درس عن صفحات الأمان SSL

[Moh]

السلام عليكم,

لاحظت زيادة الاهتمام مؤخرا بصفحات الأمان SSL وكيفية تسخيرها لقبول البطاقات الإئتمانية, عربات التسوق...الخ
لذا رأيت أن أضع كل ما اعرفه في هذا المجال على درس واحد..


ماذا تعني SSL?

اختصار ل Secure Socket Layer وهي تجويف طبقة الأمان

كيف تعمل؟ وما فائدتها؟
(بافتراض ان لديك ssl مركبة على السيرفر مع وثيقة الأمان ايضا)

في كل مرة يطلب الزائر احدى صفحاتك المؤمنة فان المتصفح لديه يرسل طلب للسيرفر بفتح جلسة دخول session, ثم يعطي السيرفر وثيقة الأمان المركبة فيه الى المتصفح ليراجع صلاحيتها ثم يفتح المتصفح للزائر جلسة دخول مشفرة (تتوقف مدة الجلسة المشفرة بحسب نوع الوثيقة من 40 بيت الى احدث شئ عالي الأمان وهو 128 بيت)..

بالطبع الفائدة كبيرة لتشفير اي معلومة خاصة بالزائر يمررها عبر موقعك (بطاقة الإئتمان, معلومات شخصية, كلمات المرور)
خصوصا لمن يجمع هذه المعلومات لعربة التسوق ومواقع التجارة الإلكترونية..فلا مجال لتسرب اي شئ بإذن الله..

أنواع صفحات الأمان التي يمكن الحصول عليها

هناك ما يسمى Shared SSL وهو ما توفره بعض شركات الإستضافة مجانا مع الخطة او برسوم رمزية شهرية..
السلبية هنا في shared ssl انك مجبر على استخدام دومين المستضيف لأي صفحة تريد تأمينها...مثلا:
https://secure.YourHostDomain.com/~YOU/php/scripts.php

أو ان تحصل على Private SSL وهو خاص بك وبدومينك فقط...طبعا ليس مجانيا وهذا ما سأفصله في القسم الآتي


كيف أحصل على SSL خاص؟

ان كنت مع مستضيف فعليك أولا سؤاله ان كانت ssl مركبه على السيرفر ومتضمنة مع خطتك ام عليها رسوم اضافية..ان كانت متوفرة فكل ما تبقى هو شراء وثيقة الأمان الخاصة بك..

اما ان كنت تدير السيرفر بنفسك فبامكانك تركيب نسخة SSL مجانية من هنا:
http://www.apache-ssl.org/
(ملفات التنزيل وتعليمات التركيب تأتي كلها في حزمة واحدة)..

وماذا بعد ذلك؟

بعد ان تضمن وجود SSL على السيرفر يتبقى لديك شراء وثيقة الأمان وهي متوفرة من عدة شركات..منها:

http://www.thawte.com/
من أشهر مقدمي وثائق الأمان لأغلب المواقع الكبرى..
عيبها للمستخدم العادي والشركات الصغيرة هي انك تحتاج لارسال صورة من رخصة العمل للشركة او الموقع..أي لا بد ان تكون مسجل رسميا..
كما ان اجراءات اصدار الوثيقة تستغرق من 5 الى 7 أيام..
أسعارهم معقولة تبدأ من 125$ للوثيقة في السنة..

https://www.verisign.com
مشابهه للأولى في العيوب للمواقع الصغيرة..واجراءاتهم تستغرق من 5 الى 7 أيام أيضا..
أسعارهم الأغلى تبدأ من 349$ للوثيقة في السنة (40 بيت فقط)
و 895$ في السنة (128 بيت - تشفير عالي)

http://www.geotrust.com/webtrust/index.htm
من أفضل الموجود..سعر الوثيقة معقول 119$ في السنة...وتحصل عليها في خلال 10 دقائق فقط..

http://www.ssl4less.com/compare.php
أسعارهم هي الأرخص حتى الآن..99$ للوثيقة في السنة..وهم وسيط للشركة السابقة GeoTrust ولكن بأسعار منافسة..

مع الشركتان الأخيرتان لن تحتاج لرخصة عمل او ما شابهه..فقط لا بد من عمل كود طلب التوثيق CSR وارساله لهم مع الفورم ورسوم الوثيقة لمدة سنة..


طريقة عمل كود Certificate Signing Request (CSR)

مره اخرى ان كنت مع مستضيف فاطلب من المستضيف عمل الكود من السيرفر وارساله لك..وانت بدورك ترسله للشركة..

وان كنت تدير السيرفر فهنا التعليمات الخاصة بكل سيرفر:
http://www.geotrust.com/quickssl/csr/
(اضغط على نوع سيرفرك واتبع الإرشادات للحصول على الكود)

الكود سيكون مشابها لهذا:

كود:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

بعد ان تحصل على الكود المطلوب ستجد لكل شركة فورم مشابه لالصاق الكود فيه وارساله:
https://products.geotrust.com/ssl/quickssl.do


ليس عليك بعدها سوى الانتظار حتى تصلك الوثيقة مع الطابع الموصل لعنوانها لتضعه في الموقع..ويمكن لأي زائر مراجعة وثيقة امانك والتأكد منها بنفسه



أرحب بأي أسئلة..

[FOFOOO]

شكرا لك على هذا الدرس القيم ومعلوماته المهمه
حبذا لو تسلط الضؤ أكثر على المزيد من الجوانب الأمنيه ومن يتحكم في سريتها مثلا المستضيف مامدى تحكمه في ذلك؟
أيضا المستخدم - أي الزائر - ماذا يلزمه لزيارة موقع مؤمن بهذه الطريقه؟
ومادور الكوكيز في هذه الحاله؟
مع خالص التقدير

[Moh]

حبذا لو تسلط الضؤ أكثر على المزيد من الجوانب الأمنيه ومن يتحكم في سريتها مثلا المستضيف مامدى تحكمه في ذلك؟

سؤال جيد..
فعلا لفت نظري الى الكتابة عن الثغرة الأمنية في SSL..

لنفترض ان لديك فورم مؤمن تطلب من الزائر فيه معلومات شخصية ورقم بطاقة الإئتمان لشراء سلعة معينة..المعلومات التي يملئها الزائر يأخذها المتصفح ويرسلها للسيرفر بطريقة مشفرة وآمنة..مجرد وصول المعلومات للسيرفر يقوم بفك تشفيرها حتى تتمكن من التعامل معها في السكربت بخط واضح..في هذه المرحلة لم تعد المعلومات مؤمنة ولا علاقة لها ب SSL بعد الآن..لان مهمة SSL هي نقل بيانات الزائر مشفرة عبر المتصفح وحتى السيرفر فقط..
طبعا بعد ذلك سيصلك اخطار بريدي من الفورم او عربة التسوق بطلب الشراء الجديد وفيه كل المعلومات وهنا لم تعد مشفرة في هذة المرحلة أيضا..

الحل الذي افترضه هنا هو محاولة تفادي نقل المعلومات مفتوحة التشفير عبر البريد..يعني لا داعي مثلا لان يرسل لك السكربت كل معلومات الزائر بما فيها رقم البطاقة...اكتفي بتخزينها على قاعدة البيانات واستقبل معلومات رئيسية فقط كالاسم والعنوان ونوع السلعة المشتراة...الخ
طبعا كل هذا يتوقف من سكربت الى آخر..حسب المواصفات

بما ان المعلومات تستقر على السيرفر مفتوحة التشفير فانه يمكن أيضا لمسؤول السيرفر في شركة الاستضافة الاطلاع عليها بخط واضح...وهنا ليس بيدك شئ سوى الاعتماد على مصداقية المستضيف وأمانته..

أيضا المستخدم - أي الزائر - ماذا يلزمه لزيارة موقع مؤمن بهذه الطريقه؟

في الحالات العادية (حوالي 90%) لمستخدمي Explorer 5.01 وما فوق وكذلك Netscape 4.51 وما فوق لا يلزم الزائر اي شئ..

اما لمن يدخل من متصفحات أقدم فستعطيه صفحات https:// رسالة خطأ بأن وثيقة الأمان غير مفعلة..وكل ما عليه هو تثبيت الوثيقة على متصفحه يدويا (بعدة ضغطات بسيطة)..

ومادور الكوكيز في هذه الحاله؟

لا دخل للكوكيز هنا...SSL تفتح جلسة اتصال مشفرة مع السيرفر وليست جلسات كوكيز كما في المنتديات وغيره..
قد تحتاج لاستخدام الكوكيز اضافيا في السكربت للتعرف على المستخدم مثلا او عرض السلع التي تم شراءها مسبقا...الخ

[sagaf]

كفيت ووفيت اخوي


اشكرك جدا على هذه المعلومات القيمة والمفيدة جدا


والله يجزاك الف خير

[faleh2002]

احببت ان اشكرك اخي العزيز Moh ...... على الموضوع النافع والمفيد

واحمد الله ان منتدى سوالف بقى ...بالمواضيع المفيدة واتمناها ان

تبقى هذه المواضيع هكذا تعود بالنفع للجميع ...أكرر لك شكري

اخي العزيز Moh على الدرس الرائع ...والمفيد ....

واتمنى لك الصحة ......والتوفيق دوم....

أتحفنا بالدروس المفيدة ...........

[FOFOOO]

ماقصرت Moh جزاك الله خير
الظاهر ناوي تدخلنا عالم التجاره بالقوه
أشكرك جدا على هذه المعلومات الوافيه الكافيه
مع خالص تحياتي

[المرشد]

تسلم على المعلومات الطيبة والله

عندي سؤال:

ذكرت ان الشركتين الاخيرتين لا تتطلب رخصة منك للتسجيل, طيب هنا ممكن اي واحد يفتح موقع و يقول ترا انا موقعي للشركة الفلانية و هي اصلا شركة غير موجودة و ممكن يصير نوع من التلاعب او الخداع في الموضوع, الا توافقني الرأي ام ان هناك امور اضافية تقيده؟

تحياتي لك و شكرا مرة أخرى

[Moh]

ذكرت ان الشركتين الاخيرتين لا تتطلب رخصة منك للتسجيل, طيب هنا ممكن اي واحد يفتح موقع و يقول ترا انا موقعي للشركة الفلانية و هي اصلا شركة غير موجودة و ممكن يصير نوع من التلاعب او الخداع في الموضوع, الا توافقني الرأي ام ان هناك امور اضافية تقيده؟

عدم وجود رخصة عمل لا يعني ان يكون هناك اي تلاعب فالأهم هو كود CSR الخاص بموقعك فقط والذي ينشأه السيرفر..في GeoTrust مثلا:
https://products.geotrust.com/ssl/quickssl.do

لن تستطيع اكمال الاجراءات الا بالكود الخاص بك فقط..رخصة العمل هي طلب اضافي من الشركات الكبيرة حتى يعرفوا مع من تعاملهم..وليأخذ المزيد من طابع الرسمية..ويوفر لهم مهمة البحث والتحقيق..

طبعا GeoTrust لا تطلب رخصة عمل ولكن لابد لهم من التحقق على الأقل من انك المالك الرسمي للدومين قبل ان يرسلوا لك الوثيقة..وهذا هو المهم..

[khalid4u]

السلام عليكم أخ Moh
يعطيك العافية على هذا الدرس ، انا مركب Apache و mod_ssl و OpenSSL و PHP و MySQL على نظام Red Hat Linux 7.0 كل شئ يعمل على ما يرام باستثناء SSL فعندما أحاول أجرب هل هو يعمل بشكل جيد على النحو التالي :

كود:

Apache/1.3.19 mod_ssl/2.8.3 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide us with the pass phrases.

Server localhost.localdomain:443 (DSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.
/usr/local/apache/bin/apachectl startssl: httpd started

ولكن تواجهني رسائل الخطأ عندما أحاول إجراء اتصال آمن بكتابة عنوان السيرفر المحلي بالمتصفح:
عند كتابة هذا العنوان https://127.0.0.1/ أو https://localhost.localdomain

Netscape and this server cannot communicate securely because they have no common encryption algorithm(s).

حتى بإضافة 443 في النهاية http://127.0.0.1:443/ أو http://localhost.localdomain:443/

Bad Request

Your browser sent a request that this server could not understand.

Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

Hint: https://localhost.localdomain:443/


Apache/1.3.19 Server at localhost.localdomain Port 443

حتى عند كتابة العنوان بهذا الشكل https://localhost.localdomain:443/

Netscape is unable to locate the server localhost.localdomain:443
Please check the server name and try again.

وإليك بعض ما جاء في ملف error_log لعلها تساعد في فهم المشكلة:

[Mon May 27 18:07:54 2002] [notice] Apache/1.3.19 (Unix) PHP/4.0.4pl1 mod_ssl/2.8.3 OpenSSL/0.9.6d configured -- resuming normal operations
[Mon May 27 18:09:28 2002] [notice] caught SIGTERM, shutting down
[Mon May 27 18:09:55 2002] [error] mod_ssl: Init: Private key not found (OpenSSL library error follows)
[Mon May 27 18:09:55 2002] [error] OpenSSL: error:0D084069:asn1 encoding routines:d2i_ASN1_SET:bad tag
[Mon May 27 18:09:55 2002] [error] OpenSSL: error:0D09D082:asn1 encoding routines:d2i_RSAPrivateKeyarsing
[Mon May 27 18:09:55 2002] [error] OpenSSL: error:0D09B00D:asn1 encoding routines:d2i_PrivateKey:ASN1 lib
[Mon May 27 18:12:14 2002] [notice] Apache/1.3.19 (Unix) PHP/4.0.4pl1 mod_ssl/2.8.3 OpenSSL/0.9.6d configured -- resuming normal operations
[Mon May 27 18:13:23 2002] [error] mod_ssl: SSL handshake failed (server localhost.localdomain:443, client 127.0.0.1) (OpenSSL library error follows)
[Mon May 27 18:13:23 2002] [error] OpenSSL: error:1408A0C1::lib(20) :func(138) :reason(193)
[Mon May 27 18:15:15 2002] [error] mod_ssl: SSL handshake failed (server localhost.localdomain:443, client 127.0.0.1) (OpenSSL library error follows)
[Mon May 27 18:15:15 2002] [error] OpenSSL: error:1408A0C1::lib(20) :func(138) :reason(193)
[Mon May 27 18:15:46 2002] [error] mod_ssl: SSL handshake failed (server localhost.localdomain:443, client 127.0.0.1) (OpenSSL library error follows)
[Mon May 27 18:15:46 2002] [error] OpenSSL: error:1408A0C1::lib(20) :func(138) :reason(193)
[Mon May 27 18:16:15 2002] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Mon May 27 18:16:15 2002] [error] OpenSSL: error:1407609C::lib(20) :func(118) :reason(156)
[Mon May 27 18:16:57 2002] [error] mod_ssl: SSL handshake failed (server localhost.localdomain:443, client 127.0.0.1) (OpenSSL library error follows)
[Mon May 27 18:16:57 2002] [error] OpenSSL: error:1408A0C1::lib(20) :func(138) :reason(193)
[Mon May 27 18:19:19 2002] [error] mod_ssl: SSL handshake failed (server localhost.localdomain:443, client 127.0.0.1) (OpenSSL library error follows)
[Mon May 27 18:19:19 2002] [error] OpenSSL: error:1408A0C1::lib(20) :func(138) :reason(193)
[Mon May 27 18:19:49 2002] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Mon May 27 18:19:49 2002] [error] OpenSSL: error:1407609C::lib(20) :func(118) :reason(156)

مع العلم اني استخدم متصفح Netscape Communicator وأكتب الأمر التالي اثناء عملية التركيب:

كود:

make certificate TYPE=custom

ياليت تشوف لي حل

[Moh]

وعليكم السلام..

مرحبا اخي khalid4u..الحقيقة لم يسبق لي تركيب SSL شخصيا وانما اعرف ان mod_ssl أخطاءها كثيرة..

طالما تعمل على apache انصحك بتركيب النسخة الاخيرة من apache-ssl مع openSSL فقط

اسحب النسخة الاخيرة من هنا واتبع التعليمات المرقمة في ملف readme.ssl
http://planetmirror.com/pub/apache-s...sl_1.48.tar.gz

ركبها بعض الأصدقاء بكل سلاسة وهي تؤدي المطلوب بشكل جيد..

[khalid4u]

في الحقيقة أنا أحاول أتعلم إدارة نظام Linux وكيف استفيد من إمكانياته في تركيب مزود ويب متكامل من جميع النواحي ، بالرغم من أنه متعب أحياناً.

الآن SSL يعمل بدون مشاكل بفضل من الله بعد أن قمت بتركيب mod_ssl من جديد ، وأخيراً ظهرت الصفحة الترحيبية التي تفيد بأنه تم التركيب بنجاح



ألف شكر عزيزي.

[Moh]

سعيد انك تخطيت التركيب بنجاح..ومبروك عليك SSL

[sameh1390]

هذي المواضيع الله يكثر من أمثالك

[ابو مشعل]

بارك الله فيك . درس مميز جداً جداً .

[AMD Athlon]

ماشاء الله عليك خبرة ...

عندي سؤال ..

انا بلوحة تحكم الريسلر عندي خصائص بال SSL ...

ومنهم Install يعني تركيب فهل يعقل اقدر اعمل حماية ؟؟

ارجو الرد على سؤالي

وشكرا