المجتمع-تلميح - الأسئلة الشائعة حول الأمان

International عربي
,
1

يُرجى القراءة قبل النشر

يُرجى مراجعة هذا المنشور والمنشورات المرتبطة به واستخدم وسيلة : البحث: في أعلى اليمين للبحث عن مشكلتك. تحتوي نصائح المجتمع هذه على أسئلة وأجوبة للأسئلة الأكثر شيوعًا حول نظام أسماء النطاقات والشبكات، ويُظهر :البحث: عن نصائح ومعلومات إضافية.

الخلفية
تغطي الأسئلة الشائعة حول الأمان Cloudflare Spectrum و Cloudflare Access وبروتوكول SSL العالمي وشهادات Edge والشهادات الموقعة ذاتيًا وشهادات المصدر وTLS وHSTS وأي شيء آخر على تطبيق SSL/TLS.

حلقة إعادة التوجيه
إذا كنت تستخدم وضع SSL المرن ضمن علامة التبويب “نظرة عامة” في تطبيق Cloudflare SSL / TLS وكنت تفرض HTTPS على المصدر الخاص بك، فهذا هو السبب المحتمل للمشكلة. ينشط الوضع المرن من خلال عدم تشفير حركة المرور من وإلى المصدر الخاص بك و Cloudflare. وذلك بسبب أن المصدر الخاص بك يفرض https ثم تتم إعادة توجيه الطلب إلى Cloudflare حيث يحاول Cloudflare مرة أخرى إرسال نفس الطلب عبر http ، ومن ثم تستمر الحلقة اللانهائية. تمت مناقشة هذه المشكلة في دليل قاعدة المعرفة -- لماذا تتسبب SSL المرنة في حدوث حلقة إعادة توجيه؟

لإصلاح ذلك، لديك بعض الخيارات:

تعرف على المزيد حول SSL في هذا البرنامج التدريبي للمجتمع،
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

النطاق الفرعي عميق للغاية/الشهادات المخصصة وشهادات التحقق الممتدة
بمجرد أن تقوم Cloudflare بتوفير “SSL الكامل” الخاص بنا في منطقتك بنجاح، يرجى ملاحظة أن هذه الشهادات ستغطي مستوى واحدًا فقط من النطاقات الفرعية (*.example.com، وليس *.*.example.com):

  • ستغطي - www.example.com
  • ستغطي - example.com
  • لن تغطي - www.test.example.com
  • لن تغطي - www.test.example.com
  • لن تغطي - staging.www.example.com

إذا كنت بحاجة إلى شهادة تغطي نطاقات فرعية متعددة المستويات ، فيمكنك شراء شهادة SSL Dedicated مع Hostnames مخصصة، حيث يمكنك الإعلان عن أي نطاقات فرعية متعددة المستويات أثناء الشراء.

إذا كنت تفضل استخدام شهادتك الخاصة بدلاً من شهادة SSL العالمية التي نوفرها، فستحتاج إلى الترقية إلى خطة العمل الخاصة بنا وتحميل الشهادة المخصصة.

يرجى ملاحظة أن Cloudflare لا تقدم شهادات “التحقق الممتد” في هذا الوقت، إذا كنت ترغب في استخدام واحدة ، فستحتاج إلى شراء واحدة بشكل منفصل وتحميلها إلى حساب Cloudflare الخاص بك باستخدام تحميل SSL المخصص.

بشكل اختياري، قم بشراء مدير الشهادة المتقدمة وأنشئ الشهادة المُخصصة باسم المضيف المُخصص.

التعرف على مدير الشهادة المتقدمة
إدارة شهادات SSL المُخصّصة

العملاء المشمولين بالدعم (SNI-فقط)

يتم تفعيل شهادات SSL الخاصة بنا على الخطط المدفوعة (Pro وBusiness وEnterprise) مع جميع متصفحات سطح المكتب، لذلك إذا ساورك أي قلق بشأن التوافق أو كان لديك العديد من المستخدمين الذين لديهم متصفحات قديمة، يُفضل أن يقومون بالترقية إلى إحدى خططنا المدفوعة.

تستخدم كل من الشهادات المخصصة وبروتوكول SSL العالمي، شهادات مؤشر اسم الخادم (SNI) باستخدام خوارزمية التوقيع الرقمي على المنحنى الإهليلجي (ECDSA). تعمل شهادات SNI وECDSA مع المتصفحات الحديثة التالية:

متصفحات سطح المكتب المثبتة على نظام التشغيل Windows Vista أو OS X 10.6 أو إصدار أحدث:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (مع تفعيل بروتوكول TLS 1.1)
  • Google Chrome إصدار 5.0.342.0
  • Safari 2.1

متصفحات الهواتف المحمولة

  • متصفح Safari للأجهزة المحمولة التي تعمل بنظام iOS 4.0
  • نظام Android 3.0 (Honeycomb) وتحديثاته
  • Windows Phone 7

لاحظ أن أي خدمات واجهة برمجة التطبيقات أو بوابات الدفع التي تتواصل مع موقعك يجب أن تدعم أيضًا SNI وECDSA وذلك لتمكين الاتصال بموقعك الإلكتروني من خلال Cloudflare.

أوضاع SSL - SSL إلى المصدر

تقدم Cloudflare أوضاع بروتوكول SSL التالية:

  1. بروتوكول SSL المرن: يتم إنهاء SSL في خوادم Cloudflare Edge. يتم تشفير جميع المعاملات التي تتم بين عميلك وCloudflare، أما تلك التي تتم بين Cloudflare والمصدر الخاص بك فهي غير مشفرة. لست بحاجة لشهادة لأجل ذلك.
  2. SSL الكامل: يتم إنهاء SSL في خادم Cloudflare Edge. ثم يتم تشفيرها مرة أخرى، وإرسالها إلى خوادمك كلها مشفرة. تأكد من تثبيت شهادة SSL على الخادم الخاص بك. يمكنك استخدام شهادة موقعة ذاتيًا في هذا الخيار.
  3. SSL كامل (صارم): مثل SSL الكامل، ولكن يجب أن يكون لديك شهادة موقعة من CA، مثل GlobalSign. إذا كنت ترغب في تمكين كامل الصرامة، فيمكنك تثبيت شهادة مصدر Cloudflare المجانيةعلى مضيفك.

يمكن العثور على نظرة عامة كاملة حول إعدادات SSL الخاصة بنا [هنا] (https://support.cloudflare.com/hc/en-us/articles/200170416).

إذا كنت ترغب في استخدام خيارات التكوين الكامل أو الكامل (الصارم) ، فستحتاج إلى الحصول على شهادة على خادم الويب الأصلي.

إذا كنت تستخدم الخيار الكامل (الصارم) ، فيجب أن تكون شهادة SSL هذه صالحة وموقعة من قِبل مرجع مصدق أو تستخدم خدمة Origin CA الخاصة بنا.

أخطاء المحتوى المُختلط وحلقات إعادة التوجيه

إذا لاحظت أن القفل الأخضر مفقود من متصفحك عند الاتصال عبر HTTPS، فمن المُحتمل أن تكون هناك مشكلة خاصة بمحتوى مختلط. تعني أخطاء المحتوى المختلط أنه يتم تحميل موقعك الإلكتروني عبر HTTPS ولكن يتم تحميل بعض الموارد عبر HTTP. لإصلاح ذلك، ستحتاج إلى تحرير التعليمات البرمجية المصدر الخاصة بك وتغيير جميع الموارد لتحميلها عبر مسار نسبي، أو مباشرة عبر HTTPS.

على سبيل المثال، إذا قمت بتحميل صورك برابط URL كامل:

src="http://example.com/image.jpg"img < />

قد ترغب في تغيير هذا إلى:

src="//example.com/image.jpg"img < />

بإزالة http: ، سيستخدم المتصفح أي بروتوكول يستخدمه الزائر بالفعل. طالع هذا المقال لمزيدٍ من المعلومات. بديلاً عن ذلك، يمكنك تثبيت المكون الإضافي الخاص بإصلاح أخطاء المحتوى المُختلط والذي يجب أن يستبدل تلقائيًا http بـ https في هذه الأقسام. بالنسبة إلى Wordpress، حققنا نجاحًا مع المكون الإضافي إصلاح المحتوى غير الآمن SSL.

قد يكون الخيار البديل هو تمكين خاصية إعادة صياغة HTTPS التلقائية التي يمكنها إصلاح هذه الأخطاء تلقائيًا لك. كن على علم بأن الموارد التي تم تحميلها بواسطة JavaScript أو CSS لن يتم إعادة صياغتها تلقائيًا وستستمر تحذيرات المحتوى المختلط في الظهور.

ترتبط هذه المشكلات غالبًا بمستخدمي خدمة SSL المرنة في Cloudflare. يمكنك التحقق مما إذا كنت تستخدم خدمة SSL الخاصة بـ Cloudflare في الوضع الكامل أو المرن عن طريق تسجيل الدخول إلى لوحة معلومات Cloudflare والنقر فوق علامة التبويب “نظرة عامة” لتطبيق SSL/TLS، ثم التوجه إلى إعداد SSL.

مستخدمو SSL المرن

ينشط الوضع المرن من خلال عدم تشفير حركة المرور من وإلى المصدر الخاص بك وCloudflare. وذلك بسبب أن المصدر الخاص بك يفرض https ثم تتم إعادة توجيه الطلب إلى Cloudflare حيث تحاول Cloudflare مرة أخرى إرسال نفس الطلب عبر http ، ومن ثم تستمر الحلقة اللانهائية. لقد تمكنت من تأكيد أن موقعك يقوم بالفعل بفرض إعادة توجيه HTTPS.

لإصلاح ذلك، لديك بعض الخيارات:

إضافة إلى ذلك، تُلحق Cloudflare أيضًا عنوان X-Proto-Proto، والذي يمكن أن يكون http أو https اعتمادًا على البروتوكول الذي استخدمه المستخدم لزيارة الموقع، مثل:

X-Forwarded-Proto: https

عندما يتم تعيين SSL المرن ويطلب الزائر الدخول إلى Cloudflare عبر HTTPS - ترسل Cloudflare طلباتها إلى المصدر عبر HTTP. في هذا السيناريو، يمكن لخادم المصدر معرفة أن الزائر كان يستخدم HTTPS من خلال فحص هذا العنوان.

الشهادة غير متوفرة
عرض سجلات تطبيق نظام أسماء النطاقات (DNS) للتأكد من أن (example.com) و www.example.com أو example.com موضوعة في السحابة باللون البرتقالي.

لتزويدك بشهادة Cloudflare SSL العالمية، يتعين تخزين أي سجلات مطلوبة على السحابة باللون البرتقالي. بمجرد أن يصبح سجل نظم أسماء النطاقات (DNS) في السحابة باللون البرتقالي، سيبدأ توفير شهادة Cloudflare SSL العالمية الخاصة بك.

يمكن العثور على مزيدٍ من المعلومات حول كيفية القيام بذلك في دليل الإعداد السريع أدناه:

أخطاء SSL/TLS الأخرى

إصلاح الخطأ 520: خادم الويب يقوم بإرجاع خطأ غير معروف
إصلاح الخطأ 521: خادم الويب معطل
إصلاح الخطأ 525: فشل اتصال SSL
إصلاح خطأ 526: شهادات SSL غير صالح

إذا كنت بحاجةٍ إلى مزيدٍ من المساعدة
قد يتمكن مجتمع مستخدمي Cloudflare الآخرين من مساعدتك، سجّل الدخول إلى Cloudflare وانشر سؤالك إلى المجتمع. عند النشر للمستخدمين الآخرين في المجتمع، تأكد من تضمين أكبر قدر ممكن من هذه المعلومات: رسالة الخطأ المحددة التي تظهر لك، وعناوين URL التي يحدث بها المشكلة، ولقطة شاشة للخطأ، وخطوات إعادة إنشاء الخطأ. يُرجى توضيح خطوات استكشاف الخطأ وإصلاحه التي جربتها لمساعدتنا على مساعدتك.

نُقدِّر تعليقات الخبراء
ستظل نصائح المجتمع مفتوحةً للمُدخلات من خبراء المجتمع وأولئك المطَّلعين على هذه المشكلة. نُقدِّر حقًا التعليقات التي تبدأ بكلمات مثل: “ما هي الأشياء الثلاثة التي أجربها دائمًا”، أو “جرب هذا أولاً” أو “في تجربتي”.

هذه نصيحة من مجتمع Cloudflare، للاطلاع على النصائح الأخرى انقر هنا.

Çevirme…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg:ترجم هذه النصيحة

AQSECT 030321