قم بتأمين موقع الويب الخاص بك باستخدام Let's Encrypt!

نشرت: 2016-11-22

Let's Encrypt هي مبادرة توفر طريقة مجانية وآلية لتأمين حركة مرور HTTP لموقعك على الويب. لطالما كان إعداد HTTPS الآمن عملية متضمنة ، ويسعدنا دعم أي جهد يجعل العملية برمتها أبسط وأكثر وضوحًا للأشخاص.

بشكل عام ، لتمكين HTTPS على موقع الويب الخاص بك ، تحتاج إلى الحصول على شهادة أمان من مرجع مصدق (CA). يُنظر إلى المرجع المصدق كطرف ثالث موثوق به يمكنه التحقق من هوية موقع الويب للزائرين. يتم تثبيت شهادة الأمان (تسمى أيضًا شهادة SSL) على خادم الويب وتوفر وظيفتين: أ) تقوم بتشفير كل حركة مرور HTTP بين موقعك على الويب وزوارك ب) تصادق على هوية موقع الويب الخاص بك ، بحيث يعرف زوارك أنهم كذلك لا تزور واحدة وهمية.

 إن تأمين هوية موقع الويب الخاص بك وحركة مرور الزائرين هي الميزة الواضحة هنا ولكن هناك أيضًا المزيد منها يتطلب مزيدًا من التوضيح.

قبل Let's Encrypt ، كان عليك اختيار نوع الشهادة التي تريدها ، وهي عملية كانت مربكة بعض الشيء للمستخدمين الذين ليسوا على دراية بأنظمة المفاتيح العامة ، ثم كان عليك إنشاء مفاتيحك وتوقيع طلب إنشاء شهادة وإنفاق مبلغ كبير في النهاية من المال من أجل شراء واحدة.

انتظر ، ولكن ما هو SSL؟

طبقة مآخذ التوصيل الآمنة ، أو SSL هي بروتوكول تشفير يؤمن اتصال الشبكة. يضمن خصوصية الاتصال ، مما يعني أن البيانات المتبادلة بين طرفين مشفرة ولا يمكن التنصت عليها من قبل طرف ثالث. كما أنه يصادق على هوية الأطراف المتصلين ، عادةً الخادم ، باستخدام شهادة SSL التي ذكرناها سابقًا.

كيف يمكنك معرفة ما إذا كان موقع الويب آمنًا؟

يمكن التعرف بسهولة على مواقع الويب التي يتم تأمينها بواسطة طبقة المقابس الآمنة (SSL) من خلال أمرين:

https- اقتصاص
  • يوجد رمز قفل أخضر بجوار عنوان URL (حسب المتصفح الذي تستخدمه)
  • يبدأ عنوان URL بـ https بدلاً من http.

ومع ذلك ، فإن شهادات SSL لها أيضًا تاريخ انتهاء صلاحية. عند انقضاء هذا التاريخ ، لم يعد الاتصال آمنًا ، وتحتاج الشهادة إلى التجديد. يمكنك بسهولة التحقق مما إذا كانت شهادة SSL لموقع الويب الخاص بك منتهية الصلاحية أم لا عن طريق النقر أولاً على أيقونة القفل واعتمادًا على المتصفح الذي تستخدمه ، قم بما يلي:

في Firefox ، انقر فوق زر السهم الموجود على اليمين ، ثم على رابط مزيد من المعلومات . أخيرًا ، انقر فوق الزر " عرض الشهادة " ضمن علامة التبويب " الأمان " لعرض تفاصيل الشهادة.

إذا كنت تستخدم Chrome ، فانقر فوق ارتباط التفاصيل ، ثم الزر عرض الشهادة ضمن علامة التبويب نظرة عامة على الأمان .

ضمن قسم فترة الصلاحية ، هناك تاريخان مرتبطان بالشهادة. صدر في وينتهي في . الأول هو تاريخ تفعيل الشهادة ، والثاني هو تاريخ انتهاء صلاحيتها. إذا مر تاريخ انتهاء الصلاحية ، فستحتاج الشهادة إلى التجديد ولم يعد الاتصال آمنًا!

لماذا نهتم بـ SSL؟

حسنا، هناك عدد من الاسباب! تأمين الاتصال بين موقع الويب الخاص بك وزوارك ، ومصادقة هوية موقع الويب الخاص بك ، وضمان تكامل البيانات بين المتصفح وخادم الويب ، وحتى الحصول على مرتبة أعلى لتحسين محركات البحث.

يبدو الاتصال الآمن والهوية المصادق عليها أشياء لطيفة ، ولكن ما الذي يحمون موقع الويب الخاص بك منه؟ قد يبدو هذا المفهوم غامضًا للبعض. في الواقع ، يعمل هذان الشخصان معًا في قتال ربما يكون أحد أكثر أساليب الهجوم التقليدية الموثقة في أمان الكمبيوتر. هجوم "man-in-the-middle" (أو المختصر ، MitM).

استضافة موقع الويب الخاص بك مع Pressidium

ضمان استرداد الأموال لمدة 60 يومًا

اطلع على خططنا

لنفترض أن لدينا موقعًا على شبكة الإنترنت تديره Alice ويزوره بوب (يعمل الهجوم أيضًا على خدمات مختلفة ، وليس فقط مواقع الويب). حتى الان جيدة جدا. ثم ، هناك هذا الرجل السيئ المسمى تشارلز (عادةً ما يُطلق على الأشرار في أمن الكمبيوتر تشارلز لسبب ما. يتبادر إلى الذهن المارتيني الجاف والمخابئ السرية.)

تشارلز ، باستخدام عدد من الأساليب المختلفة المعقدة للغاية بحيث لا يمكن الخوض فيها في هذه المقالة ، يسيطر على قناة الاتصال بين أليس وبوب. يجلس بينهم بهدوء وخفاء.

man_in_the_middle

عندما يزور بوب موقع أليس على الويب ، يعتقد أنه يرسل ويتلقى بيانات من أليس. في الواقع ، تمر البيانات التي يرسلها عبر تشارلز ، الذي بدوره يرسلها إلى أليس (مع التأكد قبل القيام بذلك إما لتخزينها أو العبث بها بطريقة خبيثة). عندما يستجيب موقع Alice على الويب ، تنتقل البيانات مرة أخرى من Charles إلى Bob. إنه تمامًا مثل وجود تنصت قوي. بصرف النظر عن قدرته على تخزين البيانات الحساسة مثل رسائل البريد الإلكتروني وكلمات المرور وبطاقات الائتمان ، يمكن لتشارلز حتى انتحال شخصية أجزاء من موقع Alice على الويب أو جلسة تصفح الويب الخاصة بـ Bob.

لذلك نرى هنا المكان الذي يأتي فيه حليفانا SSL والهوية المصادق عليها والتواصل الآمن إلى الإنقاذ!

عندما يكون موقع الويب الخاص بك محميًا بواسطة SSL ، يصبح تنفيذ هجمات Man-in-the-middle أكثر صعوبة. عندما يتصل بوب بموقع أليس على الويب ، يتلقى شهادة الخادم ويتحقق من صحتها مقابل المرجع المصدق. بعد التحقق من صحة الشهادة ، يتبادل الخادم والعميل بعض المعلومات الإضافية ثم يبدأ اتصال البيانات (مثل نوع التشفير الذي سيستخدمونه ، وهي عملية تسمى المصافحة). إذا حاول تشارلز انتحال شخصية أليس بإرسال مفتاحه العام لبوب ، فلن يذهب بعيدًا. داخل الشهادة ، توجد سلسلة من البيانات تسمى التوقيع الرقمي ، والتي تضمن سلامة الملف. إذا تغير أي جزء من الشهادة ، يتغير التوقيع أيضًا.
لذلك إذا حاول تشارلز تغيير المفتاح العام ، فإن المرجع المصدق سيرفض الشهادة ويبلغ بوب (لأن التوقيع الرقمي المحسوب من قبل المرجع المصدق لن يتطابق مع التوقيع الحالي على الشهادة). نظرًا لأن تشارلز ليس لديه مفتاح أليس الخاص ، فلا يمكنه فك تشفير الاتصال. الطريقة الوحيدة لكي يتمكن تشارلز من فعل أي شيء ، هي محاولة اختراق خوادم CA أيضًا.

ولكن إلى جانب حمايتك من الأشرار الذين يشربون المارتيني ، فإنه يعمل أيضًا على تحسين تصنيف مُحسّنات محرّكات البحث لديك! وفقًا لمدونة مشرفي المواقع من Google بواسطة Zineb Ait Bahajji و Gary Illyes ، يتم استخدام HTTPS كإشارة تصنيف:

" لقد رأينا نتائج إيجابية ، لذلك بدأنا في استخدام HTTPS كإشارة تصنيف. في الوقت الحالي ، ما هي إلا إشارة خفيفة الوزن للغاية. ولكن بمرور الوقت ، قد نقرر تقويته ، لأننا نرغب في تشجيع جميع مالكي مواقع الويب على التبديل من HTTP إلى HTTPS للحفاظ على أمان الجميع على الويب. "

بالإضافة إلى ذلك ، اعتبارًا من سبتمبر ، أعلنت مدونة Google Security أن متصفح Chrome سيبدأ صراحة في تصنيف مواقع الويب على أنها "غير آمنة". يتم ذلك في محاولة "للتحرك نحو شبكة أكثر أمانًا" وزيادة الوعي لدى المستخدمين.

كيف يعمل هذا كله ؟

لقد تحدثنا حتى الآن عن شهادات SSL ومدى أهميتها في توفير مصادقة الأمان والهوية. في هذا القسم ، سنشمر عن سواعدنا وندخل في التفاصيل الدقيقة!

يعمل SSL باستخدام نظام يسمى البنية التحتية للمفتاح العام (أو PKI ، للفرز).
PKI هو نظام أمان للكمبيوتر يستخدم لحل مشكلة كيفية الاتصال بأمان عبر شبكة غير آمنة. ببساطة ، إذا أراد بوب وأليس التواصل بأمان عبر الإنترنت ، فعليهما تبادل مفتاح تشفير من نوع ما. ولكن إذا فعلوا ذلك ، وحصل شخص ما بينهم ويمتلك جهاز كمبيوتر على هذا المفتاح ، فسيكون قادرًا على قراءة جميع الاتصالات المستقبلية! (قد لا يكون شخصًا من نوع Charles ؛ يمكن لمسؤولي النظام نظرًا لطبيعة عملهم الوصول إلى جميع بيانات النص العادي التي تمر عبر خوادمهم أيضًا).

قد يبدو هذا وكأنه مشكلة متناقضة ، ولكن يتم حلها ليس فقط من خلال استخدام مفتاح واحد ، ولكن باستخدام زوج من المفاتيح. عام وآخر خاص:

  1. تتبادل أليس وبوب مفاتيحهما العامة . نظرًا لأنها عامة ، يمكن إرسالها عبر شبكة غير آمنة دون قلق. في الواقع ، نشرها في الأماكن العامة هو الغرض من استخدامها!
  2. تقوم أليس بعد ذلك بتشفير الرسالة التي تريد إرسالها إلى بوب باستخدام مفتاحها الخاص باستخدام مفتاح بوب العمومي .
  3. يتلقى بوب الرسالة ويفك تشفيرها باستخدام مفتاحه الخاص مع مفتاح أليس العام .

عادةً ما يتم تخزين المفاتيح الخاصة محليًا على جهاز الكمبيوتر الخاص بك (أو محرك أقراص USB ، أو في مكان تعرف أنها آمنة). بغض النظر عمن يقرأ بريدك الإلكتروني أو اتصالات الشبكة ، سيحصلون فقط على نص مشوه بدون مفتاحك الخاص.

جانب آخر مفيد لتشفير المفتاح العام هو فكرة التوقيع الرقمي. ذكرناها سابقًا ، عندما حاول تشارلز العبث بالشهادة.
عندما ترسل أليس رسالة إلى بوب ، يمكنها أيضًا توقيعها رقميًا باستخدام مفتاحها الخاص. هذا يضمن أن الرسالة تم إرسالها بالفعل من قبل أليس ، وليس من قبل أي شخص آخر. التوقيع الرقمي هو في الواقع سلسلة طويلة من الأرقام السداسية العشرية التي يتم حسابها باستخدام معلومات الشهادة. حتى إذا تغير بايت واحد في الشهادة ، فإن التوقيع الرقمي سيتغير أيضًا ، وسيرفضه المرجع المصدق.

شهادة SSL هي ببساطة ملف بيانات يتم تثبيته على نظام (عادةً على خادم ويب) ويعمل بنفس الطريقة. إنه يشفر الاتصال ويضمن هوية الكيان (في حالتنا ، موقع الويب). يحتوي على معلومات مثل:

  • اسم صاحب الشهادة
  • عنوان البريد الالكترونى
  • مدة الصلاحية
  • اسم المجال المؤهل بالكامل لخادم الويب
  • المفتاح العام للمالك
  • توقيع رقمي يضمن عدم تغيير الشهادة بأي شكل من الأشكال.

يستخدم كل هذه المعلومات لربط كيان / منظمة بهذا النظام بشكل فعال.

هناك طريقتان لإصدار الشهادة. الأول هو التوقيع عليه بنفسك (موقّع ذاتيًا) ، والثاني هو الحصول عليه من خلال مرجع مصدق (موثوق به).

ما الفرق بين شهادة موقعة ذاتيًا وشهادة موثوقة؟

توفر الشهادة الموقعة ذاتيًا نفس مستوى التشفير كشهادة موثوق بها ، ولكنها لا تضمن هوية المالك. يتم استخدامه في الغالب للاختبار أو في البنية التحتية للشبكة المحلية حيث لا توجد حاجة ملحة لوجود مالك مرتبط بنظام.

من ناحية أخرى ، توفر الشهادة الموثوقة كلاً من التشفير ومصادقة الهوية. يتم إصدار الشهادة من قبل جهة خارجية (CA) تتحقق من هوية مالك الشهادة باستخدام عدد من الفحوصات الأمنية.

لذلك هذا يعني أنك بحاجة إلى الوثوق في CA. ماذا لو كانت مارقة وكيف يمكن للمرء أن يعرف؟

يمكن أن يحدث هذا بالتأكيد ، وقد حدث في العديد من المرات الماضية. نظرًا لأن هذه مسألة ثقة بالفعل ، فإن الحل الوحيد هو التأكد من أن المرجع المصدق الذي تستخدمه منظمة معروفة ومحترمة. تتقاضى CA أموالاً مقابل إصدار الشهادات (عادةً ما يتراوح ما بين 10 دولارات إلى ثلاثة أرقام) ولكن لا ينبغي لأحد أن يقع في فخ الاعتقاد بأن CA باهظ الثمن يعني المزيد من الثقة والأمان!

كيفية تأمين SSL لموقع الويب الخاص بك باستخدام Let's Encrypt

هناك العديد من الطرق لإنشاء شهادة Let's Encrypt وتثبيتها على خادم الويب الخاص بك. تعتمد العملية على ما إذا كنت ستعمل من غلاف Unix أم لا ، ونوع خادم الويب الذي تقوم بتشغيله ، وما إلى ذلك. قم بتوجيه متصفحك إلى صفحة Let's Encrypt's Getting Started لمعرفة المزيد من المعلومات.

إذا كنت أحد عملاء Pressidium الحاليين ، فلن تكون الأمور أسهل!
أولاً ، قم بتسجيل الدخول إلى حساب Pressidium Portal الخاص بك:

  1. انقر فوق علامة التبويب شهادات SSL .
  2. انقر فوق الزر إنشاء شهادة Let's Encrypt مجانًا .
  3. حدد موقع الويب الذي تريد تثبيت الشهادة عن طريق اختياره من القائمة المنسدلة Install Let's Encrypt .
  4. أخيرًا ، انقر فوق الزر Create & Install SSL Certificate ، وبذلك تكون قد انتهيت!

من أجل اختبار ما إذا كان SSL ممكّنًا على موقع الويب الخاص بك ، افتح متصفحك وقم بزيارة عنوان URL لموقع الويب الخاص بك باستخدام https في العنوان. إذا كان متصفحك يعرض علامة القفل الآمن الخضراء المألوفة ، فأنت تعمل!

تتمتع شهادة Let's Encrypt الجديدة الخاصة بك بفترة زمنية مدتها 90 يومًا ولكنها ستعيد تجديد نفسها تلقائيًا. يمكنك أيضًا إدارة وتثبيت الشهادات التي اشتريتها من البوابة. اقرأ منشور قاعدة المعارف هذا لتجد كل شيء عنه!

الأمن عملية وليست حلاً جاهزًا

الحقيقة الصعبة هي أنه لا يمكنك فقط شراء شيء ما ، أو تثبيت جزء من البرنامج ونسيانه ، وتعتقد أنك تعاملت بنجاح مع جميع مشكلات الأمان. يعد أمن الكمبيوتر لغزًا ضخمًا يتضمن الآليات والسياسات وأجهزة الكمبيوتر وقبل كل شيء الأشخاص وعلم النفس البشري! تحتاج إلى الحصول على جميع قطع اللغز بشكل صحيح والعناية بها باستمرار. إنها عملية وليست حلاً جاهزًا.

العامل البشري هو الشيء الذي تم استغلاله مرارًا وتكرارًا من قبل المستخدمين الحاقدين. نحن ندعم 100٪ أي مبادرة تسعى إلى الإعلام وتوفير الأدوات وزيادة وعي الجمهور بمسائل أمن الإنترنت. في المنشورات المستقبلية ، سوف نتعمق في جوانب أمان WordPress بشكل أكثر عمقًا وشمولية. يستخدم WordPress من قبل الأشخاص والشركات لتوفير القيمة والطعام على الطاولة للكثيرين. لم تعد الحوادث الأمنية تتعلق بتشويه موقع الويب والكتابة على الجدران عبر الإنترنت ولكنها تؤثر بشكل ملموس على حياة الآخرين. وهذا شيء نأخذه على محمل الجد.