استفاده از SSL در کلودفلر

استفاده از SSL در کلودفلر

در پست های قبلی در خصوص استفاده از کلودفلر و همچنین نقش آن در افزایش سرعت و همچنین افزایش امنیت وب سایت مطالبی را بیان کردیم. در ادامه آموزش های کلودفلر قصد داریم به نحوه استفاده از SSl در کلودفلر به منظور افزایش امنیت وب سایت بپردازیم.

استفاده از SSL در کلودفلر

ابتدا وارد اکانت کلودفلر خود شوید سپس همانند تصویر زیر بر روی crypto در کلودفلر کلیک کنید تا تنظیمات این بخش برای شما به نمایش درآید.

تنظیمات بخش crypto در cloudflare برای نمایش تنظیمات ssl در کلودفلر

بخش crypto ssl:

در این بخش شما می توانید گواهینامه ssl خود را بر روی 4 حالت مختلف تنظیم کنید:

انتخاب بین انواع گواهینامه امنیتی cloudflare در بخش crypto ssl شامل off,flexible,full و full strict

1-حالت off:

نحوه اتصال کلودفلر در حالت استفاده از off در بخش crypto ssl تنظیمات cloudflare

در این حالت هیچ گونه گواهینامه امنیتی بر روی وب سایت شما قرار ندارد و کاربران تنها از طریق پروتکل http قادر به مشاهده وب سایت شما خواهند بود. چنانچه کاربران بخواهند از طریق پروتکل https وارد سایت شما شوند از طریق redirect 301 به پروتکل http هدایت می شوند.

2-حالت flexible:

نحوه اتصال گواهینامه امنیتی Flexible در cloudflare

در این حالت ارتباط بین کاربر و سرورهای کلودفلر امن می شود اما ارتباط بین کلودفلر و هاست شما با استفاده از پروتکل ناامن http انجام می شود. چنانچه اطلاعات حساس و مهمی در سایت خود دارید از این حالت استفاده نکنید و تنها در صورتی که قادر به تنظیم ssl در هاست خود نبودید به عنوان آخرین راه حل از این گزینه استفاده کنید.

چنانچه قصد استفاده از این حالت را دارید باید بدانید این حالت تنها برای پورت 443->80 قابل استفاده است.

3-حالت full:

نحوه اتصال گواهینامه امنیتی full در cloudflare

در این حالت هم ارتباط بین کلودفلر و کاربر و هم ارتباط بین کلودفلر و هاست به صورت ایمن خواهد بود. (ارتباط بر روی پروتکل امن https خواهد بود).

توجه داشته باشید که اگرچه شما در حال استفاده از اتصال امن هستید اما در واقع این گواهی نامه تصدیق نشده است.

4-حالت full strict:

نحوه اتصال گواهینامه امنیتی full strict در cloudflare

این حالت برای مواقعی در نظر گرفته شده است که شما قبلا گواهی نامه SSL خود را از یک شرکت ثالث تهیه کرده باشید و یا در حال حاضر قصد انجام چنین کاری را داشته باشید. با انتخاب حالت full strict شما از کلودفلر می خواهید که از گواهی نامه فعلی شما (گواهی نامه ای که یک شرکت معتبر ثالث تهیه کرده اید) استفاده نماید.

بخش Edge Certificates

گواهی نامه رایگان کلودفلر یک گواهینامه اشتراکی را ارائه می دهد و با برخی مرورگرهای قدیمی سازگار نیست و شما برای حل این شکل باید از گواهینامه های پیشرفته تر استفاده کنید که در قالب پلان های پولی ارائه شده اند.

بخش Edge Certificates در تنظیمات ssl cloudflare برای ارتقاء پلن کلودفلر

شما می توانید با کلیک بر روی order ssl certificate گواهینامه اختصاصی (dedicated) و یا گواهینامه اختصاصی همراه با hostname های سفارشی را خریداری نمایید.

پلن های قابل خرید گواهینامه ssl در بخش order ssl certificate cloudflare

با کلیک بر روی upload custom ssl certificate شما با صفحه ای مانند زیر روبرو می شوید که در آن می توانید پلان های حرفه ای کلودفلر را خریداری نمایید.

upload custom ssl certificate در cloudflare برای خرید پلن های حرفه ای کلودفلر

بخش Custom Hostnames

شما با استفاده از این بخش می توانید گواهی نامه خود را خریداری و سپس به شخص ثالث بفروشید.

 بخش Custom Hostnames در crypto cloudflare

بخش Origin Certificates

شما با استفاده از این بخش می توانید گواهی نامه ssl رایگان امضا شده برای سرور اصلی خود تهیه نمایید. آموزش ساخت این گواهی نامه در پست جداگانه به طور کامل شرح داده خواهد شد.

بخش Origin Certificates در تنظیمات ssl cloudflare

بخش Always Use HTTPS

در صورت استفاده از SSL رایگان CloudFlare سایت شما با هر دو پروتکل http و https قابل دسترس است. این مسئله در بحث سئو به عنوان محتوای تکراری شناخته می شود و در واقع از نظر موتورهای جستجو شما هر مطلب خود را دو بار تکرار کرده اید که این مسئله تاثیر منفی بر سئو سایت دارد. برای حل این مشکل شما باید تمام آدرس های http را با استفاده از ریدایرکت 301 به https هدایت کنید.

شما برای ریدایرکت 301 دو راه دارید:

1-کد زیر را در داخل فایل .htaccess خود اضافه کنید.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
نحوه ریدایرکت 301 http به https در htaccess

نکته مهم : دقت داشته باشید که اگر تنظیماتی بر روی Htaccess شما وجود دارد و عبارتRewriteEngine On  را مشاهده می‌کنید ، بایستی دو خط بعدی کد بالا را در دقیقا در زیر آن کپی کرده و از نوشتن مجدد RewriteEngine On جداً خودداری نمایید.

2- شما می توانید با قرار دادن حالت on در این بخش عمل هدایت کردن را انجام دهید.

بخش Always Use HTTPS تنظیمات ssl در کلودفلر

بخش HTTP Strict Transport Security (HSTS)

بخش HTTP Strict Transport Security (HSTS) تنظیمات ssl در کلودفلر

این بخش در سایت های با امنیت بسیار بالا استفاده می شود. HSTS برای تعریف سیاست های رمزگذاری با امنیت بالا ایجاد شده است و شما با استفاده از آن می توانید سیاست های ویژه امنیتی را برای کاربران خود تعیین کنید. اجرای این سیاست ها باعث می شود سایت شما در برابر حملات SSL stripping و cookie hijacking محافظت شود. با فعال سازی این بخش تنها اتصال های امنی که از https استفاده می کنند می توانند وارد سایت شما شوند.

به طور کلی HSTS دو کار انجام می دهد:

1- اتصال های نا امن http را به اتصال های امن https تبدیل می کند.

2-چنانچه گواهی نامه ssl دارای ایراد باشد آن را در قالب هشدار به کاربر اعلام می کند و کاربر به هیچ وجه نمی تواند از این هشدار عبور کند.

در واقع کار اصلی HSTS این است که بعد از نشان دادن پیغام هشدار اجازه دسترسی کاربر به وب سایت را نمی دهد بنابراین قبل از فعال سازی این قسمت توجه داشته باشید چنانچه شما از ssl flexible (توضیحات ان در بخش SSL داده شد)استفاده می کنید و یا اینکه رنگ گواهی نامه ssl در مرورگر خاکستری است از قابلیت HSTS استفاده نکنید.

در تصویر زیر هر دو حالت رنگ خاکستری (نا امن) و رنگ سبز (امن) HTTPS را مشاهده می کنید.

حالت اتصال نا ایمن https در بخش HSTS تنظیمات ssl در کلودفلر
حالت اتصال ایمن https در بخش HSTS تنظیمات ssl در کلودفلر

بخش Authenticated Origin Pulls

با فعال سازی این گزینه تمام درخواست های کاربران از سیستم امنیتی کلودفلر عبور می کند و هیچ درخواستی نمی تواند به صورت مستقیم از طرف کاربر به سرور ارسال شود. برای استفاده از این گزینه باید تنظیمات مربوطه را در هاست خود انجام دهید.

بخش Authenticated Origin Pulls تنظیمات ssl در کلودفلر

بخش Minimum TLS Version

این بخش تعیین می کند که کاربران با کدام نسخه از پروتکل TLS مجاز به استفاده از سایت شما هستند. بهتر است مقدار آن را برای قدیمی ترین نسخه انتخاب کنید زیرا با این کار کاربرانی که از آن نسخه و جدیدتر از آن نسخه در مرورگر خود استفاده می کنند می توانند از سایت شما بازدید کنند. (اگر ورژن های بالاتر را انتخاب کنید کاربرانی که از نسخه قدیمی استفاده می کنند قادر به دیدن سایت شما نیستند و این به معنای از دست دادن کاربران است.)

بخش Minimum TLS Version تنظیمات ssl در کلودفلر

بخش Opportunistic Encryption

این گزینه برای زمانی استفاده می شود که شما پروتکل http خود را به https ریدایرکت نکرده باشید. در این صورت زمانی که سایت شما در مرور گر کاربر با پروتکل http باز می شود کلودفلر به کاربر اعلام می کند که این آدرس در نسخه امن https نیز در دسترس است.

بخش Opportunistic Encryption تنظیمات ssl در کلودفلر

بخش Onion Routing

فعال سازی این بخش باعث افزایش امنیت و حفظ حریم خصوصی کاربران می شود.

بخش Onion Routing تنظیمات ssl در کلودفلر

بخش TLS 1.3

TLS 1.3 جدید ترین سریع ترین و امن ترین نسخه پروتکل TLS است. چنانچه کاربران شما نیز از TLS 1.3 استفاده کنند کلودفلر به طور خود کار از این نسخه برای رمزنگاری کاربر با وب سایت شما استفاده می کند که باعث افزایش سرعت و امنیت می شود.

Enabled+0-RTT: یک ویژگی جدید است که در آن کاربرانی که برای بار دوم و یا بیش تر از سایت شما بازدید می کنند سرعت اتصال شان بهبود می یابد. این فر آیند شبیه سیستم کش می باشد که در آن قسمتی از فایل های سایت شما در مرور گر بازدید کننده ذخیره می شود و در نتیجه در بازدید دوم همان فایل ها فراخوانی می شوند که باعث سرعت بیش تر بارگذاری سایت می شود.

بخش TLS 1.3 تنظیمات ssl در کلودفلر

توصیه ما تنظیم این حالت بر روی Enabled+0-RTT است.

بخش Automatic HTTPS Rewrites

با فعال کردن این گزینه چنانچه شما قبلا در محتوای خود از پروتکل http برای لینک دهی استفاده کرده باشد و در حال حاضر همان لینک از طریق پروتکل https نیز در دسترس باشد کلودفلر به صورت خودکار محتوای آن ها را مخلوط کرده و بسیاری از خطاهای احتمالی را رفع می نماید.

بخش Automatic HTTPS Rewrites تنظیمات ssl در کلودفلر

تصویر زیر حالتی را نشان می دهد که لینک دهی صفحه قبل از استفاده از پروتکل https بر روی پروتکل http بوده است و همچنین گزینه Automatic HTTPS Rewrites نیز در حالت off (غیرفعال) قرار دارد. همان طور که مشاهده می کنید علامت گواهینامه ssl در مرور گر به رنگ خاکستری در آمده است.

تاثیر حالت off (غیرفعال) Automatic HTTPS Rewrites در تنظیمات ssl در کلودفلر بر روی صفحه بارگذاری شده

این بار Automatic HTTPS Rewrites را در حالت on (فعال) قرار می دهیم و همان صفحه را دوباره بارگذاری می کنیم. همان طور که مشاهده می کنید نشان گواهی نامه امنیتی به رنگ سبز (نشانه ایمن بودن) در آمده است. بنابراین بهتر است این بخش را فعال کنید.

تاثیر حالت on (فعال) Automatic HTTPS Rewrites در تنظیمات ssl در کلودفلر بر روی صفحه بارگذاری شده

بخش Disable Universal SSL

با زدن Disable Universal SSL گواهی نامه فعلی حذف می شود و چنانچه گواهی نامه ssl دیگری تهیه نکنید کاربرانی که با پروتکل HTTPS وارد سایت شما می شوند قادر به دیدن سایت شما نخواهند بود. تنها در صورتی که می خواهید از گواهی نامه شرکت دیگری استفاده کنید و یا به هر دلیلی مطمئن هستید که نمی خواهید از گواهی نامه ssl کلودفلر استفاده کنید از این بخش استفاده کنید.

بخش Disable Universal SSL تنظیمات ssl در کلودفلر

امیدواریم مطلب استفاده از SSL در کلودفلر برای شما مفید واقع شده باشد.

به اشتراک گذاری این مطلب

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *