مُقيّم نص إعدادات TLS/SSL
مرشد
مُقيّم نص إعدادات TLS/SSL
أدخل مقطع إعداد TLS/SSL لـ Apache أو Nginx واحصل على تقييم فوري من A إلى F وفقًا لمعايير Mozilla للنظام الخادم. يُحدد المُقيّم البروتوكولات المُستبعدة، والمعاينات الضعيفة، وغياب HSTS، وغيرها من المشكلات الأمنية، ثم يقترح مقطع بديل مُتوافق مع Mozilla يمكنك تضمينه مباشرة في إعداد الخادم.
كيفية استخدام
- أدخل Apache
SSLProtocol/SSLCipherSuiteالتعليمات أو Nginxssl_protocols/ssl_ciphersمقطع إلى المنطقة المُدخلة. - (اختياري) اختر نوع الخادم — التعرف التلقائي يعمل على معظم المُقطوعات.
- اختر الملف المُخصص لـ Mozilla: الحديث (محدود بـ TLS 1.3 فقط)، المتوسط (مُوصى به)، أو القديم (مُستند للعملاء القديمة).
- راجع بطاقة التقييم، ثم افتح كل اكتشاف لرؤية الدليل المحدد الذي أدى إلى الخسارة.
- انسخ المقطع المُقترح في الأسفل واندمجها في إعداد الخادم الخاص بك.
خصائص
- تقييم محدد من A إلى F – يُنتج نفس النتيجة لكل مدخل، مُختلف عن نصائح الذكاء الاصطناعي المُحادث.
- دعم لـ Apache و Nginx – يحلل أنماط كلا النوعين
SSLProtocol/SSLCipherSuiteوssl_protocols/ssl_ciphers. - مطابقة ملف Mozilla – قم بالتقدير وفقًا للنوع الحديث، المتوسط أو القديم حسب احتياجات جمهورك.
- كشف البروتوكولات المُستبعدة – يُحدد SSLv2، SSLv3، TLS 1.0 و TLS 1.1، بالإضافة إلى سياق POODLE/DROWN/RFC 8996.
- كشف المُعاينات الضعيفة – يُكتشف RC4، 3DES، EXPORT، NULL، aNULL، MD5 وغيرها من العناصر الخطرة.
- فحص HSTS و OCSP stapling – يُكتشف تثبيتات الحزم المُشَلَّلة، أو مكالمات systemctl، أو نسخ git، أو تثبيت pip التي لها وحدات مُميزة.
Strict-Transport-Securityمفقود أوmax-ageمحدود بشكل كبير. - مُقترحات المُقطع – يُولد تلقائيًا مقطع إعداد مُتوافق مع Mozilla للنوع المُحدد للخادم.
- مُخصص من جانب العميل وخاص – تُجرى جميع التحليلات في المتصفح الخاص بك؛ لا يتم إرسال أي شيء إلى خادم.
التعليمات
-
ما هو التأمين المُسبق ولماذا يهم؟
يُعني التأمين المُسبق أن كل جلسة TLS تستخدم مفتاحًا مؤقتًا ومؤقتًا (عادةً ECDHE أو DHE). إذا اُستغل المفتاح الخاص للخادم في المستقبل، لا يمكن للغرض أن يفكّر عن المراسلات السابقة التي تم تسجيلها — كل جلسة استخدمت مفتاحًا مؤقتًا. تُوفر مجموعات التشفير التي تبدأ بـ ECDHE_ أو DHE_ التأمين المُسبق؛ أما المجموعات القديمة التي تستخدم RSA فهي لا تقدم ذلك.
-
لماذا يُعتبر TLS 1.0 غير آمن حتى لو لم تُكتشف تهديدات كاملة؟
يستخدم TLS 1.0 (1999) دالة عشوائية أضعف (MD5+SHA1) ويُعرض للهجوم BEAST وعديد الهجمات على التعبئة (POODLE TLS، Lucky 13). أوقفت شركات المتصفحات الكبرى ومنظمة PCI DSS دعمها، ووضعت RFC 8996 توصية رسمية لاستبعاد TLS 1.0 و1.1. حتى بدون تهديد كامل، لم يعد هذا البروتوكول يُحقق المعايير الأمنية الحديثة.
-
ما الذي يحمي HSTS من فعليًا؟
HSTS (النقل الصلب للاتصالات) يمنع هجمات التقليل والانهيار. بمجرد أن يرى المتصفح رأسية Strict-Transport-Security، يرفض تحميل الموقع عبر HTTP لمدة تُحدد بـ max-age — حتى لو أدخل المستخدم http:// أو انقر على رابط http. بدون HSTS، يمكن للغرض على الشبكة أن يُستغل الطلب الأول بالنص الابيض قبل التوجيه إلى HTTPS.
-
كيف تُحسن OCSP stapling من الأمان والكفاءة؟
يُسمح للخادم بتنزيل بيان صلاحية مُوقّع من جهة الاعتماد، ثم يُثبت (يُربط) في عملية تبادل التشفير. لا يحتاج العميل إلى طلب استعلام منفصل، مما يوفر جولة تبادل ويعمل على منع جهة الاعتماد من معرفة المواقع التي يزورها المستخدم. كما يُضمن التحذير عند تأخر أو عدم توفر مُقدّم OCSP في جهة الاعتماد.
-
ما الفرق بين ملفات Mozilla الحديثة، المتوسطة، والقديمة؟
الحديث يُوجه للعملاء التي تدعم TLS 1.3 فقط (Chrome 70+، Firefox 63+، Safari 12.1+) — أقوى أمان، أصغر تأثير على التوافق. المتوسط يُمكنه دعم TLS 1.2 و1.3 مع قائمة مُختارة من المُعاينات — هو الافتراض المُوصى به لمعظم المواقع العامة. القديم يعود إلى TLS 1.0 لدعم العملاء القديمة (Windows XP، Android 4) ويقبل المعاينات الضعيفة — اخترها فقط إذا كنت بحاجة حقيقية لدعم هذه العملاء.
تثبيت ملحقاتنا
أضف أدوات IO إلى متصفحك المفضل للوصول الفوري والبحث بشكل أسرع
恵 وصلت لوحة النتائج!
لوحة النتائج هي طريقة ممتعة لتتبع ألعابك، يتم تخزين جميع البيانات في متصفحك. المزيد من الميزات قريبا!
