من الضروري دائمًا وننصح بتأمين موقع الويب الخاص بك عبر شهادة SSL. لا يؤدي هذا إلى زيادة مُحسّنات محرّكات البحث لموقعك فحسب ، بل يضمن أيضًا ثقة الزائرين في موقعك. هنا نستكشف ما تقدمه CloudFlare بخصوص SSL / TLS ، وكيف يمكنك الاستفادة من هذه الخيارات لتأمين موقعك وزيادة الأداء.
ابتكرت CloudFlare في مجال الأمان لسنوات عديدة ، وعملت باستمرار على تسهيل تجربة المستخدم النهائي والمطور.تعد CloudFlare واحدة من أولى الشركات التي تقدم شهادة SSL مجانية لأي موقع ، وقد توسعت أيضًا في عروضها وتطورها التكنولوجي وإعدادات الأمان.
حزم CloudFlare SSL / TLS
تقدم CloudFlare عدة قدرات مختلفة. مجرد فهم أيهما سيكون أكثر منطقية بالنسبة لك هو الخطوة الأولى.
عالمي SSL
أحد عروض SSL الأولى والأكثر شهرة ، Universal SSL هو العرض المجاني من CloudFlare. بشرط أن CloudFlare هو مزود DNS المعتمد (ضروري للاستفادة الكاملة من CloudFlare) ، سيتم إصدار شهادة SSL عالمية جديدة في غضون 15 دقيقة من تنشيط المجال. هناك قيود على العرض المجاني:
- غير متوافق مع جميع إصدارات المتصفحات وأنظمة التشغيل.
- تقدمUniversal SSL شهادة مشتركة ، مما يعني أنك قد ترى أسماء نطاقات عملاء آخرين على الأسماء البديلة للموضوع.
- يغطي فقط النطاقات الفرعية من المستوى الأول (على سبيل المثال ، لن يعمل dev.www.example.com مع SSL).
Advanced Certificate Manager (SSL مخصص سابقًا)
مؤخرًا ، طرح CloudFlare مدير الشهادات المتقدم. مقابل 10.00 دولارات شهريًا ، يمكنك إنشاء شهاداتك ببعض الميزات الفريدة:
- الأسماء البديلة للموضوع القابلة للتكوين (SAN) لتغطية ، على سبيل المثال ، نطاق فرعي من المستوى الثاني
[dev.www.example.com] () - يزيل العلامة التجارية CloudFlare من الشهادة
- يضبط عمر الشهادات ويتحكم في مجموعات التشفير
يمكن تمكين هذا بالانتقال إلى علامة تبويب SSL / TLS من داخل مجال CloudFlare والنقر على Order Advanced Certificate.
SSL مخصص (عملاء الأعمال والمؤسسات فقط)
يتيح هذا الخيار للعميل تحميل شهادته التي ربما اشتراها أو أنشأها بشكل منفصل. عادةً ما يكون هذا للعملاء الحاصلين على شهادات التحقق من الصحة الموسعة (EV) أو التحقق من صحة المؤسسة (OV). لن تعمل هنا الشهادات الموقعة ذاتيًا التي لم يتم توقيعها بواسطة مرجع مصدق صالح.
Keyless SSL (عملاء المؤسسات فقط)
أخيرًا ، يعد خيار Keyless SSL تكوينًا متقدمًا مصممًا للشركات التي لديها سياسات تقيد التحكم في المفتاح الخاص للشهادات. تضيف هذه العملية بعض وقت الاستجابة للطلب ، حيث يتم تخزين المفتاح على خادم رئيسي يتحكم فيه العميل والذي سيحتاج CloudFlare إلى الاتصال به لتقديم المحتوى بشكل صحيح.
شهادات خادم الأصل
إحدى المزايا التي تتمتع بها Universal SSL هي أنك كنت قادرًا على تشفير حركة مرور المستعرض / العميل إلى CloudFlare ولكن ليس بالضرورة من CloudFlare إلى خادم Origin (مضيف الويب). هذا يعني بالنسبة للعديد من مضيفي الويب ، الذين لم يتم إعدادهم بشكل صحيح لإدارة الشهادات ، أن مالك موقع الويب سيظل قادرًا على تقديم حركة مرور مشفرة إلى المستعرض.
هذا ليس آمنًا تمامًا ، لأن حركة المرور من CloudFlare إلى مضيف الويب ستكون غير مشفرة ويمكن قراءتها باستخدام هجوم من نوع man-in-the-middle. لتخفيف هذا ، لديك بعض الخيارات.
- Flexible- الخيار الافتراضي بدون تشفير خادم Origin
- Full- تشفير خادم الأصل ولكن باستخدام شهادة موقعة ذاتيًا (أي عدم شراء شهادة)
- كامل (صارم)- التحقق من أن خادم الأصل يستخدم شهادة موقعة بشكل صحيح
مع خيار كامل (صارم) ، هناك عدة طرق إضافية لجعل هذا يعمل بشكل صحيح”
- Let's Encrypt Certificate- باستخدام شهادات SSL المجانية التي تقدمها Let's Encrypt ، سيكون لديك شهادة صالحة لتشفير الاتصال بين خادم Origin و CloudFlare.
- شهادة CloudFlare Origin CA- ربما يكون أسهل هو القدرة على استخدام ميزة Origin Certificates في CloudFlare لإنشاء شهادة ، يمكنك تنزيلها وتثبيتها على مضيف الويب الخاص بك ، أن CloudFlare سيثق.
تكوينات CloudFlare SSL / TLS
الآن بعد أن فهمت كيفية عمل CloudFlare SSL / TLS لنطاق معين ، دعنا نستكشف بعض الخيارات المتاحة لتخصيص تجربة العميل وتأمينها. هذه قابلة للتغيير ولكن بشكل عام تمت إضافتها فقط على مر السنين.
استخدم دائمًا
يجبر خيار تبديل التبديل البسيط جميع طلبات
HTTP
على إرجاع إعادة توجيه 301 إلى عنوان URL المكافئ
HTTPS. هذا على مستوى المجال ، وإذا كنت بحاجة إلى قاعدة أكثر استهدافًا ، فاستخدم قاعدة صفحة استخدام HTTPS دائمًا لاستهداف مسار معين.
أمن النقل الصارم HTTP (HSTS)
HSTS هو موضوع طويل مع العديد من الاعتبارات ، ولكن هذا الإعداد سيضيف رأسًا إلى طلب يسمح لموقع ويب بتحديد سياسة أمان وفرضها في متصفحات الويب العميل. يساعد على تأمين موقع ويب من العديد من أنواع الهجمات المختلفة.
إذا تم تعطيل طبقة المقابس الآمنة في أي وقت ، فقد يفقد زوار موقعك الوصول إلى موقعك طوال مدة العناوين
max-age
المخبأة ، أو حتى يتم إعادة إنشاء HTTPS و HSTS رأس بقيمة
0يخدم
الحد الأدنى من إصدار TLS
في هذا اليوم وهذا العصر ، يوصى بشدة باستخدام إصدار أدنى من TLS
1.2
، لأن الإصدارات الأقدم عرضة للهجمات. الإصدار الأحدث
1.3لم يتم اعتماده على نطاق واسع حتى الآن ، لذلك من غير المستحسن تعيين ذلك كحد أدنى للإصدار.
التشفير الانتهازي
لا يُقصد به أن يكون بديلاً لـ HTTPs ، فهذا الإعداد يخبر المتصفحات أن إصدارًا مشفرًا من الموقع متاح لبروتوكولات أخرى ، مثل HTTP / 2. يجب استخدام هذا جنبًا إلى جنب مع تكوين SSL / TLS العادي.
TLS 1.3
هذا هو أحدث إصدار من بروتوكول TLS ، والذي يتضمن العديد من التحسينات. لا يزال هذا الإصدار غير معتمد على نطاق واسع ويتم حظره من قبل بعض البلدان ، لذلك من الحكمة تمكين إصدار البروتوكول هذا دون الاعتماد عليه.
إعادة كتابة HTTPS التلقائية
للمساعدة في إصلاح مشكلات المحتوى المختلط ، i.على سبيل المثال ، رابط غير HTTPS داخل صفحة HTTPS ، يمكنك استخدام القدرة لـ CloudFlare لإعادة كتابة محتوى الصفحة قبل الوصول إلى العميل لإصلاح هذه الروابط. هذا ليس مثاليًا ولكنه يلتقط العديد من الروابط غير المتسقة. من الناحية المثالية ، يجب إصلاح المحتوى نفسه.
مراقبة شفافية الشهادة
ميزة تجريبية أحدث ، ترسل تنبيهات بالبريد الإلكتروني إلى مالك الحساب عند إصدار شهادة جديدة لهذا المجال المحدد. من المفيد أن تكون بمثابة نظام إنذار مبكر إذا حاول جهة فاعلة سيئة إصدار شهادة لنطاقك.
تعطيل SSL العالمي
أخيرًا ، لديك خيار تعطيل Universal SSL تمامًا. لا يتم استخدام هذا بشكل عام إلا إذا كان لديك حاجة محددة للغاية.
الخلاصة
تقدم CloudFlare ميزات وقدرات واسعة النطاق لإدارة شهادات الموقع بشكل آمن وفعال. تضيف CloudFlare باستمرار ميزات جديدة ، إلى كل من العروض المجانية والخيارات المدفوعة.بالنسبة إلى SSL واحتياجات الأمان ، من الصعب التغلب على CloudFlare ، خاصة مع عروضها المجانية!
