ابزار ارزیابی : sslcheck.certcc.ir


نتایج ارزیابی SSL/TLS برای sufa.shirazu.ac.ir

نتایج ارزیابی SSL/TLS


نام دامنه مورد ارزیابی sufa.shirazu.ac.ir(185.64.176.20:443)

اطلاعات تحلیل

زمان ارزیابی ۱۳۹۷ / ۱۱ / ۲۳ - ۰۰:۰۹:۳۱
آدرس IP، شماره پورت و نام میزبان sufa.shirazu.ac.ir(185.64.176.20:443)

اطلاعات گواهی دیجیتال

نام دامنه‌های پشتیبانی شده *.shirazu.ac.ir
سایر دامنه‌های پشتیبانی شده *.shirazu.ac.ir shirazu.ac.ir
زمان شروع اعتبار 2019-01-07 07:43:32
زمان اتمام اعتبار 2021-01-06 07:43:32
تاریخ گواهی اعتبار دارد؟ بله
نوع رمزنگاری نامتقارن و اندازه کلید rsaEncryption (2048 bit)
مرکز صدور گواهی Certum Domain Validation CA SHA2 (Unizeto Technologies S.A. from PL)
الگوریتم امضاء رقمی sha256WithRSAEncryption
نوع گواهی wildcard
توضیحات:
از نظر تعداد دامنه های تحت پوشش ، 3 نوع گواهی وجود دارد:
Single Domain: تنها یک دامنه یا زیردامنه را در بر می‌گیرد.
Wildcard: یک دامنه و تعداد نامحدودی از زیردامنه‌های آن را پوشش می‌دهد.
Multi-Domain: چندین دامنه را پوشش می‌دهد.
در صورتی که می‌خواهید تنها یک زیردامنه خاص را مجهز به سرویس SSL نمایید، از گواهی‌های Single Domain استفاده نمایید که هزینه کمتری دارد.
در صورتی که سازمان شما چندین زیردامنه دارد که می‌خواهید سرویس SSL را برای همه آنها فعال کنید، می‌توانید از یک گواهی Wildcard استفاده کنید. در این حالت کلیدهای رمزنگاری یکسانی در تمامی سرویس‌دهنده‌های شما مورد استفاده قرار خواهد گرفت.
برای شرایطی که امنیت بالاتری مد نظر است و قصد به اشتراک گذاری کلید خصوصی بین سرویس‌دهنده‌های مختلف را ندارید، می‌توانید در کنار گواهینامه Wildcard، برای برخی از زیردامنه‌ها گواهی مجزا از نوع Single تهیه نمایید.
نوع اعتبارسنجی گواهی
توضیحات:
سطح اعتبار گواهی‌ها دارای دسته های زیر است:
DV (Domain Validated): این سطح حداقل هزینه را دارد و اعتبارسنجی‌های پایه را پوشش می‌دهد. در این حالت صدورگواهی بر این مبنا صورت می‌گیرد که مرکزصدور گواهی اطمینان حاصل می‌کند که کلیدعمومی موجود در گواهی، توسط مالک دامنه ساخته شده است (ولذا کلید خصوصی آن تنها در اختیار مالک دامنه است و نه فرد دیگری). گرفتن این گواهی ممکن است چند دقیقه تا چند ساعت طول بکشد.
OV (Organization Validation): علاوه بر اعتبارسنجی‌ مربوط به مالکیت دامنه، جزئیات خاصی از مالک (مثل نام و آدرس) هم تصدیق اصالت می‌شود. گرفتن این گواهی ممکن است چند ساعت الی چند روز طور بکشد.
EV (Extended Validation): این مورد بالاترین درجه از امنیت را فراهم می‌آورد زیرا قبل از صدور این گواهی، بررسی‌های کاملی روی آن انجام شده است و مورد تایید است. گرفتن این گواهی معمولا بین چند روز الی چند هفته طول می‌کشد.
آیا گواهی برای دامنه بدون پیشوند https://shirazu.ac.ir معتبر است؟ بله
توضیحات:
در مرحله صدور گواهی، در هنگام تهیه CSR یا Certificate Signing Request، برای دامنه‌های wildcard مانند. *.domain.ir دقت کنید که بهتر است حتماً فیلد SAN یا SubjectAlternateName را هم پرکرده و دامنه بدون پیشوند خود (یعنی domain.ir ) را در آن قرار دهید. این کار سبب می‌شود که گواهی صادرشده برای نام دامنه بدون پیشوند هم معتبر باشد (برای خود domain.ir). در این حالت پس از نصب و فعال‌سازی SSL، با واردکردن آدرس https://domain.ir در مرورگر فایرفاکس یا IE خطای گواهی نخواهید داشت.
آیا گواهی برای میزبان مورد نظر (sufa.shirazu.ac.ir) معتبر است؟ بله
توضیحات:
اعتبار یک گواهی برای یک میزبان سه شرط دارد:
1. انطباق نام میزبان با دامنه های مشخص شده در گواهی (در فیلدهای Common Name یا Subject Alternative Name).
2. گواهی از نظر زمان منقضی نشده باشد.
3. امضا کننده گواهی جزء مراکز صدور گواهی معتبر باشد یا با سلسله مراتبی به یکی از این مراکز برسد.

زنجیره گواهی‌ها

1 - گواهی میزبان IR (*.shirazu.ac.ir )
       صادر کننده Certum Certification Authority (Certum Domain Validation CA SHA2 )
2 - گواهی ریشه Certum Certification Authority (Certum Domain Validation CA SHA2 )
       صادر کننده Certum Certification Authority (Certum Trusted Network CA )
صادر کننده ریشه در مجموعه گواهی‌های قابل اعتماد است

پشتیبانی از خانواده پروتکل‌های TLS/SSL

TLS 1.2 پشتیبانی می‌شود (مناسب)
توضیحات:
TLS1.2 جدیدترین و امن ترین نسخه از پروتکل TLS است. این پروتکل حتما می بایست در سرویس دهنده فعال باشد.
TLS 1.1 پشتیبانی می‌شود (مناسب)
توضیحات:
به دلیل سازگاری با مرورگرها و سیستم عامل های قدیمی تر توصیه می شود TSL 1.1 بر روی سرویس دهنده ها فعال باشد.
TLS 1.0 پشتیبانی می‌شود (مناسب)
توضیحات:
به دلیل سازگاری با مرورگرها و سیستم عامل های قدیمی تر توصیه می شود TSL 1.0 بر روی سرویس دهنده ها فعال باشد.
SSL v3.0 پشتیبانی می‌شود (نامناسب)
توضیحات:
پروتکل SSLv3 دارای آسیب پذیری های امنیتی متعدد است و می بایست غیرفعال گردد.
SSL v2.0 پشتیبانی نمی‌شود (مناسب)
توضیحات:
پروتکل SSLv2 دارای آسیب پذیری های امنیتی متعدد است و می بایست غیرفعال گردد.

نتایج تحلیل آسیب‌پذیری

OpenSSL Padding Oracle (CVE-2016-2107) آسیب‌پذیر نیست.
توضیحات:
حمله کننده Man-in-the-middle با استفاده از این آسیب پذیری می تواند ترافیک را رمزگشایی کند، هنگامی که ارتباط از AES CBC استفاده می کند و سرور AES-NI را پشتیبانی میکند.
ROBOT (CVE-2017-13099) آسیب‌پذیر نیست.
توضیحات:
حمله ROBOT به مهاجم اجازه می‌دهد یک عملیات رمزگشایی و رمزنگاری RSA را با استفاده از کلید خصوصی پیکربندی‌شده بر روی سرورهای TLS آسیب‌پذیر انجام دهد
Drown (CVE-2016-0800) آسیب‌پذیر نیست.
توضیحات:
DROWN یک حمله‌ی بین پروتکلی است که از ضعف پیاده‌سازی SSLv2 استفاده می‌کند و می‌تواند نشست‌های TLS به‌دست‌آمده از کاربران را به‌صورت غیرفعال ترجمه کند.
POODLE (CVE-2014-3566) آسیب‌پذیر است!
توضیحات:
نوعی حمله Man-in-the-Middle است که با بهره‌برداری از آن حمله کننده می‌تواند با تعداد محدودی درخواست SSL/TLS قسمتی از یک پیام رمز شده را ترجمه کند.
RC4 (CVE-2013-2566, CVE-2015-2808) آسیب‌پذیر است!
توضیحات:
الگوریتم RC4 دارای نقاط ضعف قابل بهره برداری است. بنابراین بهتر است که از RC4 استفاده نشود.
Heartbleed (CVE-2014-0160) آسیب‌پذیر نیست.
توضیحات:
یک آسیب‌پذیری جدی در کتابخانه رمزنگاری OpenSSL است. این ضعف امکان سرقت داده‌های محافظت شده توسط SSL/TLS را ممکن می‌سازد. حمله کننده می‌تواند از طریق اینترنت حافظه سیستم‌های حفاظت شده توسط نسخه‌های آسیب‌پذیر نرم افزار OpenSSL را بخواند.
CCS (CVE-2014-0224) آسیب‌پذیر نیست.
توضیحات:
CCS امکان حمله man-in-the-middle به ارتباطات رمز شده را می دهد.
CRIME, TLS (CVE-2012-4929) آسیب‌پذیر نیست.
توضیحات:
CRIME یک بهره برداری امنیتی از کوکی های رمز ارتباط هایی است که از پروتکل های HTTPS و SPDY و همچنین از فشرده سازی داده استفاده می کنند. هنگام بازیابی محتوای کوکی های رمز شده تصدیق اصالت، به حمله کننده اجازه می دهد که session hijacking را بر روی یک نشست تصدیق شده وب، انجام دهد.
FREAK (CVE-2015-0204) آسیب‌پذیر نیست.
توضیحات:
FREAK یک بهره برداری امنیتی از ضعف رمزنگاری در پروتکل های SSL/TLS است.
Secure Renegotiation (CVE-2009-3555) آسیب‌پذیر نیست.
توضیحات:
این نقص به یک man-in-the-middle اجازه می دهد که در یک ارتباط بین کلاینت و سرور داده تزریق کند و دستوراتی با گواهی های یک کاربر غیرمجاز را اجرا کند. همچنین او می تواند گواهی های تصدیق اصالت یک کاربر مجاز را جمع آوری کند.

اطلاعات ابطال کلید

آدرس الکترونیکی لیست ابطال کلید http://crl.certum.pl/dvcasha2.crl
توضیحات:
(Certificate Revocation List (CRL
آدرس الکترونیکی OCSP http://dvcasha2.ocsp-certum.com
توضیحات:
Online Certificate Status Protocol
(OCSP)
پشتیبانی از OCSP stapling بله
توضیحات:
روشی برای بالا بردن سرعت در چک کردن لیست ابطال کلید برای گواهی است. با استفاده از OCSP Stapling نیاز نیست که سرویس گیرنده درخواستی را به سرور OCSP بدهد و با استفاده از اطلاعات مهیا شده همراه گواهی، می‌تواند از باطل نبودن گواهی اطمینان حاصل کند.

پروتکل تبادل کلید

پشتیبانی از Forward Secrecy بله (مناسب)
توضیحات:
یک ویژگی در پروتکل‌های ارتباطی امن است. این خاصیت تضمین می‌کند که در صورت لو رفتن کلیدهای طولانی مدت، مهاجم نمی‌تواند به کلیدهای نشست گذشته دسترسی یابد.
بکار بردن دیفی-هلمن ناشناس خیر (مناسب)
توضیحات:
دیفی-هلمن ناشناس از پروتکل دیفی-هلمن بدون تصدیق اصالت استفاده می‌کند. از آنجایی که کلیدهای استفاده شده تصدیق اصالت نمی‌شوند، این نوع پیاده‌سازی از پروتکل مستعد حمله Man-in-the-Middle است.
استفاده از زوج کلیدهای دیفی-هلمن شناخته شده خیر (مناسب)
توضیحات:
در صورتی که زوج کلیدهای استفاده شده در پروتکل دیفی-هلمن شناخته شده باشد، مهاجم می‌تواند با استفاده از آنها کلیدهای جلسه توافق شده را بدست آورد.

ارزیابی استانداردهای رمزنگاری

Null Ciphers خیر (مناسب)
توضیحات:
در رمزهای Null هیچ نوع رمزنگاری انجام نمی‌شود. بنابراین به سادگی متن ورودی به خروجی منتقل می‌شود و در واقع هیچ تغییری بر روی آن اعمال نمی‌شود.
Anonymous Null Ciphers خیر (مناسب)
توضیحات:
رمزهای Null هستند که در پروتکل تبادل کلید تصدیق اصالت انجام نمی‌شود.
رمزهای ضعیف با طول کمتر از 64 بیت خیر (مناسب)
DES Ciphers خیر (مناسب)
توضیحات:
الگوریتم رمزنگاری متقارن
Triple DES Ciphers (>=64 bit)
بله
توضیحات:
الگوریتم رمزنگاری متقارن است که، بلوک های داده را سه بار با الگوریتم DES رمز می کند.

دنباله رمزهای پشتیبانی شده

  • دنباله رمز به ترتیب، الگوریتم رمزنگاری نامتقارن، متقارن و الگوریتم درهم ساز را نشان میدهد.
  • دنباله رمزهای ضعیف با رنگ قرمز مشخص شده اند.
  • الگوریتمی که دلیل ضعیف بودن دنباله رمز است، برجسته شده است.

پروتکل
پشتیبانی از FS
دنباله رمز
SSLv3
-
SSL_RSA_WITH_ RC4_128_SHA - ضعیف
SSLv3
-
SSL_RSA_WITH_ RC4_128_MD5 - ضعیف
SSLv3
-
RC4-MD5 - ضعیف
SSLv3
-
SSL_RSA_WITH_ 3DES_EDE_CBC_SHA - ضعیف
TLSv1
-
SSL_RSA_WITH_ RC4_128_SHA - ضعیف
TLSv1
-
SSL_RSA_WITH_ RC4_128_MD5 - ضعیف
TLSv1
-
RC4-MD5 - ضعیف
TLSv1
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_256_CBC_SHA - خیلی قوی
TLSv1
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_256_CBC_SHA - خیلی قوی
TLSv1
-
TLS_RSA_WITH_ AES_256_CBC_SHA - ضعیف
TLSv1
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_128_CBC_SHA - خیلی قوی
TLSv1
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_128_CBC_SHA - خیلی قوی
TLSv1
-
TLS_RSA_WITH_ AES_128_CBC_SHA - ضعیف
TLSv1
-
SSL_RSA_WITH_ 3DES_EDE_CBC_SHA - ضعیف
TLSv1.1
-
SSL_RSA_WITH_ RC4_128_SHA - ضعیف
TLSv1.1
-
SSL_RSA_WITH_ RC4_128_MD5 - ضعیف
TLSv1.1
-
RC4-MD5 - ضعیف
TLSv1.1
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_256_CBC_SHA - خیلی قوی
TLSv1.1
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_256_CBC_SHA - خیلی قوی
TLSv1.1
-
TLS_RSA_WITH_ AES_256_CBC_SHA - ضعیف
TLSv1.1
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_128_CBC_SHA - خیلی قوی
TLSv1.1
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_128_CBC_SHA - خیلی قوی
TLSv1.1
-
TLS_RSA_WITH_ AES_128_CBC_SHA - ضعیف
TLSv1.1
-
SSL_RSA_WITH_ 3DES_EDE_CBC_SHA - ضعیف
TLSv1.2
-
SSL_RSA_WITH_ RC4_128_SHA - ضعیف
TLSv1.2
-
SSL_RSA_WITH_ RC4_128_MD5 - ضعیف
TLSv1.2
-
RC4-MD5 - ضعیف
TLSv1.2
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_256_CBC_SHA384 - خیلی قوی
TLSv1.2
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_256_CBC_SHA - خیلی قوی
TLSv1.2
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_256_GCM_SHA384 - خیلی قوی
TLSv1.2
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_256_CBC_SHA - خیلی قوی
TLSv1.2
-
TLS_RSA_WITH_ AES_256_GCM_SHA384 - ضعیف
TLSv1.2
-
TLS_RSA_WITH_ AES_256_CBC_SHA256 - ضعیف
TLSv1.2
-
TLS_RSA_WITH_ AES_256_CBC_SHA - ضعیف
TLSv1.2
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_128_CBC_SHA256 - خیلی قوی
TLSv1.2
ECDH, P-256, 256 bits FS
TLS_ECDHE_RSA_WITH_ AES_128_CBC_SHA - خیلی قوی
TLSv1.2
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_128_GCM_SHA256 - خیلی قوی
TLSv1.2
DH, 1024 bits FS Weak
TLS_DHE_RSA_WITH_ AES_128_CBC_SHA - خیلی قوی
TLSv1.2
-
TLS_RSA_WITH_ AES_128_GCM_SHA256 - ضعیف
TLSv1.2
-
TLS_RSA_WITH_ AES_128_CBC_SHA256 - ضعیف
TLSv1.2
-
TLS_RSA_WITH_ AES_128_CBC_SHA - ضعیف
TLSv1.2
-
SSL_RSA_WITH_ 3DES_EDE_CBC_SHA - ضعیف

مکانیزم‌های امنیتی دیگر

پشتیبانی از Strict Transport Security خیر (نامناسب)
توضیحات:
یک بهبود امنیتی برای برنامه‌های تحت وب است که از پروتکل HTTPS استفاده می‌کنند. این بهبود امنیتی سبب میشود مرورگر به صورت خودکار تمامی ارتباطات را به صورت https یا امن برقرار نماید و از برقراری ارتباط به صورت http (حتی در صورت درخواست کاربر) جلوگیری شود.
پشتیبانی از Heartbeat Extension
خیر
توضیحات:
افزونه ضربان قلب یک پروتکل جدید برای TLS/DTLS است که قابلیت زنده نگه داشتن ارتباط بدون انجام تعاملات اولیه را مهیا می‌کند.
Session Resumption(Caching)
بله
توضیحات:
یک ویژگی عملکردی برای کاهش تاخیر درخواست های بعدی به همان سرور در طول زمان کوتاه است.
Session Resumption(Tickets)
بله
توضیحات:
یک ویژگی عملکردی برای کاهش تاخیر درخواست های بعدی به همان سرور در طول زمان کوتاه است.


جمع بندی مشکلات


قدرت الگوریتم های رمزنگاری

  • سرور از تعدادی دنباله های رمز ضعیف پشتیبانی میکند، که باید حذف شوند.

پشتیبانی از پروتکل های امن

  • پشتیبانی از SSL v3.0

پشتیبانی از پروتکل های امن

  • آسیب پذیر به POODLE
  • آسیب پذیر به RC4

نمره وب سایت


نمره وب سایت: 15.25 از 20

قدرت الگوریتم های رمزنگاری
پشتیبانی از پروتکل های امن

مقاومت در برابر حملات شناخته شده
گواهی دیجیتال

جهت امن سازی به مستندات امن سازی مراجعه نمایید.


جهت اسکن دامنه دیگر اینجا را کلیک کنید.