ssl رایگان Lets Encrypt

[GHOST]

پروتکل امنیتی لایهٔ انتقال (Transport Layer Security)، بر پایه لایهٔ سوکت‌های امن (Secure Sockets Layer) که یکی از پروتکل‌های رمزنگاری است و برای تامین امنیت ارتباطات از طریق اینترنت است بنا شده‌است. برای اطمینان از هویت طرف مقابل و تبادل کلید متقارن از گواهی X.509 و رمزنگاری نامتقارن استفاده می کند. این پروتکل امنیت انتقال داده‌ها را در اینترنت برای مقاصدی چون کار کردن با پایگاه‌های وب، پست الکترونیکی، نمابرهای اینتزنتی و پیام‌های فوری اینترنتی به کار می‌رود. اگرچه TLS و SSL با هم تفاوت‌های اندکی دارند ولی قسمت عمده‌ای از این پروتکل کم و بیش یکسان مانده‌است.
پروتکل TLS به برنامه‌های Client/Server اجازه می‌دهد که در شبکه از طریقی که از eavesdropping (شنود)، message forgery (جعل پیام) جلوگیری می‌کند با یکدیگر ارتباط برقرار کنند. authentication TLS (احراز هویت) و communications confidentiality (ارتباط مطمئن) در اینترنت را از طریق استفاده از cryptography(رمز نگاری) فراهم می‌کند.
این‌ها توضیحات وی‌کی پدیا درباره گواهی‌نامه های SSL/TLS بود ، اما امروز این گواهی‌نامه برای مدیران و توسعه دهندگان وب کمتر ناشناخته هستند و احتمالاً تا این لحظه حداقل یک بار به آن نیاز پیدا کرده‌اید.
امروز در این بزم طبل توخالی و ادعای پوشالی امنیت در فضای مجازی ، شاید با همین راهکار بسیار ساده و رعایت همین نکات به حفظ امنیت و حریم خصوصی خود و دیگران کمک کنیم ، یکی از همین راهکارها استفاده از این گواهی‌نامه‌های رمزنگاری برای اطمینان نسبی (!) از یک ارتباط مطمئن بین سرور و کاربر است که اولاً برای سایت‌هایی با محیط های کاربری-خدماتی با اطلاعات مهم و دوماً برای همه سایت‌ها نیازی ضروری است ، اما مشکل آنجاست که ارائه دهندگان مطمئن ، این گواهی‌نامه ها را با دریافت مبلغی در بازه‌ای مشخص در اختیار سایت‌ها قرار می‌دهند.
اما بنیاد 

This is the hidden content, please

• ورود
• یا
• ثبت نام

 ، با همکاری شرکت های بزرگ وب چون موزیلا،سیسکو،گوگل و.. اقدام به ارائه این سرویس بصورت رایگان برای همه  دامنه‌ها (بدون آن تحریم ناعادلانه سایر ارائه دهندگان مشابه) کرده است که در این مقاله به روش راه اندازی این گواهی‌نامه در سرویس های اشتراکی هاستینگ می‌پردازیم.
بطور خلاصه روش ما برای نصب گواهی‌نامه برای سرویس های اشتراکی هاستینگ ، درخواست گواهی‌نامه بصورت نیابی بر روی سیستم لوکال و سپس نصب آن در سی‌پنل است.

 

نیازمندی‌ها

۱. یک توزیع گنو/لینوکسی برای نصب کلاینت Let’s Encrypt ، در این آموزش من از توزیع بسیار محبوب اوبونتو استفاده خواهم کرد. (شما می‌توانید از سرور‌های مجازی ، مجازی ساز و.. نیز استفاده کنید)
۲. دسترسی به سی‌پنل برای نصب دستی گواهی‌نامه‌های ssl/tls (اگر از کنترل‌پنل دیگری استفاده می‌کنید گزینه‌ها نسبتاً مشابه هستند و با کمی جست‌و‌جو قابل پیاده‌سازی)
۳. دسترسی و اجازه‌ آپلود فایل در هاست

 

نصب کلاینت Let’s Encrypt و درخواست گواهی‌نامه

۱. اگر گیت بر روی سیستم شما نصب نیست ابتدا گیت را نصب کنید

This is the hidden content, please

• ورود
• یا
• ثبت نام

۲. از طریق ترمینال و با دستور زیر کلاینت Let’s Encrypt را از 

This is the hidden content, please

• ورود
• یا
• ثبت نام

 تراریزی می‌کنیم

This is the hidden content, please

• ورود
• یا
• ثبت نام

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

۳. پس از پایان تراریزی ، به پوشه Let’s Encrypt وارد شوید و برای درخواست یک گواهینامه بصورت دستی برای دو دامنه www.domain.ir و domain.ir (که درواقع دو آدرس سایت شما هستند با تفاوت www) از دستور زیر استفاده می‌کنیم

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

دقت کنید که در دستور قبل حتماً بجای domain.ir آدرس دامنه خود را قرار دهید
از شما گذرواژه سیستم‌عامل را برای راه‌اندازی بسته کلاینت Let’s Encrypt می‌پرسد که باید وارد کنید
اگر درست پیش رفته باشید با صفحه‌ای این چنینی مواجه خواهید شد

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

 

که از شما درباره اطمینانتان از راه اندازی و درخواست گواهی‌نامه از یک دستگاه غیر از سرورتان می‌پرسد که باید Yes رو بزنید.
پس از این هیچ حرکت دیگری نکنید ! که اگر پیش رفتید باید دوباره گام‌های قبل را انجام دهید.

 

تأیید مالکیت دامنه

پس از تأیید درخواست از یک آی‌پی عمومی در گام قبل ، از شما برای تأیید مالکیت دامنه می‌خواهد که یک فایل با نام خاص را در مسیری خاص آپلود کنید

This is the hidden content, please

• ورود
• یا
• ثبت نام

باید برای تأیید در روت دامنه خودتان یک پوشه با نام .well-known که در آن نیز پوشه دیگر با نام acme-challenge ساخته و در آن فایلی با نامی که در تصویر با قرمز و با متن (محتوی) آبی مشخص شده بسازید (دقت کنید که این متن و نام فایل برای شما متفاوت خواهد بود)
حالا باید در آدرس زیر

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

آن خط با زیرخط آبی قابل مشاهده باشد
اگر به درستی پیش رفته باشید پس از اینتر باز همچنین پیامی (از گام قبل) ولی این بار برای دامنه با www دریافت می‌کنید که باید در همان مسیر بار دیگر فایلی با اسم و متن جدید داده شده بسازید و باز اینتر بزنید

This is the hidden content, please

• ورود
• یا
• ثبت نام

اگر بنا بر هر دلیلی با خطایی مواجه شدید مراحل را از گام سوم نصب ادامه دهید و اگر هم بدرستی پیش رفته باشید با پیام موفقیت این چنینی مواجه خواهید بود

 

 

نصب گواهی‌نامه در سی‌پنل

خب اگر تا اینجا پیش آمده‌اید ، همه چیز آماده شده و شما یک گواهی‌نامه SSL/TLS از Let’s Encrypt دارید و به راحتی برای دامنه ثبت شده تا ۹۰ روز قابل استفاده است (بعد از آن نیاز به تمدید رایگان دارد) ، این گواهی‌نامه همجا قابل استفاده است ولی در ادامه شیوه نصب آن بر روی سی‌پنل را دنبال می‌کنیم.
در سی‌پنل از زیرمجموعه security به بخش SSL/TLS بروید و سپس به بخش Install and Manage SSL for your site (HTTPS) بروید با چنین صفحه‌ای روبرو خواهید بود

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

 

۱. در منو بازشونده اول ، دامنه خود را انتخاب کنید
۲. کلاینت Let’s Encrypt اطلاعات گواهی‌نامه را در مسیر زیر ذخیره می‌کند :

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

برای دسترسی به اطلاعات گواهی‌نامه با دسترسی روت به مسیر بالا بروید (دقت کنید باید نام دامنه خود را جایگزین کنید)

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

۳. برای نصب گواهی‌نامه شما نیاز به اطلاعات ۲ فایل دارید
اول فایل گواهی‌نامه که با دستور cat آن را گرفته و کامل در باکس اول ( Certificate: (CRT) ) جایگزاری کنید

This is the hidden content, please

• ورود
• یا
• ثبت نام

پس از جاگذاری (paste) روی گزینه Autofill by Certificate که ظاهر می‌شود کلیک کنید تا باکس سوم نیز خودکار تکمیل شود
دوم فایل کلید خصوصی ( Private Key (KEY) )

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

که باز هم کاملاً در باکس دوم (Private Key (KEY)) جایگذاری کنید.
از امنیت این فایل‌ها مطمئن باشید.
پس از تکمیل فرم بر روی گزینه Install certificate کلیک کنید تا نصب نهایی شود.

که اگر درست پیش آماده باشید با این پنجره مواجه خواهید بود که به معنا موفقیت در نصب گواهی‌نامه است.
حالا اگر به آدرس

This is the hidden content, please

• ورود
• یا
• ثبت نام

بروید باید نسخه ssl امن سایت که توسط مروگر هم شناسایی می‌شود لود شود.

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

چند نکته

همچنین می‌توانید از آدرس 

This is the hidden content, please

• ورود
• یا
• ثبت نام

 گواهی‌نامه دامنه خود را تست کنید و اطلاعات آن را مشاهده کنید.
اما اگر احیاناً با نوعی اخطار در مرورگر مبنی بر امن نبودن کامل آدرس مواجه شدید ، به این دلیل است که در سایت شما فایل‌ها و درخواست های غیر ssl وجود دارد که باید آن‌ها را بیابید و به دامنه https ببرید. (مرورگر کروم اطلاعاتی درباره فایل‌های غیر امن به شما می دهد)

This is the hidden content, please

• ورود
• یا
• ثبت نام

اما در این حالت فقط زمانی که کاربر از https برای ورود به سایت شما استفاده کند نسخه امن سایت لود می‌شود و مابقی درخواست‌ها هنوز از پروتکل http پاسخ داده‌ خواهند شد ، برای اینکه همواره نسخه https سایتتان لود شود می‌توانید از قطعه کد زیر در فایل htaccess استفاده کنید

 

This is the hidden content, please

• ورود
• یا
• ثبت نام

 

و اگر از وردپرس استفاده می‌کنید ، می‌توانید از تنظیمات > همگانی ، آدرس سایت و یا داشبورد و یا هردو را به https ببرید ، افزونه هایی نیز برای این کار وجود دارند.
توصیه می‌کنم حداقل بخش‌های مدیریت ، کاربری و پرداخت سایتتان را روی پروتکل https قرار دهید ، هرچند اگر کل سایت https باشد برای موتورهای جست‌وجو بهینه‌تر محسوب می‌شود.
دقت کنید که اگر کاملاً سایتتان را به پروتکلhttps ببرید تمام ایندکس های قبلی دامنه ریدایرکت می‌شوند ، توصیه می‌شود برای سئوی بهتر نسخه https سایتتان را نیز در وب‌مستر تولز گوگل و بینگ ثبت کنید.
همچنین دقت کنید برای سئوی بهتر باید محتوای هر دو نسخه سایتتان یکسان باشد.
این گواهی‌نامه نود روزه است و باید نود روز دیگر این فرآيند را دوباره انجام دهید و گواهی‌نامه جدید را ثبت نمایید.

امیدوارم با قدم‌هایی کوچک به امنیت و حفظ حریم خصوصی خود و جامعه خود کمکی بزرگ کرده باشیم.

 

منبع = 

 

This is the hidden content, please

• ورود
• یا
• ثبت نام