پرش به مطلب اصلی
logologo
مستندات
اتاق خبربلاگتماس با ما
راهنمای فنیانجمنارجاعاتپرسش‌های رایج

تنظیمات SSL/TLS

به‌وسیله‌ی تنظیمات SSL/TLS می‌توانید پروتکلی که ارتباط کاربران با سایت و ارتباط سرورهای لبه CDN با سرور اصلی میزبان سایت توسط آن انجام می‌شود را مدیریت کنید. این تنظیمات برای ارتباط با سرورهای لبه و ارتباط با سرورهای اصلی در دسترس است.

ارتباط با سرورهای لبه

در این بخش می‌توانید تنظیمات مربوط به ارتباط کاربران با سرورهای لبه‌ی آروان‌کلاد، مدیریت گواهی‌نامه‌ها و پروتکل‌های امنیتی را انجام دهید.

فعال‌سازی HTTPS و مدیریت گواهی‌نامه‌ها

با فعال‌سازی این قابلیت، ارتباط کاربران با سرورهای لبه روی پروتکل HTTPS برقرار می‌شود.

برای فعال‌سازی HTTPS روی دامنه از طریق API می‌توانید از نمونه درخواست زیر استفاده کنید:

curl --location --request PATCH 'https://napi.arvancloud.ir/cdn/4.0/domains/example.com/ssl' \
--header 'authority: napi.arvancloud.ir' \
--header 'accept: application/json, text/plain, */*' \
--header 'authorization: API KEY 1 2 3 4' \
--header 'content-type: application/json' \
--data '{"ssl_status":true}'

هم‌چنین برای غیرفعال کرد آن کافی است تا مقدار کلید ssl_status را برابر false قرار دهید.

گواهی‌نامه‌های سرورهای لبه

در این قسمت می‌توانید از گواهی‌نامه‌ی رایگان Let's Encrypt (با اعتبار ۳ ماهه و تمدید خودکار) استفاده کنید یا با کلیک روی گواهی‌نامه‌ی شخصی، فایل‌های Certificate و Private Key خود را بارگذاری کنید.

برای آپلود گواهی‌نامه‌ی شخصی‌تان روی دامنه از طریق API می‌توانید از نمونه درخواست زیر استفاده کنید:

curl --location 'https://napi.arvancloud.ir/cdn/4.0/domains/yourdomain.com/ssl/certificates' \
--header 'authority: napi.arvancloud.ir' \
--header 'accept: application/json, text/plain, */*' \
--header 'authorization: API KEY 1 2 3 4' \
--header 'content-type: multipart/form-data; boundary=----WebKitFormBoundary7ZnkHJORO8lP1SVi' \
--data 'data'

خرید گواهی‌نامه SSL

امکان خرید گواهی‌نامه‌های یک‌ساله برای افزایش اعتبار و امنیت دامنه‌ نیز از این بخش فراهم شده است.

تنظیمات HTTPS

در این بخش می‌توانید با استفاده از قابلیت‌های مختلف، امنیت و سرعت برقراری ارتباط امن (HTTPS) میان مرورگر کاربر و سرورهای لبه‌ی آروان‌کلاد را بهینه‌سازی و مدیریت کنید.

پیش‌فرض شدن HTTPS

با فعال‌سازی این قابلیت، تمام درخواست‌های HTTP به‌طور خودکار به HTTPS هدایت می‌شوند. به کمک پروتکل (HSTS (HTTP Strict Transport Security این کار به امن‌ترین روش ممکن انجام می‌شود و از حملات Man-in-the-Middle احتمالی نیز جلوگیری خواهد کرد.

پس از فعال‌سازی این امکان و Cache شدن تنظیم HSTS در مرورگر کاربران، اعمال تغییرات تا زمان منقضی شدن تنظیمات ممکن نخواهد بود.

برای فعال‌سازی این ویژگی از طریق API می‌توانید از نمونه درخواست زیر استفاده کنید:

curl --location --request PATCH 'https://napi.arvancloud.ir/cdn/4.0/domains/example.com/ssl' \
--header 'authority: napi.arvancloud.ir' \
--header 'accept: application/json, text/plain, */*' \
--header 'authorization: API KEY 1 2 3 4' \
--header 'cache-control: no-cache' \
--header 'content-type: application/json' \
--data '{"https_redirect":true}'

هم‌چنین برای غیرفعال کرد آن کافی است تا مقدار کلید https_redirect را برابر false قرار دهید.

HTTP/3 (with QUIC)

HTTP/3 پروتکلی است که با استفاده از QUIC به جای TCP و TLS، درخواست‌های HTTP را تسریع می‌کند و بهبود عملکرد قابل توجهی را فراهم می‌کند. QUIC که بر اساس UDP طراحی شده، می‌تواند سرعت انتقال داده‌ها را افزایش و تاخیر شبکه را کاهش دهد. این پروتکل از کانال‌های موازی برای ارسال داده‌ها استفاده می‌کند و به همین دلیل می‌تواند بارگذاری صفحات وب را سریع‌تر انجام دهد، به‌ویژه در شبکه‌هایی با تاخیر بالا یا اتصال‌های ناپایدار.

یکی از ویژگی‌های مهم HTTP/3 استفاده از TLS 1.3 برای رمزنگاری است که باعث افزایش امنیت ارتباطات می‌شود و خطر حملات میانه‌راه (Man-in-the-Middle) را به حداقل می‌رساند.

برای استفاده از HTTP/3، علاوه بر داشتن گواهی‌نامه معتبر TLS 1.3، لازم است که پروتکل HTTPS روی دامنه شما فعال باشد. یعنی سرور شما باید قادر به پشتیبانی از ارتباطات امن بر اساس TLS 1.3 باشد.

اگر از CDN آروان‌کلاد استفاده می‌کنید، می‌توانید از زیرساخت‌ سرورهای لبه برای فعال‌سازی HTTP/3 بهره‌ ببرید.

ارتقا درخواست‌های ناامن HTTP

با فعال کردن این گزینه، هدر upgrade-insecure-requests به محتوا اضافه می‌شود تا مرورگر به‌جای HTTP از نسخه امن استفاده کند. به این ترتیب، تمامی لینک‌های استفاده شده در فایل‌های HTML و JS که از پروتکل HTTP استفاده می‌کنند، به‌شکل خودکار با لینک‌های HTTPS جایگزین می‌شوند.

برای فعال‌سازی این ویژگی از طریق API می‌توانید از نمونه درخواست زیر استفاده کنید:

curl --location --request PATCH 'https://napi.arvancloud.ir/cdn/4.0/domains/example.com/ssl' \
--header 'authority: napi.arvancloud.ir' \
--header 'accept: application/json, text/plain, */*' \
--header 'authorization: API KEY 1 2 3 4' \
--header 'cache-control: no-cache' \
--header 'content-type: application/json' \
--data '{"replace_http":true}'

هم‌چنین برای غیرفعال کرد آن کافی است تا مقدار کلید replace_http را برابر false قرار دهید.

تنظیم حداقل نسخه TLS

HTTPS برای برقراری امنیت ارتباط میان دو نقطه از پروتکل TLS بهره می‌گیرد. ابر آروان برای تضمین‌ دسترسی کاربران به داده‌ها در کم‌ترین زمان ممکن و با بیش‌ترین امنیت، یکی از پشتیبانی‌کنندگان پروتکل TLS 1.3 در سطح جهانی است. بهبودهای عملکردی در این پروتکل، سبب شده تا افزون‌بر فراهم آمدن امنیت بیش‌تر نسبت به نسخه‌های قدیمی‌تر آن، تاخیر کاهش و سرعت دسترسی به داده‌های امن افزایش چشم‌گیری یابد.

در این بخش می‌توانید پایین‌ترین نسخه‌ی TLS مورد پشتیبانی را انتخاب کنید. به این ترتیب، هر کاربری که از نسخه‌ی TLS پایین‌تری نسبت به نسخه‌ی تعیین‌شده استفاده کند، امکان مشاهده‌ی وب‌سایت از طریق HTTPS را نخواهد داشت.

برای فعال‌سازی این ویژگی از طریق API می‌توانید از نمونه درخواست زیر استفاده کنید:

curl --location --request PATCH 'https://napi.arvancloud.ir/cdn/4.0/domains/example.com/ssl' \
--header 'authority: napi.arvancloud.ir' \
--header 'accept: application/json, text/plain, */*' \
--header 'authorization: API KEY 1 2 3 4' \
--header 'content-type: application/json' \
--data '{"tls_version":"TLSv1.2"}'

در کلید tls_version برای تنظیم Default مقدار “” و برای دیگر نسخه های TLS مقدار “TLSvx.x” را قرار دهید.

پروتکل HSTS

وظیفه‌ی اصلی این پروتکل، انتقال امن وب‌سایت و همه‌ی لینک‌ها از پروتکل HTTP به HTTPS است. بیش‌تر کاربران به‌شکل پیش فرض از طریق پروتکل HTTP به سرورها متصل می‌شوند. در شرایطی که استفاده از پروتکل امن اجباری باشد، باید این درخواست ها به‌شکل اتوماتیک به HTTPS تغییر مسیر دهند. استفاده از روش‌های عادی می‌تواند مخاطرات امنیتی بسیاری را به همراه داشته باشد. HTTP Strict Transport Security یا به‌شکل خلاصه HSTS مجموعه سیاست‌های امنیتی است که به‌شکل امن به وب‌سایت‌ها اجازه می‌دهد فقط از طریق پروتکل HTTPS قابل دسترس باشند. این سیاست‌ها در یک‌ وب‌سایت، از طریق ارسال یک Header به عنوان Strict-Transport-Security به کاربر اعلام می‌شود.

برای فعال‌سازی HSTS روی دامنه از طریق API می‌توانید از نمونه درخواست زیر استفاده کنید:

curl --location --request PATCH 'https://napi.arvancloud.ir/cdn/4.0/domains/example.com/ssl' \
--header 'authority: napi.arvancloud.ir' \
--header 'accept: application/json, text/plain, */*' \
--header 'authorization: API KEY 1 2 3 4' \
--header 'content-type: application/json' \
--data '{"hsts_status":true,"hsts_max_age":"2mo","hsts_subdomain":true,"hsts_preload":true}'

در این درخواست کلید‌های hsts_status ،hsts_subdomian و hsts_preload مقادیر true و false را می‌پذیرند. هم‌چنین برای تنظیم کلید hsts_max_age پارامتر دریافتی به‌شکل “xmo” خواهد بود. (x مدت زمان موردنظرتان است که می‌تواند یکی از اعداد ۱-۲-۳-۴-۵-۶-۱۲ و ۲۴ باشد)

به کمک امکانات موجود در پنل کاربری آروان، به‌سادگی می‌توانید تمام ویژگی‌های پیشرفته این پروتکل از جمله مدت زمان الزام مرورگر برای نمایش سایت با HTTPS، پیروی تمام زیردامنه‌ها از HSTS و آماده‌سازی دامنه برای ارایه به موتور جست‌وجو را فعال کنید. برای این کار کافی است روی دکمه‌ی «تغییر تنظیمات» کلیک کنید.

واکنش مرورگر به HSTS

پس از ارسال اولین درخواست توسط کاربر، سرور یک Header مانند نمونه‌ی زیر که سیاست‌های پروتکل HSTS را درون خود دارد، ارسال می‌کند.

Strict-Transport-Security: max-age=2628000; includeSubDomains;

به این معنی که این دامنه و همه‌ی زیر دامنه‌های آن تا ۲۶۲۸۰۰۰ ثانیه دیگر (یک ماه) فقط از طریق پروتکل HTTPS قابل دسترس خواهند بود. در این‌جا مرورگر دو کار مهم را انجام می دهد:

  • به‌شکل خودکار تمام لینک‌های غیر امن را به لینک‌های امن تغییر می‌دهد. برای نمونه http://www.arvancloud.ir به https://www.arvancloud.ir تغییر می‌کند.
  • اگر مرورگر نتواند از امنیت لینک اطمینان حاصل کند، پیام خطایی نمایش داده می‌شود و اجازه‌ی دسترسی به وب‌سایت داده نخواهد شد.
راهکار گوگل و Preload

فرض کنید یک کاربر با یک سیستم‌عامل جدید برای اولین بار و در یک محیط ناامن آدرس وب‌سایتی را در مرورگر وارد می‌کند. در همین اولین ارتباط و دریافت سیاست های امنیتی HSTS یک خطر امنیتی وجود دارد. گوگل برای پروژه کرومیوم تصمیم گرفت تا اسامی سایت هایی که باید همواره از طریق پروتکل HTTPS متصل شوند را Hardcode کند. البته شما نیز می‌توانید نام وب‌سایت خود را به این لیست اضافه کنید. کافی است از طریق این صفحه دامنه‌ی خود را وارد کنید. پیش از انجام این‌کار از داشتن شروط زیر مطمین شوید.

  • یک Certificate معتبر داشته باشید.
  • تمام ترافیک‌های HTTP را به HTTPS انتقال دهید.
  • تمام زیردامنه‌ها تنها از طریق HTTPS قابل دسترس باشند.
  • Header درستی جهت تنظیمات برای کاربران ارسال شود.

ابر آروان تمام این موارد را به‌شکل خودکار برای شما انجام می دهد. تنها کافی است که شما نام دامنه خود را به گوگل اعلام کنید. در حال حاضر جز گوگل کروم؛ فایرفاکس، اپرا، سافاری و به زودی مایکروسافت اینترنت اکسپلورر نیز از این لیست گوگل استفاده می‌کنند.

لیست مرورگران پشتیبانی‌کننده HSTS
  • گوگل کروم از نسخه 4.0.211.0
  • فایرفاکس از نسخه 4
  • اینترنت اکسپلورر 11 و مایکروسافت اج ( هم‌زمان با سیستم عامل ویندوز 10)
  • اپرا از نسخه 12
  • سافاری از زمان ارایه سیستم‌عامل OS X Mavericks از ژانویه 2013

محاسبه JA3 Fingerprint

با فعال‌سازی این قابلیت، امکان شناسایی کلاینت‌ها بر اساس اثر انگشت SSL/TLS فراهم می‌شود که در تحلیل ترافیک و شناسایی بات‌ها کاربرد دارد.

راهنمای JA3 Fingerprint به شما در این مسیر کمک می‌کند.

گواهی‌نامه با پشتیبانی از اندرویدهای قدیمی

اگر نیاز به پشتیبانی از دستگاه‌های قدیمی اندرویدی دارید، می‌توانید این گزینه را انتخاب کنید تا گواهی‌نامه‌ی سازگار برای آن‌ها صادر شود. با فعال‌سازی این قابلیت گواهی‌نامه‌ی آروان‌کلاد برای دامنه‌ی شما از نوع RSA دریافت می‌شود که نسبت به نوع ECDSA (پیش‌فرض) در دستگاه‌های اندرویدی بیش‌تری پشتیبانی می‌شود.

ارتباط با سرورهای اصلی

در این بخش، شیوه‌ی ارتباط بین سرورهای لبه ابر آروان و سرور اصلی (Origin) شما تعیین می‌شود.

گواهی‌نامه‌های سرور اصلی

برای برقراری ارتباط امن با سرور اصلی، باید گواهی‌نامه‌ی معتبری روی سرور خود نصب داشته باشید. با استفاده از این قابلیت می‌توانید به‌سرعت و سادگی فرآیند درخواست، صدور و دریافت گواهی‌نامه‌ی TLS را از طریق پنل کاربری آروان انجام دهید و آن را روی سرور اصلی خود مدیریت کنید. هم‌چنین می‌توانید در هنگام نیاز، گواهی را از پنل ابطال کنید.

توجه داشته باشید که برای درخواست صدور گواهی‌نامه، باید دامنه‌ی شما فعال بوده و یک رکورد DNS سازگار با نماد ابر داشته باشد. هم‌چنین در هر ماه امکان ایجاد ۳ گواهی‌نامه‌ی رایگان را دارید.

راهنمای دریافت گواهی‌نامه‌ی سرور اصلی به شما در این مسیر کمک می‌کند.

پروتکل ارتباطی سروهای لبه و سرور اصلی

با تنظیم این گزینه می‌توانید شیوه‌ی ارتباط بین سرورهای آروان و سرور اصلی خود را مشخص کنید. این ارتباط می‌تواند به‌شکل HTTP ،HTTPS یا خودکار باشد. برای فعال‌سازی گزینه‌ی HTTPS یا خودکار نیاز است سرور شما پروتکل HTTPS را پشتیبانی کند.

  • خودکار: پروتکل ارتباطی بر اساس همان پروتکلی که کاربر با آن به آروان متصل شده، تعیین می‌شود.
  • HTTP: ارتباط همیشه روی پورت ۸۰ و بدون رمزنگاری خواهد بود.
  • HTTPS: ارتباط همیشه به‌شکل امن و روی پورت ۴۴۳ برقرار می‌شود (مستلزم داشتن گواهی روی سرور اصلی).

برای مدیریت دقیق‌تر، می‌توانید پروتکل ارتباطی هر رکورد DNS را در بخش «رکوردهای DNS» به‌شکل جداگانه نیز تنظیم کنید.

برای فعال‌سازی و مدیریت این ویژگی از طریق API می‌توانید از نمونه درخواست زیر استفاده کنید:

curl --location --request PATCH 'https://napi.arvancloud.ir/cdn/4.0/domains/example.com/load-balancers/settings' \
--header 'authority: napi.arvancloud.ir' \
--header 'accept: application/json, text/plain, */*' \
--header 'authorization: API KEY 1 2 3 4' \
--header 'Content-Type: text/plain' \
--data '{"protocol":"https"}'

در این درخواست کلید protocol سه مقدار http ،https و auto را می‌پذیرد.