سیستم آشنایی داشته باشید، قطعا می دانید که وردپرس برای هر دردی افزونه ای دارد که حکم نوش دارو داشته باشد. بهترین برنامه صفحه آرایی نیز از این قضیه مستثنی نیست و افزونه های وردپرس زیادی وجود دارند که می توانند این کار را برای شما انجام دهند.

برای اینکار گزینه های مختلف زیادی وجود دارد که می تواند به سادگی ریدایرکت HTTP به HTTPS را برای شما پیاده سازی کنند. اما یکی از ساده ترین مواردی که می توانید برای اینکار از آن استفاده کنید یک افزونه واقعا ساده به همین نام است. SSL واقعا ساده یا Really Easy SSL نام افزونه ای است که کافی است آن را نصب کرده و یک تیک را بزنید. برای ریدایرکت HTTP به HTTPS با استفاده از این افزونه به صورت زیر عمل کنید:

افزونه را در بخش افزودن افزونه های جدید جست و جو کنید و آن را نصب نمایید:

افزونه ریدایرکت HTTP به HTTPS

 

بعد از نصب افزونه نوبت به آن رسیده است که از منوی تنظیمات گزینه SSL که در آخر اضافه شده است را انتخاب کنید.

 

انتخاب از تنظیمات

 

بعد از انتخاب این گزینه شما به صفحه تنظیمات افزونه خود منتقل خواهید شد و این امکان را خواهید داشت که با استفاده از آن تنظیمات مربوط به ریدایرکت HTTP به HTTPS سایت خود را فعال کنید.

 

تنظیمات ریدایرکت HTTP به HTTPS

 

در بین گزینه هایی که مشاهده می کنید یک گزینه به نام فعال کردن تغییر مسیر 301 توسط htaccess وجود دارد که با فعالسازی آن کار ریدایرکت HTTP به HTTPS به صورت خودکار برای شما انجام خواهد شد.

 

ریدایرکت HTTP به HTTPS با استفاده از کنترل پنل Cpanel

یکی دیگر از مواردی که با کمک آن می توانید ریدایرکت HTTP به HTTPS را انجام دهید از طریق کنترل پنل Cpanel است. این کنترل پنل به شما این امکان را خواهد داد تا با یک کلیک ساده، ریدایرکت HTTP به HTTPS را روی دامنه خود فعال کرده و دیگر نگران هیچ چیز نباشید.

برای اینکار باید از طریق منوی Cpanel به قسمت Domains بروید. در این صفحه شما فهرست کلیه دامنه های فعال روی هاست خود را مشاهده می کنید. در این فهرست شما به اطلاعاتی مانند، نام دامنه، پوشه Root ریدایرکت های دامنه و گزینه هایی برای مدیریت و تغییرات دامنه و همینطور یک کلید سوئیچ on و off برای ریدایرکت HTTP به HTTPS در اختیار شما قرار خواهد داشت.

تنظیمات ریدایرکت HTTP به HTTPS در سی پنل

 

در صورت فعال کردن این گزینه ریدایرکت HTTP به HTTPS برای شما به صورت کاملا خودکار پیاده سازی خواهد شد و می توانید از آن استفاده کنید.

 

ریدایرکت HTTP به HTTPS روی دایرکت ادمین

یکی دیگر از کنترل پنل های حرفه ای که به شما این امکان را می دهد که ریدایرکت HTTP به HTTPS را روی سایت خود با یک کلیک ساده فعال کنید، دایرکت ادمین می باشد. البته زمانی که باید این کار را انجام دهید در دایرکت ادمین کمی متفاوت خواهد بود. به این صورت که تا اینجا دیدیم که ابتدا شما SSL خود را فعال می کردید و سپس نسبت به ریدایرکت HTTP به HTTPS و فعال سازی گزینه های مربوطه اقدام می کردید. 

اما دایرکت ادمین به این صورت عمل نمی کند و می توان گفت که این کنترل پنل لینوکسی حرفه ای و اپن سورس، در رفع این نیاز پیش دستی کرده است و در همان زمانی که قصد فعال سازی SSL خود را دارید، ریدایرکت HTTP به HTTPS را تحت عنوان گزینه ای به نام Force Redirect برای شما پیاده سازی می کند.

برای استفاده از این گزینه باید مطابق تصویر زیر از بخش Account manager وارد صفحه SSL Certificate بشوید.

 

ریدایرکت HTTP به HTTPS در دایرکت ادمین

 

در این صفحه شما قادر خواهید بود تا موارد مربوط به تنظیمات SSL خود را تغییر داده و آن را فعال یا غیر فعال کنید و یا گواهینامه خود را تغییر دهید. در پایین ترین قسمت این صفحه یک سوال از شما پرسیده شده است که می توانید پاسخ آن را با زدن تیک چک باکس مورد نظر بدهید.

 

تیک ریدایرکت HTTP به HTTPS در دایرکت ادمین

 

وقتی که این چک باکس را تیک زدید و روی دکمه Save کلیک کردید کار به پایان رسیده است و شما یک پیغام مبنی بر موفقیت آمیز بودن تغییرات و فعال شدن ریدایرکت HTTP به HTTPS دریافت خواهید کرد.

 

ریدایرکت HTTP به HTTPS با استفاده از تغییرات در htaccess

در صورتی که شما از هیچ یک از این روش ها نمی توانید به تنظیمات سایت خود دسترسی داشته باشید، هنوز هم راهی برای ریدایرکت HTTP به HTTPS وجود دارد و شما می توانید برای این کار از ایجاد تغییرات مستقیم در فایل htaccess استفاده کنید. در نظر داشته باشید که حتما حتما حتما از این فایل بکاپ تهیه نمایید و قبل از این کار به هیچ وجه برای تغییر این فایل اقدام نکنید.

برای این کار لازم است تا کدهای زیر را به فایل htaccess خود اضافه کنید:

 

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

با اضافه کردن این کدها سرور شما ریدایرکت HTTP به HTTPS را برای تمامی دامنه هایی را که روی هاست خود داشته باشید اعمال می کند. البته این روش پیشنهاد نمی رود و معمولا تغییر فایل htaccess آخرین گزینه ای است که باید برای اعمال این تنظیمات سراغ آن برویم. به شما توصیه می کنیم که ابتدا سعی کنید از سایر روش ها این کار را انجام دهید.

 

نتیجه گیری

ریدایرکت HTTP به HTTPS یکی از کارهایی است که می تواند هم برای یک ارتباط امن با کاربران شما و هم برای یک سئوی خوب و بهینه مورد استفاده قرار بگیرد. در نظر داشته باشید که با استفاده از قابلیت هایی که کنترل پنل ها برای شما فراهم می کند می توانید این کار را در سریعترین زمان ممکن انجام دهید. همینطور این امکان برای شما وجود دارد که از طریق افزونه های وردپرس نیز این کار را انجام دهید. توجه داشته باشید که اگر برای ریدایرکت HTTP به HTTPS لازم شد که فایل htaccess را دستکاری کنید حتما از آن بکاپ تهیه نمایید.

 

SSL چیست سوالی است که شاید برای خیلی از شما پیش آمده باشد. واژه ای کوچک اما در عمل بزرگ و با کارایی بالا که می تواند برای شما یک ارتباط امن را تضمین کند. SSL یک ارتباط رمزنگاری شده را به شما خواهد داد که میتوانید مطمئن باشید کسی غیر از مقصد پیام نمی […]&url=https%3A%2F%2Fwww.maralhost.com%2Fkb%2Fwhat_is_ssl%2F">
نیما تقوی

SSL چیست ؟ (به زبان ساده و راهنمای نصب)

SSL چیست سوالی است که شاید برای خیلی از شما پیش آمده باشد. واژه ای کوچک اما در عمل بزرگ و با کارایی بالا که می تواند برای شما یک ارتباط امن را تضمین کند. SSL یک ارتباط رمزنگاری شده را به شما خواهد داد که میتوانید مطمئن باشید کسی غیر از مقصد پیام نمی تواند آنچه که می فرستید را بخواند. همینطور شما با چک کردن گواهینامه SSL یک سایت میتوانید از معتبر بودن آن اطمینان حاصل کنید، در واقع می توان گفت SSL تا حدودی مانند نماد اعتماد عمل خواهد کرد. خیلی از بزرگان دنیای وب مانند گوگل کروم، این عنصر را جزو اصلی ترین مواردی می دانند که یک سایت باید داشته باشد.

در ادامه این مطلب به بررسی این موضوع که SSL چیست، از کجا آمده است، چه انواعی دارد و چگونه میتوان آن را تهیه و از آن استفاده کرد می پردازیم.

 

 مطلب SSL چیست ؟ (به زبان ساده و راهنمای نصب) در تاریخ بیست و دوم فروردین ماه بازنویسی و کامل بروزرسانی شد

ssl چیست

بگذارید قبل از اینکه از نظر فنی و ساختاری بدانیم ssl چیست بیاییم در مورد کاربرد نمایشی آن که دقیقا کجا باید ssl را ببینیم صحبت کنیم.

اگر دقت کنید زمانی که یک سایت معمولی را با 90 درصد مرورگر های معروف دنیا باز میکنید شروع آدرس وبسایت با http که مخفف Hyper Text  Transfer Protocol میباشد و کنار آدرس نوشته شده Not Secure 

ssl چیست

اگر آدرس ما با https شروع شود و کلمه Not Secure تبدیل به یک قفل سبز شود قطعا ssl ما به درستی نصب شده است پس اگر سایتی را میبینید که این ویژگی را دارد مطمئن باشید که ssl در این سایت نصب شده است.

 

مفهوم ssl چیست

کلمه SSL مخفف Secure Socket Layer به معنای “لایه امن پروتکل” است.

یادتان هست مقاله را با فرق بین http و https شروع کردیم؟ پروتکل دقیقا همین است یعنی هرکجا از پروتکل آدرس صحبت کردیم یعنی همین

شاید برایتان جالب باشد که اگر روال انتقال اطلاعات و ذخیره سازی مخصوصا در وب به صورت معمولی رد و بدل میشد یعنی شما رمز عبورتان 12345 بود به همین صورت سایت از شما دریافت میکرد و منتقل میکرد.

فرض کنیم شما در نقطه A هستید و سایت در نقطه B قرار دارد و شما اطلاعاتی را به سایت ارسال میکنید، در این بین یک هکر میتواند بین دو نقطه قرار گیرد و اطلاعات جابه جا شده را رصد کند.

چون تمامی اطلاعات در حالت http به صورت متن ساده plain text منتقل میشود و هر کسی میتواند آن را بخواند و متوجه شود ولی وقتی https که مخفف Hyper Text Transfer Protocol Secure است معرفی شد حتی سرویس دهنده های اینترنت نیز نمیتوانند اطلاعات مهم شما را استخراج کنند.

فرایند ssl

اما با پیشرفت امنیت تصمیم بر آن شد که این اطلاعات بین کاربر (Client) و سرور سایت (Server) به صورت حروف و اعداد ناخوانا نمایش داده شوند، اصطلاحا رمزنگاری (Encrypt) میگویند و در مقصد یعنی سایت از این حالت خارج شده و به حالت معمولی رمزگشایی (Decrypt) شوند.

اینطور هر هکری به اطلاعات دست پیدا میکرد با چیز هایی روبه رو میشد که مفهومی نداشت، در یک جلمه SSL یک مسیر رفت و آمد اطلاعات به صورت امن و غیر قابل دسترسی است.

سال ۱۹۹۶ میلادی شرکت Netscape برای نقل و انتقال امن و رمزی اطلاعات ssl را ساخت و اکنون تقریبا تمام مرورگرهای استاندارد دنیا مثل فایر فاکس، اینترنت اکسپلورر، اپرا، گوگل کروم و سافاری از آن پشتیبانی می کنند.

تا چند سال پیش فقط وبسایت های خیلی مهم که با اطلاعات حساس در ارتباط بودند مثل بانک ها از ssl استفاده میکردند و از سایت های دیگر اگر میپرسیدید حتی نمیدانستند که ssl چیست و به چه دردی میخورد؟ ولی الان تقریبا تمام سایت هایی که حتی رمز عبوری را در سایت ذخیره میکنند ssl را جز اصلی سایتشان قرار داده اند.
یادتان هست که منظور ما از پروتکل دقیقا کجا بود؟ جالب است بدانید که پروتکل های ما دارای یک آدرس هستند که از طریق مسیر آن آدرس اطلاعات را جابه جا میکنند که به این آدرس پورت گفته میشود، پورت htpp عدد 80 و پورت https عدد 443 است.
 

انواع گواهینامه های SSL کدامند

اکنون که می دانیم SSL چیست و از چه مکانیزمی استفاده می کند تا یک ارتباط امن برقرار کند و تضمین کننده آن باشد، میخواهیم انواع گواهینامه های آن را با هم بررسی کنیم. پروتکل لایه امن بر اساس نوع احراز هویتی که برای سایت انجام می دهد میتواند انواع مختلفی را داشته باشد. این پروتکل توسط شرکت های ارائه دهنده خدمات امنیتی ارائه می شود و وقتی شما برای سایت خود SSL خریداری کرده و آن را راه می اندازید در واقع یک تضمین برای ارتباط امن را از آن شرکت دریافت کرده اید.

هرچه مدارک محکم تر و مستند تری از صحت سایت خود برای شرکت تامین کننده ارسال کنید، سطح گواهینامه ای که برای شما صادر خواهد شد بالاتر خواهد رفت. سطوحی که شما می توانید گواهینامه SSL مورد نظر خود را در آنها بگیرید از این قرارند:

 

Domain validate یا DV(احراز هویت دامنه)

اگر بخواهیم بگوییم که این نوع از گواهینامه SSL چیست، میتوانیم بگوییم اولین سطح از گواهینامه SSL و ساده ترین آن خواهد بود. در این نوع از گواهینامه شما تنها دامنه خود را احراز هویت کرده و به کاربر این اطمینان را می دهید که وقتی دارد اطلاعات خود را در سایت شما وارد می کند، دقیقا در طرف دیگر شما قرار دارید و این اطلاعات بین شما کاربر محرمانه باقی می ماند.

برای صدور این گواهینامه کافی است تا شما به ارائه دهنده و یا یکی از نمایندگی های آن درخواست را صادر کرده و نام دامنه را تحویل دهید. به جز نام دامنه چیز دیگری لازم به تایید نیست. کلید های خصوصی و عمومی شما در اختیار شما قرار خواهد گرفت و می توانید آنها را بر اساس دستورالعمل های ارائه شده در بخش های آتی همین مقاله مورد استفاده قرار دهید. این گواهینامه SSL به صورت آنی به شما تحویل داده خواهد شد.

 

Organization Validation(اعتبار سنجی سازمان)

در این نوع از گواهینامه نیز یک ارتباط امن با سازمان مورد نظر تایید شده و شما گواهینامه خود را دریافت خواهید کرد. اما تفاوت این نوع از گواهینامه با نوع DV گواهینامه SSL چیست!؟

تفاوت اساسی اینجاست که شما در این گواهی OV موظف هستید که سازمان و کسب و کار اینترنتی خود را به صورت حقوقی احراز هویت کنید. در اینصورت شما وقتی گواهینامه SSL را دریافت خواهید کرد که کسب و کار شما و تمام تاییدیه های دولتی ای که دارید، توسط شرکت های ارائه دهنده این گواهی تایید گردد. به نحوی می توان این گواهی نامه را نوعی نماد اعتماد دانست.

در صورتی که شرکتی از این نوع از گواهینامه استفاده کند و شما روی قفل سبز رنگ کنار نام آن کلیک کنید می توانید اطلاعات مربوط به شرکت و همینطور حوزه کاری آن را ببینید. برای اخذ این نوع از گواهینامه ابتدا لازم است تا به صورت مستقیم و یا از طریق نماینده اطلاعات خود را به صورت آنلاین برای ارائه دهندگان ارسال کنید. بعد از ارسال اطلاعات در صورت تایید لازم است تا کلیه مدارک، تاییدیه های دولتی، مجوز های فعالیت و هر مدرکی را که دارید ترجمه کرده و ترجمه آن را به صورت مهر شده از طریق پست بین المللی برای ارائه دهنده بفرستید.

در صورتی که مدارک و مجوز های شما تکمیل باشد، دریافت همچین گواهینامه ای برای شما در حدود 10 روز طول خواهد کشید. همینطور باید توجه داشته باشید که هزینه این نوع از گواهینامه برای شما بیشتر تمام خواهد شد.

 

Extended Validation (اعتبار سنجی ویژه)

اگر بخواهیم بگوییم که قدرتمند ترین و بهترین نوع از بین گواهینامه های SSL چیست، می توانیم گواهینامه EV را معرفی کنیم. در این نوع از گواهینامه شما می توانید یک نماد اعتماد بین المللی را برای سایت خود ثبت کنید.

برای دریافت این نوع از گواهینامه باید مانند گواهینامه های سازمانی OV، مدارک خود را ارسال کنید، با این تفاوت که این مدارک بسیار بیشتر از قبل خواهند بود. بدیهی است هزینه بیشتری را نیز باید برای آن پرداخت کنید و مدت زمان تاییدیه و بررسی ها نیز بیشتر خواهد بود.

با استفاده از این گواهینامه نوار سبز آدرس برای شما فعال می گردد. خیلی از بانک ها و موسسات معتبر این نماد را دارند و ممکن است شما آن را دیده باشید. البته در مرورگر های جدید این نوار سبز رنگ نشان داده نشده و با کلیک بر روی قفلی که در کنار آدرس قرار دارد شما به نام موسسه دسترسی پیدا می کنید. همینطور می توانید با مشاهده جزئیات اطلاعات بیشتری را از این شرکت بدست آورید.

 

تاییدیه سازمانی SSL

 

Wildcard SSL (SSL همه جانبه)

یکی دیگر از اصطلاحاتی که در بین انواع SSL جا افتاده است و خیلی از افراد به دنبال استفاده از آن هستند Wildcard است. اگر بخواهیم بگوییم که این نوع از SSL چیست می توانیم بگوییم یک گواهی برای یک دامنه به صورت کامل به نحوی که صاحب دامنه مسئولیت تمامی زیر دامنه ها را نیز قبول کند.

در گواهی های عادی و غیر Wildcard شما این مورد را شاهد خواهید بود که وقتی یک زیر دامنه از سایت خود را جدا کنید، قفل SSL برای این زیردامنه غیر فعال باقی خواهد بود. سرویس Wildcard به شما این امکان را خواهد داد تا تمامی زیر دامنه های شما نیز از این گواهینامه برخوردار شوند.

البته سرویس Wildcard اکنون به صورت یک سرویس رایج درآمده است و خیلی از هاستینگ ها آن را به شما ارائه می کنند و مانور روی کلمه Wildcard صرفا یک جنبه تبلیغاتی خواهد داشت.

 

Multi Domain SSL (SSL چند دامنه ای)

یکی دیگر از انواع کاربردی گواهینامه های SSL، گواهی نامه های چند دامنه ای نام دارد. در این نوع از گواهینامه شما به روش گواهینامه های OV سازمان خود را اعتبار سنجی کرده و مدارک را ارسال می نمایید اما در زمان وارد کردن و اعلام دامنه می توانید چند دامنه را که همگی مربوط به شرکت شما هستند وارد کنید. با این کار تمامی دامنه های شما می توانند از یک پروتکل SSL که به نام شما است استفاده کنند.

اما اگر روی آیکون قفل کلیک شود به مراجعه کنندگان مشخصات شکرت شما ارائه می شود. این نوع از SSL برای سازمان ها و کسب و کارهایی که از چند سایت به صورت همزمان استفاده می کنند گزینه ای ایده آل خواهد بود.

 

برترین ارائه کنندگان SSL

در بخش قبل دیدیم که در صورتی که بخواهید یک گواهینامه SSL را برای خود تهیه کنید نیاز دارید تا با استفاده از خدماتی که ارائه کنندگان این گواهی به شما می دهند، گواهی خود را بدست آورید، اما دقیقا منظور از ارائه کننده SSL چیست و ما از چه کسی صحبت می کنیم!؟

شرکت های امنیتی زیادی هستند که کار آنها در زمینه ارائه خدمات برای موارد مربوط به SSL و الگوریتم ها امنیتی برای سایت های اینترنتی می باشد. همانطور که در بخش های قبلی توضیح دادیم، ساختار SSL بر اساس رمزنگاری ها شکل می گیرد. این شرکت های امنیتی مسئول به روز نگه داشتن رمزنگاری ها و ارائه روش هایی برای استفاده از اطلاعات رمزنگاری شده هستند. حفظ و نگهداری اطلاعات شما و تامین امنیت آنها بر عهده سایتی است که SSL را ارائه می کند.

 

ارائه دهندگان گواهی SSL

 

هزینه ای که از شما گرفته می شود نیز به نوعی بابت بیمه کردن امنیت می باشد. وقتی شما سالیانه 80 دلار بابت یک گواهی EV پرداخت می کنید. در صورتی که شرکت شما دچار مشکلی در ارتباطات خود شود و نفوذ امنیتی ای صورت گیرد، شرکت ارائه کننده SSL مجبور به پرداخت غرامت خواهد بود که مبلغ آن می تواند بین 280 هزار تا 1 میلیون دلار متغیر باشد. اگر بخواهیم بگوییم برترین ارائه دهنده پروتکل SSL چیست و به کدام شرکت می توانیم اعتماد کنید، لیست زیر گزینه های خوبی را در اختیار شما قرار خواهد داد:

  1. Geo Trust
  2. RapidSSL
  3. Global sign
  4. Sectigo
  5. GoDaddy
  6. Symantec
  7. Thawte
  8. Certum

 

آیا SSL روی دامنه ir فعال می شود!؟

یکی از سوالاتی که بوجود می آید این است که آیا میتوان روی دامنه های ir از گواهینامه SSL استفاده کرد!؟ شاید این سوال در ابتدا یک سوال نادرست به نظر برسد، اما با توجه به تحریم های بین المللی می توانیم بگوییم که سوال نابجایی نیست و اگر شما قصد استفاده از گواهینامه هایی از انواع EV و OV را داشته باشید، ممکن است در احراز هویت برای شما مشکلاتی پیش بیاید.

در اینجاست که نقش نمایندگان برای گرفتن تاییده شما مشخص می شود. در صورتی شما برای دریافت گواهی به سراغ شرکت معتبری بروید که فعالیت خود را در این زمینه ثابت کرده است و تمامی شرکت های ارائه شده از طرف آن تاییدیه خود را دریافت کرده اند و می داند که باید چه مدارکی را و به چه صورت ارسال نماید تا گواهینامه مورد تایید قرار گیرد، موفق به اخذ گواهینامه های سطح بالا خواهید شد. همانطور که خیلی از سایت های ایرانی با دامنه ir این کار را کرده اند.

 

تغییر SSL به پیشفرض گوگل کروم

تا اینجای کار دیدیم SSL چیست و چه انواع مختلفی از آن وجود دارد. اهمیت استفاده از SSL موضوعی است که نمیتوان آن را نادیده گرفت. این اهمیت به حدی بالا رفته که کاملا به یک ضرورت بدل شده است. شاید این حرف کمی زیاده روی به نظر برسد اما واقعا اینطور است و مرورگر گوگل کروم یکی از مواردی است که برای این حرف یک اثبات ارائه می کند. بر اساس آمار های ارائه شده توسط منابع مختلف بیش از 50 درصد افرادی که از اینترنت استفاده می کنند از گوگل کروم برای کارهای خود استفاده می کنند. این آمار در منابعی مانند StatCounter حتی به 64 درصد هم می رسد.

 

 آمار استفاده از مرورگرها

 

مرورگر اینترنتی گوگل کروم یکی از اصلی ترین ابزار های دسترسی به اینترنت در آپدیت 90 خود به بعد، پیشفرض سایت هایی که در آدرس بار مرورگر قرار خواهد گرفت را به HTTPS به جای HTTP در نظر خواهد گرفت. پس اگر شما بخواهید به سایتی بدون SSL دسترسی پیدا کنید، و آدرس آن را وارد کنید، قطعا با ارور SSL مواجه شده و مرورگر کروم به شما توصیه می کند که از سایت خارج شوید.

 

ارور SSL در گوگل کروم

 

وقتی مرورگری که از هر 10 کاربر و مشتری شما، 6 نفر از آن استفاده می کنند، در صورت نداشتن SSL از تمام کاربران میخواهد از سایت شما خارج شده و به آنها این توصیه را می کند، پس داشتن SSL و استفاده از آن بسیار ضروری خواهد بود و به هیچ عنوان نمی توان آن را نادیده گرفت.

 

روش دریافت ssl

برای داشتن ssl روی سایت شما دو راه بیشتر ندارید:

  1. گواهی ssl تهیه کنید
  2. گواهی ssl رایگان بگیرید

اول باید این نکته را بدانیم که ssl یک ابزار مدت دار شبیه دامنه و هاست است و ما ssl دائمی فعلا نداریم و به صورت گواهی (لایسنس) عرضه میشود یعنی ما یک گواهی ssl را به مدت یک سال تهیه میکنیم و بعد از یک سال میتوانیم مجدد تمدید کنیم.

گواهی ssl در انواع مختلف صادر میشود که شامل:

Let’s Encrypt : معروف به اس اس اس رایگان که به صورت سه ماهه عرضه میشود و کاملا رایگان با قابلیت تمدید است.

standard : به صورت پولی عرضه میشود معمولا هزینه زیادی ندارد و به صورت سالیانه قابل تهیه و تمدید است.

Wildcard : همه گواهی ها امکان نصب روی ساب دامنه مثلا test.maralhost.com را ندارد و این نوع گواهی صرفا جهت پوشش دادن سایت و ساب دامنه ها استفاده میشود.

Organization Validated یا (OV) : در این نوع گواهی نیازمند به ثبت شرکت و ترجمه مدارک هستید و اطلاعات شرکت شما در گواهی نمایش داده میشود و معتبر تر است.

Extended Validation یا (EV) : در این نوع گواهی نیازمند به ثبت شرکت و ترجمه مدارک هستید و اطلاعات شرکت شما در گواهی نمایش داده میشود و به جای قفل سبز اسم شرکت شما به کاربران نمایش داده میشود.

 

آموزش دریافت ssl

 

تهیه ssl رایگان

زمانی که قصد تهیه هاستی دارید و میخواهید Let’s Encrypt به صورت تمدید خودکار داشته باشید در مشخصات هاست به ssl رایگان حتما دقت کنید.

اگر هاست شما این مورد را داشت نیاز به کار پیچیده ای نیست روش معرفی در دو کنترل پنل معروف سی پنل و دایرکت ادمین گفته شده است.

 

نصب ssl رایگان در سی پنل

برای اینکار وارد کنترل سی پنل میشویم از Security روی گزینه SSL/TLS Status کلیک میکنیم.

نصب ssl رایگان در سی پنل

در صفحه جدید لیست ssl های نصب شده یا دامنه های داخل سایت ها نمایش داده میشود، از طریق تیک کنار اسم دامنه مورد نظر را انتخاب میکنیم و اگر دقت کنید سه دکمه کنار هم داریم که آخرین گزینه آن Run AutoSSL است که روی آن کلیک میکنیم.

نصب ssl خودکار در سی پنل

یک پروسه در حد یک دقیقه ای فرایند نصب ssl خودکار طول خواهد کشید.

در نهایت دامنه مورد نظر ما اضافه شده و یک قفل سبز کنار آن با تاریخ اتمام و پیامی مبنی بر نصب صحیح نمایش داده خواهد شد.

نصب ssl در سی پنل

 

نصب ssl رایگان در دایرکت ادمین

وارد دایرکت ادمین میشویم از بخش Account Manager روی گزینه SSL Certificates کلیک میکنیم.

نصب ssl رایگان در دایرکت ادمین

در این صفحه ما 5 تب که اشاره به انواع نصب ها دارد را میبینیم ولی روی Free & automatic certificate from Let’s Encrypt کلیک میکنیم.

نصب ssl خودکار در دایرکت ادمین

در این بخش ابتدا آدرس دامنه را وارد میکنیم و با آیتم های Key Size و

در نهایت در تب Paste a pre-generated certificate and key باید اطلاعات ssl + تاریخ انقضا را ببینیم.

اطلاعات ssl در دایرکت ادمین

 

اما اگر به هر دلیل نتوانستید از ssl رایگان خودکار استفاده کنید میتوانید از طریق سایت sslforfree  اس اس ال کاملا رایگان به صورت سه ماهه دریافت کنید.

وارد این سایت میشویم و آدرس سایتمان را در کادر مربوطه در عکس وارد میکنیم.

دریافت ssl رایگان

پس وارد کردن اسم سایت به مرحله عضویت خواهیم رفت، در سایت عضو میشویم و وارد پنل کاربری میشویم.

بعد از ورود روی گزینه New Certificate کلیک میکنیم.

ساخت ssl

وارد مراحل نصب میشویم، در این مرحله مجدد اسم سایت را وارد میکنیم و روی Next Step میزنیم.

اسم سایت در ssl

در این مرحله مدت زمان SSL را انتخاب میکنیم، پیشفرض و رایگان 90 روز قابل انتخاب است و 1 سال پولی عرضه میشود.

زمان SSL

در این مرحله پلن های SSL با تمامی امکانات به ما نشان داده میشود که پلن اول رایگان است پیشفرض انتخاب شده ما فقط Next Step را میزنیم.

پلن های SSL

در این مرحله سه روش تایید اینکه ما واقعا صاحب سایت هستیم به ما داده شده و بهترین روش آن همین روش اول یعنی ارسال ایمیل است.

از لیست یکی از ایمیل هارا انتخاب میکنیم و وارد ایمیل سایت میشویم و با لینک تایید مالکیت ما تایید میشود.

تایید SSL

بلافاصله در مرحله بعد با زدن Verify Domain بررسی میکند اگر تایید کرده باشیم فایل های ssl را به ما میدهد که اگر سوال برایتان پیش آمد که فایل ssl چیست باید بگوییم که در مرحله بعد مفصل توضیح دادیم.

تایید نهایی SSL

 

خرید ssl

شاید برایتان سوال شود که فرق پولی و رایگان بودن در ssl چیست ؟ خیلی فرق آنچنانی ندارند ولی ssl پولی در نسخه های سازمانی فرق بیشتری دارد و اینکه ssl رایگان را هر سه ماه باید تمدید کنید که شاید باید هر سه ماه به فکر باشید.

فرایند ssl های پولی به صورت دستی انجام میشود.

به شما بعد از طی کردن تمامی مراحل خرید 3 فایل به اسم های certificate.crt , ca_bundle.crt , private.key داده میشود که محتوا هر کدام شامل یک سری کد است.

برای نصب در سی پنل به پنل اصلی بر میگردیم و روی گزینه SSL/TLS کلیک میکنیم.

نصب ssl دستی در سی پنل

در این صفحه روی گزینه Manage SSL sites کلیک میکنیم.

آپلود ssl دستی در سی پنل

در انتهای این صفحه دامنه را انتخاب میکنیم محتویات فایل های داده شده را به دقیقا به ترتیب اسم جایگذاری میکنیم.

کد ssl دستی در سی پنل

 

در دایرکت ادمین نیز تقریبا پروسه به همین شکل است به همان بخش SSL Certificates که در مرحله رایگان بر میگردیم و در تب ها روی Paste a pre-generated certificate and key کلیک میکنیم.

آپلود ssl دستی در دایرکت ادمین

اینجا نیز محتویات فایل هارا درج میکنیم، فقط نکته ای که اینجا وجود دارد این است که ما 3 فایل داریم ولی اینجا دو بخش برای وارد کردن اطلاعات داریم.

محتویات certificate.crt و ca_bundle.crt را در بخش آخر پشت سر هم وارد میکنیم.

 

منقضی شدن ssl

دقت کنید که اگر ssl سایت تمام شود باید سریعا آن را تمدید کنید چون در غیر این صورت سایت شما ناامن تشخصیص داده میشود و کاربران سایت با خطای زیر مواجه میشوند.

خطای ssl

 

نصب ssl در سایت

لازم است قبل از انجام هر کاری از سایت خودتان یک نسخه پشتیبان (بک آپ) تهیه کنید تا در صورت نصب ناقص بتوانید سایت را به حالت اول برگردانید.

 

سایت وردپرسی

در سایت وردپرسی چندین راه وجود دارد که مفصل همه روش هارا توضیح میدهیم.

لازمه این بخش نصب درست گواهی ssl در کنترل پنل هاست که در مراحل قبل توضیح داده شده است.

وردپرس از نظر ssl به دو بخش مدیریت سایت و بخش نمایشی سایت تقسیم میشود، اولین کاری که شما باید بکنید این است که در بخش مدیریت سایت ssl را فعال کنید برای این مورد وارد بخش فایل های سایت پوشه public_html میشوید و فایل wp-config.php را باز میکنید.

در خط بالایی That’s all, stop editing کد زیر را درج کنید.

 define('FORCE_SSL_ADMIN', true);

حتما دقت کنید که در انتهای کد علامت ; درج شده باشد.

بعد از این مرحله وارد بخش مدیریت سایتتان شوید و از منو سمت راست گزینه تنظیمات -> عمومی را بزنید.

نشانی وردپرس (URL) و نشانی سایت (URL) که با http شروع شده اند را با https کنید و صفحه را ذخیره کنید.

تغییر آدرس وردپرس

طبیعی است که وردپرس بعد از ذخیره شدن شما را از حساب کاربریتان خارج میکند.

مجدد لاگین کنید بسته به قالب و افزونه هایی که استفاده کرده اید ممکن است در این مرحله بسیاری از بخش های وبسایت را با قفل سبز و https درست مشاهده کنید با برعکس

برای نصب کامل بدون مشکل به بخش افزونه ها -> افزودن میرویم و افزونه Really Simple SSL را نصب میکنیم.

این افزونه به صورت خودکار همه چیز را شناسایی میکند و پس از نصب به منوی تنظیمات گزینه ssl منتقل میشود.

افزونه really simple ssl

در بخش اول افزونه اطلاعات کلی اینکه ssl ما نصب است یا گواهی را شناسایی میکند یا خیر را میبینیم ولی اصل کار ما در تب دوم است.

وقتی ما ssl را فعال میکنیم ممکن است افزونه های غیر استاندارد در سایت ما نصب باشد و برخی صفحات با مشکل مواجه شوند و اصطلاحا ما به خطای mixed content برخورد میکنیم اولین گزینه یعنی تأیید کننده محتوای مختلف را برای همین مورد فعال میکنیم.

وقتی ما سایتمان را از http به https منتقل کردیم طبیعتا ربات های گوگل و بسیاری از ابزار ها و کاربران با همان آدرس http قبلی مواجه میشوند برای همین نیاز است ما از خاصیت ریدایرکت که همان منتقل کردن کاربران است استفاده کنیم.

پسوند 301 بیشتر برای ربات های گوگل استفاده میشوند که ما به آنها میفهمانیم صفحات سایت ما آدرسش عوض شده است.

هر گزینه دیگری که داریم کاملا به سایت ما برمیگردد مثلا اگر روش اول برای خطا های mixed content جواب نداد ما از گزینه از روش جایگزین برای رفع محتوای مختلط استفاده کنید استفاده میکنیم، ولی اگر سایت ما پیچیدگی خاصی ندارد فعال کرد همین گزینه هایی که گفتیم کفایت میکند.

حالا با ورود به سایت و رفرش شاهد قفل سبز و https خواهید بود.

 

ریدایرکت 301 دستی

اگر به هر دلیل نخواستید افزونه ssl نصب کنید یا اصلا سایتتان وردپرسی نیست و مشکل ریدایرکت داشتید میتوانید اینکار را به صورت دستی انجام دهید فقط به این صورت که وارد فایل منیجر هاست میشوید و داخل پوشه public_html فایل htaccess. باز کنید و کد زیر را در این فایل درج کنید.

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule> 

 

تست ssl

بعد از اینکه همه کار هارا انجام دادیم حالا وقت تست کردن و فهمیدن این است که ssl ما کاملا درست نصب شده یا نه برای همین وارد سایت ssllabs میشویم و جلوی گزینه Hostname آدرس سایتمان را وارد میکنیم.

شروع میکند و از سرور های مختلف سراسر دنیا سایت مارا بررسی میکند و به ssl سایت ما امتیاز میدهد اگر اینجا رتبه A یا نهایتا B دریافت کنیم یعنی کارمان را خوب انجام داده ایم.

تست ssl

 

نصب و سئو

برای اینکه مشکلی از نظر سئو نداشته باشید باید به ابزار هایی مثل سرچ کنسول آدرس جدید سایتتان را معرفی کنید و مجدد سایت جدید را معرفی کنید.

برای اینکار وارد search console میشویم و لیست سایت های ما که سرچ کنسول دارند را باز میکنیم و روی Add property کلیک میکنیم.

تغییر آدرس سایت در ssl

مجدد سایتمان را اینبار با آدرس https وارد میکنیم و تمام تایید هارا انجام میدهیم.

سرچ کنسول در ssl

 

جمع بندی

ما مفصل در مورد اینکه ssl چیست صحبت کردیم و روش های تهیه و نصب آن را هم یاد گرفتیم ولی نکته ای که حتما باید رعایت کنیم این است که نسخه پشتیبان را فراموش نکنیم و با تغییر تمامی ابزار های متصل به سایت مخصوصا ابزار های سئو از آسیب های سئو جلوگیری کنیم.

نصب SSL در دایرکت ادمین یا پلسک و سایر کنترل پنل ها یکی از مواردی است که گذر خیلی از وبمستر ها و کسانی که می خواهد وارد عرصه وب شوند، به آن می افتد. فرقی نمی کند که شما یک اداره کننده باشید یا استفاده کننده، اینکه بدانید لایه امن برای سایت چگونه فعال […]&url=https%3A%2F%2Fwww.maralhost.com%2Fkb%2Fhow-to-install-ssl-in-direct-admin-and-plesk%2F">
تیم تولید محتوا

آموزش گام به گام نصب SSL در دایرکت ادمین و پلسک

نصب SSL در دایرکت ادمین یا پلسک و سایر کنترل پنل ها یکی از مواردی است که گذر خیلی از وبمستر ها و کسانی که می خواهد وارد عرصه وب شوند، به آن می افتد. فرقی نمی کند که شما یک اداره کننده باشید یا استفاده کننده، اینکه بدانید لایه امن برای سایت چگونه فعال می شود یکی از موارد مهمی است که باید یاد بگیرید. البته بدیهی است قبل از معرفی روش نصب SSL در دایرکت ادمین قرار است کمی در مورد این موضوع که اصلا SSL چیست، آن S و قفل سبز رنگی که قبل از HTTP در آدرس سایت نمایش داده می شود از کجا می آید، و یا اینکه لایه انتقال امن دقیقا در کدام قسمت اینترنت قرار دارد، با هم اختلاط خواهیم کرد.

 

SSL چیست

SSL یک سرواژه ایجاد شده از عبارت Secure Socket Layer به معنای لایه انتقال امن می باشد. در سال 1993 میلادی، با اوج گرفتن تجارت و ورود آن به بستر اینترنت، و همینطور پیدا شدن کلاهبردارانی که به هر طریقی فرصت را مناسب می دیدند، و از تراکنش های مختلف به هر وسیله نفوذی سودی به جیب میزنند، جامع علمی مجبور به اختراع عنصری شد که این اتفاقات ناگوار را پس بزند. لایه انتقال امن یا همان SSL محصول این نیاز بود.

SSL این امکان را فراهم می کرد که یک انتقال رمزگذاری شده، در شرایطی دنبال شود که با انتقال یک کلید بزرگ به صورت امن و راحت، بتوان کل یک مجموعه بسته اینترنتی را به صورتی رمزنگاری شده که توسط کسی غیر از دارنده کلید آن قابل بازگشایی نیست، انتقال دهد. ساز و کار SSL به این صورت است که هر فرد در شبکه، یک کلید خصوصی و یک کلید عمومی دارد. این کلید ها دو کد طولانی هستند که اگر نیم نگاهی به این کلید ها انداخته باشید و آنها را دیده باشید، با تقریبا نصف صفحه کاراکتر ریز و درشت برای هر کدام مواجه شده اید.

به طور مثال میخواهیم بسته ای را مارال هاست، به شما ارسال کنیم. اتفاقی که در اینجا می افتد این است که بسته مورد نظر به وسیله کلید عمومی شما که در اختیار ما قرار گرفته است رمزنگاری می شود. این نوع رمزنگاری ها توابعی یک طرفه هستند که نمی توان با داشتن کلید عمومی آنها را درک کرد. وقتی ما بسته ای را با کلید عمومی شما قفل کنیم، شما صرفا می توانید آن را با کلید خصوصی جف کلید عمومیتان باز کنید. و تنها کسی که این کلید را دارد شما هستید. در نصب SSL در دایرکت ادمین و پلسک ما میخواهیم طرز کار راه اندازی این سیستم را با هم دنبال کنیم.

البته شما قرار نیست کاری انجام دهید. پس از نصب SSL در دایرکت ادمین و پلسک و فعال شدن این قابلیت، تنها کاری که باید بکنید این است که کلید های خصوصی و عمومی خود را وارد کرده تا بتوانید یک ارتباط امن SSL را ایجاد نمایید. در صورتی که این ارتباط به درستی برقرار شود، قفل سبز رنگ در کنار آدرس سایت شما نشان داده خواهد شد که نشان از صحت این ارتباط دارد و شما میتوانید اطمینان داشته باشید که کس دیگری نمیتواند این ارتباط را شنود کند.

در ادامه به بررسی نصب SSL در دایرکت ادمین و بعد از آن پلسک خواهیم پرداخت.

 

نصب SSL در دایرکت ادمین

نصب SSL در دایرکت ادمین به منظور افزایش امنیت در ورود به پنل دایرکت ادمین استفاده می شود. دایرکت ادمین به دلیل پایین تر بودن هزینه لایسنس آن نسبت به کنترل پنل های مشابه مثل سی پنل و پلسک یکی از محبوب ترین کنترل پنل های مدیریت هاست به حساب می آید و جهت آشنایی با بعضی از تفاوتهای کنترل پنل های هاست ارائه شده، می توانید  به مقاله ” کنترل پنل هاست چیست ” مراجعه کنید.

 

پیش نیازهای نصب SSL در دایرکت ادمین

کنترل پنل دایرکت ادمین قابل نصب بر روی سیستم عامل های لینوکسی مثل CentOS و Ubuntu است. برای نصب دایرکت ادمین نیاز به تهیه یک سرور مجازی و لایسنس کنترل DirectAdmin دارید که در زمان ثبت سفارش سرور مجازی، می توانید لایسنس DirectAdmin را تهیه کنید. در صورتی که از قبل سرور مجازی دارید ولی لایسنس دایرکت ادمین ندارید میتوانید با ارسال یک تیکت، درخواست کنید تا سفارش آن ایجاد شود.

در صورت تمایل می توانید در چت آنلاین سایت جهت مشاوره سرور مجازی پیام دهید و بعد از سفارش می توانید اطلاع دهید تا سیستم عامل و لایسنس DirectAdmin توسط واحد پشتیبانی مارال هاست نصب شود.

 

داستان نصب SSL در دایرکت ادمین از چه قرار است؟

نصب SSL در دایرکت ادمین باید از طریق hostname انجام شود. زمانی که یک سرور کانفیگ می شود یک hostname  برای آن تنظیم می گردد که معمولا به صورت اسم یک ساب دامنه است. فرض کنید نام دامنه اصلی هاست شما maralhost.com هست که برای تنظیم hostname می توانید از آدرس irlin.maralhost.com استفاده کنید. irwin یک اسم دلخواه است که ir در اینجا ابتدای کلمه iran و lin ابتدای کلمه linux است. بصورت پیش فرض hostname با http تنظیم می شود و برای ایمن کردن آن می توانید گواهینامه SSL  را بر روی آن نصب کنید تا بصورت پیش فرض با https لود شود.

 

مشاهده hostname در دایرکت ادمین

به منظور مشاهده hostname فعلی دایرکت ادمین، باید از منوی Server Manager گزینه Administrator Settings را کلیک کنید. در صفحه جدید با کلیک بر روی Server Settings مقدار hostname  فعلی قابل مشاهده است.

 

بررسی معتبر بودن hostname

به منظور ایمن کردن hostname سرور، نیاز است مقدار hostname یک آدرس صحیح باشد. برای بررسی این مورد می توانید از آدرس hostname خود Ping بگیرید که باید آدرس IP سرور را برگرداند. برای ping گرفتن کافی است در منوی Start ویندوز کلمه CMD را جستجو و سپس طبق تصویر برنامه Command Prompt را باز کنید.

SSL در دایرکت ادمین

 

با توجه به تصویر، Reply دریافت شده است و IP نیز نمایش داده می شود بنابراین می توانید نسبت به نصب SSL در دایرکت ادمین اقدام کنید.

چک کردن IP

 

 

شروع مراحل نصب SSL در دایرکت ادمین

در این آموزش گواهینامه SSL رایگان شرکت Let’s Encrypt بر روی hostname دایرکت ادمین نصب و فعال خواهد شد

برای این منظور لازم است که شما کد زیر را اجرا کنید:

cd /usr/local/directadmin/scripts

./letsencrypt.sh request_single your.hostname.com 4096

 

your.hostname.com در اینجا نام هاستی است که از آن استفاده می کنید. نکته ای که باید به آن توجه ویژه داشته باشید این است که your.hostname.com باید با آنچه که در servername روی Directadmin.conf تنظیم شده است مطابقت داشته باشد و یکی باشد.

اکنون باید SSL را روشن کرده و به دایرکت ادمین خود بگویید که از carootcert استفاده کند. برای این کار شما نیاز دارید تا نام میزبان SSL را به اجبار ریدایرکت کنید. کد زیر این کار را برای شما انجام خواهد داد:

 

cd /usr/local/directadmin

./directadmin set SSL 1

./directadmin set carootcert /usr/local/directadmin/conf/carootcert.pem

./directadmin set force_hostname your.hostname.com

./directadmin set ssl_redirect_host your.hostname.com

service directadmin restart

 

اکنون نصب SSL در دایرکت ادمین شما به طور کامل انجام شده است. در بخش بعد به چگونگی نصب SSL در پلسک خواهیم پرداخت.

 

نصب SSL در پلسک

در بخش قبلی نصب SSL در دایرکت ادمین را با هم بررسی کردیم. یکی از موارد ابتدایی که در زمان کانفیگ سرور با کنترل پنل plesk انجام می شود نصب گواهینامه SSL بر روی hostname پلسک است. پلسک در حال حاضر از پراستفاده ترین کنترل پنل های هاست خصوصا در هاست ویندوز و هاست لینوکس است که به دلیل پشتیبانی از هر دو نوع سیستم عامل های لینوکسی و ویندوز و رابط کاربر گرافیکی مناسب طرفداران زیادی دارد.

 

پیش نیازهای نصب SSL در پلسک

برای نصب پلسک نیاز به تهیه یک سرور مجازی و لایسنس کنترل پنل پلسک دارید که دقیقا مانند دایرکت ادمین در زمان ثبت سفارش سرور مجازی، می توانید لایسنس plesk را تهیه کنید. در صورتی که از قبل سرور مجازی دارید ولی لایسنس پلسک ندارید میتوانید با ارسال یک تیکت، درخواست کنید تا سفارش آن ایجاد شود.

 

نصب SSL در پلسک چگونه انجام میشود!؟

در قسمت نصب SSL در دایرکت ادمین  هم به این موضوع اشاره کردیم که وقتی یک سرور کانفیگ می شود یک hostname برای آن تنظیم میگردد که معمولا به صورت اسم یک ساب دامنه است.

بصورت پیش فرض hostname با http تنظیم می شود و برای ایمن کردن آن می توانید گواهینامه SSL  را بر روی آن نصب کنید تا بصورت پیش فرض با https لود شود. اما مشاهده hostname در پلسک با آنچه در قسمت نصب SSL در دایرکت ادمین گفتیم کمی متفاوت است.

 

مشاهده hostname در پلسک

به منظور بررسی مقدار فعلی آدرس hostname، پس از ورود با کاربر ادمین plesk از قسمت Tools & Settings گزینه Server Settings را انتخاب کنید.

مشاهده hostname در پلسک

 

 

بررسی معتبر بودن hostname

این جا نیز باید مانند نصب SSL در دایرکت ادمین کار را دنبال کرد. به منظور ایمن کردن hostname سرور، نیاز است مقدار hostname یک آدرس صحیح باشد. برای بررسی این مورد می توانید از آدرس hostname خود ping بگیرید که باید آدرس ip سرور را برگرداند.

برای ping گرفتن کافی است در منوی Start ویندوز کلمه cmd را جستجو و سپس طبق تصویر برنامه Command Prompt را باز کنید.

پیدا کردن cmd

 

با توجه به تصویر، reply  دریافت شده است و ip نیز نمایش داده می شود بنابراین می توانید نسبت به نصب گواهینامه SSL اقدام کنید.

چک کردن hostname در پلسک

 

 

نصب گواهینامه SSL بر روی hostname پلسک

برای نصب از Tools & Settings گزینه SSL/TLS Certificates را کلیک نمایید.

گزینه SSL/TLS Certificates

 

در صفحه جدید گزینه Let’s Encrypt را انتخاب نمایید.

گزینه SSL/TLS Certificates

 

در کادر Domain name آدرس hostname و در کادر Email address آدرس ایمیل خود را وارد و سپس بر روی دکمه Install کلیک کنید.

 

آدرس hostname

همانطور که مشاهده می کنید گواهینامه Let’s Encrypt برای hostname فعال شده است و طبق تصویر، حتما گزینه Keep Plesk secured در حالت فعال باشد.

آدرس hostname

 

به منظور ورود به حالت امن به پلسک، در صورتی که دامنه شما با آدرس domain.com باشد می توانید  آدرس

https://vps.domain.com:8443 را در نوار آدرس مروگر وارد کنید یا از این لینک چک کنید.

InstalSSLPL7

 

در این جا نصب SSL در پلسک نیز تکمیل شده است.

 

نتیجه گیری

نصب SSL در دایرکت ادمین و پلسک موردی بود که در این مقاله به آن پرداختیم، بعلاوه در مورد چگونگی کارکرد SSL و اینکه لایه انتقال امن چگونه عمل می کند نیز مواردی را عنوان کردیم. در صورتی که از یکی از دو کنترل پنل دایرکت ادمین و یا پلسک استفاده می کنید باید در نظر داشته باشید که نصب SSL در دایرکت ادمین و پلسک را حتما جدی گرفته و آن را به هیچ وجه پشت گوش نیندازید.

  SSL چیست! ؟ مخفف Socket Secure Layer که اولین بار توسط شرکت Netscape طراحی شد و سپس مرورگرهای دیگر نیز از این پروتکل پشتیبانی کردند. مشخصه بارز SSL بصورت https می‌باشد که شاید بارها در اینترنت مشاهده کرده باشید و به سادگی از آن گذر کرده باشید.   Secure Socket Layer, یا همان SSL […]&url=https%3A%2F%2Fwww.maralhost.com%2Fkb%2F%25d8%25b1%25d9%2581%25d8%25b9-%25d9%2585%25d8%25b4%25da%25a9%25d9%2584-https-%25d8%25af%25d8%25b1-%25d9%2588%25d8%25b1%25d8%25af%25d9%25be%25d8%25b1%25d8%25b3-%25d9%25be%25d8%25b3-%25d8%25a7%25d8%25b2-%25d9%2586%25d8%25b5%25d8%25a8%2F">
نیما تقوی

رفع مشکل https در وردپرس پس از نصب

 

SSL چیست! ؟
مخفف Socket Secure Layer که اولین بار توسط شرکت Netscape طراحی شد و سپس مرورگرهای دیگر نیز از این پروتکل پشتیبانی کردند.

مشخصه بارز SSL بصورت https می‌باشد که شاید بارها در اینترنت مشاهده کرده باشید و به سادگی از آن گذر کرده باشید.

 

Secure Socket Layer, یا همان SSL یک تکنولوژی استاندارد و به ثبت رسیده برای تامین ارتباطی امن مابین یک وب سرور و یک مرورگر اینترنت است. این ارتباط امن از تمامی اطلاعاتی که ما بین وب سرور و مرورگر اینترنت (کاربر) انتقال می‌یابد , محافظت می‌کند تا در این انتقال به صورت محرمانه و دست نخورده باقی بماند SSL یک استاندارد صنعتی است و توسط ملیون‌ها وب سایت در سراسر جهان برای برقراری امنتیت انتقال اطلاعات استفاده می‌شود. برای اینکه یک وب سایت بتواند ارتباطی امن از نوع SSL را داشته باشد نیاز به یک گواهینامه SSL دارد.
حال سوالی که پیش می‌آید این است که این گواهینامه چیست !؟
زمانیکه شما می‌خواهید SSL را بر روی سرور خود فعال کنید سؤالات متعددی در مورد هویت سایت شما ( مانند آدرس سایت ) و همین طور هویت شرکت شما ( مانند نام شرکت و محل آن) از شما پرسیده می‌شود. آنگاه سرور دو کلید رمز را برای شما تولید می‌کند یک کلید خصوصی (Private Key) و یک کلید عمومی .(Public Key) کلید خصوصی به این خاطر , این نام را گرفته است , چون بایستی کاملاْ محرمانه و دور از دسترس دیگران قرار گیرد. اما در مقابل نیازی به حفاظت از کلید عمومی نیست و این کلید در قالب یک فایل درخواست گواهینامه یا Certificate Signing Request که به اختصار آنرا CSR می‌نامیم قرارداده می‌شود که حاوی مشخصات سرور و شرکت شما بصورت رمز است. آنگاه شما باسیتی که این کد CSR را برای صادرکننده گواهی‌نامه ارسال کنید. در طول مراحل سفارش یک SSL مرکز صدور گواهینامه درستی اطلاعات وارد شده توسط شما را بررسی و تایید می‌کند و سپس یک گواهینامه SSL برای شما تولید کرده و ارسال می‌کند.

 

نصب SSL بر روی سرور
(فرض بر این است که SSL را روی سرویس خود نصب کرده اید)
برای اینکه مطمئن شوید SSL بر روی سرور شما به خوبی نصب شده است، وب سایت خود را با آدرس https://yourdomain.com باز کنید. اگر وب سایت شما باز شد اما نوشته‌ها و قالب آن به هم ریخته بود و یا آیکون https در کنار آدرس بار سایتتان به رنگ نارنجی یا قرمز درآمده بود نگران نباشید در ادامه به رفع این مشکلات خواهیم پرداخت.

رفع مشکل https در وردپرس (ارور قرمز رنگ کنار آدرس سایت)
برای رفع این مشکل مراحل زیر را به ترتیب انجام دهید:
۱- وارد بخش مدیریت وردپرس شوید
۲- از بخش تنظیمات بر روی همگانی کلیک کنید
۳- مقادیر نشانی وردپرس (URL) و نشانی سایت (URL) را از http به https تغییر دهید.
۴- از طریق کنترل پنل هاست و یا با اتصال FTP ، فایل wp-config.php را ویرایش کنید و کدهای زیر را به آن اضافه کنید:

 
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && 
$_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
$_SERVER['HTTPS'] = 'on';

آدرس وب سایت خود را باز کنید. اگر مشکلی وجود نداشت و همه چیز مرتب بوده و بخش‌های مختلف وب سایت به خوبی لود شدند، کار شما به اتمام رسیده است و همه چیز به خوبی انجام شده است.