ما هي سلسلة شهادات SSL؟وكيف يعمل؟

تحتوي سلسلة شهادات SSL على شهادات متعددة للمساعدة في بناء الثقة مع المتصفح والعميل.

فيما يلي معرفة بشهادات السلسلة هذه وكيفية عمل "سلسلة الثقة".

بصفتك مالكًا لموقع الويب ، فأنت تعلم أن شهادة SSL / TLS هي شرط أساسي لنجاح الأعمال التجارية عبر الإنترنت.بالإضافة إلى زيادة الثقة وحماية أمن البيانات ، فإنه يساعد أيضًا في تحسين ترتيب موقع الويب الخاص بك في نظر Google.لكن شهادة SSL لن تعمل في فقاعات ؛إنه جزء من سلسلة تسمى شهادات SSL.السلسلة هي جزء لا غنى عنه من البنية التحتية للمفاتيح العامة واسعة النطاق ، مما يجعل من الممكن إجراء اتصال آمن عبر الإنترنت من خلال الإنترنت غير الآمن.

ولكن ما هي بالضبط سلسلة الشهادات؟لماذا بناء الثقة مهم جدا؟سنقوم بتفكيك المكونات المختلفة للسلسلة ، وما هي قواعدها ، وكيف تعمل معًا كجزء من بنية تحتية أكبر للمفتاح العام.

ما هي سلسلة شهادات SSL؟

إذن ، ما هي سلسلة شهادات SSL و TLS؟تتضمن سلسلة الشهادات الشهادة الجذر ، وشهادة وسيطة واحدة أو أكثر ، وشهادة الخادم (الورقية).إذا كنت لا تعرف ما هو بعضها ، فلا داعي للقلق.هذا هو هدفنا هنا - للمساعدة في تفصيل هذه المصطلحات بطريقة ذات مغزى. 

إذا أتيت إلى هنا ، فقد تكون بالفعل على دراية بشهادة الخادم ، لأن هذه هي الشهادة التي اشتريتها لموقع الويب.هذا لجعل رمز القفل يظهر في شريط URL قبل المجال الخاص بك.وهو أيضًا سبب عرض "HTTPS" في عنوان URL الخاص بك.

إذا قمت بالنقر فوق قفل الموقع الآمن ، فسترى تفاصيل شهادة SSL.ستمنحك لقطة الشاشة أدناه فكرة عما تراه.على سبيل المثال ، على SectigoStore.com ، سترى اسم المؤسسة التي أصدرت الشهادة.في هذه الحالة ، إنها Rapid Web Services LLC ، [الولايات المتحدة].

هذا ما نقوله عادة عندما نتحدث عن شهادات SSL / TLS.تساعد الشهادتان الأخريان في السلسلة في بناء الثقة في شهادات الخادم هذه.

يتم إصدار شهادة SSL من قبل جهة خارجية ذات سمعة طيبة وموثوق بها ، تسمى سلطة الشهادة أو المرجع المصدق أو CA (اختصار).ومع ذلك ، لن يصدر المرجع المصدق الشهادة مباشرة إلى موقع الويب.من خلال سلسلة الثقة أو سلسلة الشهادات ، يمكن جعل العملية أسرع وأسهل.

سلسلة الثقة مثل الشجرة ...

لفهم كيفية عمل هذه الشهادات معًا ، تخيل شجرة.الشجرة لها جذور وجذع وفروعها وأوراقها المقابلة.لا يختلف هيكل سلسلة الشهادات عن الشجرة.

مثل الشجرة ، تعتبر شهادة الجذر هي الأساس الذي تستند إليه جميع الشهادات الأخرى.مثلما تحتوي الشجرة على العديد من الفروع ، قد يصدر المرجع المصدق أكثر من شهادة وسيطة واحدة من شهادة جذر.ينطبق نفس القياس على الأوراق التي تمثل شهادات الخادم.

إذا واصلنا استكشاف شهادة SSL لهذا الموقع ، فسوف نتعلم الكثير.لذلك ، انقر فوق "شهادة"الخيار ، سترى نافذة منبثقة ، كما هو موضح أدناه:

تُظهر لك هذه الصورة معلومات حول الشهادة - مثل الغرض من الشهادة والشخص الذي أصدر الشهادة (المرجع المصدق) والموقع الذي أصدر الشهادة وتاريخ انتهاء صلاحيتها.

علاوة على ذلك ، سينقلك إلى المعلومات التفصيلية للشهادة ، والتي ستساعدك على فهم البروتوكول والخوارزمية المستخدمة في الشهادة.يعرض الخوارزمية المستخدمة لتشفير المفتاح العام ويوفر أيضًا المفتاح العام للموقع.         

الآن ، ننتقل إلى الجزء التالي ، مسار الشهادة.في سياق هذه المقالة ، هذا هو الجزء الأكثر أهمية في مقالة معلومات الشهادة.عند النقر فوق "مسار الشهادة"، سترى الشهادة الجذر والشهادة الوسيطة وشهادة الخادم.

في الصورة أعلاه نرى:

• شهادة الجذر هي " Sectigo (كومودو كاليفورنيا سابقًا)."هذه شهادة موقعة ذاتيًا توقع على شهادة CA الوسيطة.
• الشهادة المتوسطة هي " وسعت COMODO RSA خادم أمان المصادقة CA "."تعمل الشهادة كوسيط (أي وسيط) بين شهادة الجذر وشهادة الخادم.لذلك ، تستخدم الشهادة الوسيطة مفتاحها الخاص للتوقيع على شهادة الخادم لحماية المفتاح الخاص للشهادة الجذر.
• شهادة الخادم هي " www.sectigostore.com ".هذا هو نوع الشهادة التي تقوم بتثبيتها على خادم الويب ، وتسمى عادةً شهادة SSL / TLS.

نظرًا لأن الشهادة الورقية تأتي من الفرع الأوسط ، والفروع الأوسط من الجذر ، فمن المفترض أن الشجرة التي وصفتها سابقًا مقلوبة رأسًا على عقب.في لقطة الشاشة أعلاه ، يكون جذر الشجرة في الأعلى والأوراق في الأسفل.

فهم الأجزاء المختلفة من سلسلة شهادات SSL

يوضح الشكل التالي سلسلة شهادات SSL ومعلومات مفصلة حول سلطة التوقيع:

في هذا القسم ، لن نتحلل فقطشهادة الجذر والشهادة المتوسطةالفرق بين،و أيضاانفصالشهادة الخادم.

شهادة الجذر

الشهادة الجذرية (تسمى أيضًا جذرًا موثوقًا به) هي شهادة صادرة مباشرة من مرجع مصدق.بخلاف الشهادات الأخرى ، يتم توقيع الشهادة الجذر ذاتيًا بواسطة المرجع المصدق (CA).المفتاح الخاص لشهادة الجذر هو المفتاح المستخدم لتوقيع الشهادات الأخرى في التسلسل الهرمي لشهادة SSL.

يصدر المرجع المصدق (CA) فقط عددًا قليلاً من شهادات الجذر ، وهذا هو سبب حمايتها بشكل صارم.في الواقع ، عادةً ما يتم تثبيت شهادات الجذر هذه مسبقًا في "المتجر الموثوق" للمتصفحات وأنظمة التشغيل.تعتبر شهادة الجذر الأكثر أهمية في سلسلة الشهادات لأن جميع الأطراف توافق على الوثوق بالمرجع المصدق الذي أصدر شهادة الجذر.إذا كان المرجع المصدق (CA) الذي أصدر شهادة الجذر غير موثوق به أو تم إبطاله (على سبيل المثال ، لم يعد يعتبر جديرًا بالثقة) ، فسوف تنهار السلسلة بأكملها.

من أجل حماية هذه الشهادات ، خاصة عندما يتعلق الأمر بـتم إبطال الشهادةقارة، عادةً ما يستخدم المرجع المصدق الجذر CA وسيطًا لوضع بعض المسافة بين شهادة الجذر الموثوقة وشهادة الخادم النهائية.إنهم لا يصدرون أبدًا شهادة (الخادم) الخاصة بالموقع الإلكتروني مباشرة من شهادة الجذر الخاصة بهم ، لأن القيام بذلك ينطوي على مخاطرة كبيرة.

الشهادة المتوسطة

تعمل الشهادة الوسيطة كمخزن مؤقت بين شهادة الجذر وشهادة الخادم للكيان النهائي.يتم توقيعه بواسطة المفتاح الخاص لشهادة الجذر التي أصدرته.هذه هي الطريقة التي يتم بها إنشاء ثقة الشهادة الوسيطة.الشهادة المتوسطةالمُصدرهو المُصدر الذي قام بالتوقيع على شهادة SSL / TLS (الخادم) ، وسمةهو الموقع أو المنظمة التي تثبت هويتها.

يمكن أن يكون هناك أكثر من شهادة وسيطة واحدة ، ولكن لا يمكنك امتلاك سلسلة شهادات بدون شهادة وسيطة واحدة على الأقل.

شهادة الخادم

يصدر المرجع المصدق شهادة خادم (تسمى أيضًا شهادة طرفية) إلى المجال الذي يريد المستخدم تغطيته.يتحدث الناس عن ذلك عندما يتحدثون عن شهادات SSL / TLS.بعد تثبيت الشهادة بشكل صحيح على الخادم ،بداية URLسوف تظهر"HTTPS" بدلاً من "HTTP".يعني HTTPS أن موقعك يستخدم بروتوكول تشفير آمنًا ، وليس بروتوكولًا غير آمن.بالإضافة إلى ذلك ، سيظهر قفل قبل اسم المجال الخاص بك في شريط URL.

كيف تعمل سلسلة الشهادات؟

تسمى سلسلة الشهادات في SSL / TLS أيضًا سلسلة الثقة.السبب وراء ذلك هو أنه عندما يتلقى أي متصفح شهادة SSL لموقعك على الويب ، فإنه يحتاج إلى التحقق من شرعيتها.

للقيام بذلك ، سيبدأ بشهادة الخادم ثم يعيدها إلى الشهادة الجذر لتأسيس الثقة.يستخدم المفتاح العام للشهادة لمطابقة التوقيع ، ثم يتحقق من المفتاح العام وتوقيع الشهادة الوسيطة بنفس الطريقة.سيستمر في القيام بذلك حتى يصل أخيرًا إلى شهادة الجذر التي يحفظها المتصفح في متجر الثقة الخاص به.

إذا تعذر التحقق من أي شهادات في هذه السلسلة ، فسيتم كسر السلسلة وسيفشل التحقق.سيقوم المتصفح بتحذير المستخدم بشأن الشهادة.هل تعرف تلك الرسائل القبيحة "غير الآمنة" و "اتصالك ليس خاصًا"؟

نعم بهذه الطريقة.لذلك ، لكي تعمل سلسلة الثقة ، يجب التأكد من عدم انقطاع أي روابط في السلسلة.

هل مازلت تستمع إلي؟بعد ذلك يمكنني أن أخطو خطوة إلى الأمام وأشرح لك كيف تعمل سلسلة الشهادات.بعد ذلك ، يمكننا مناقشة التكنولوجيا والعملية وراء الكواليس - البنية التحتية للمفتاح العام (أو PKI).

كيف تعمل سلسلة عملية التحقق من الثقة

إذا تم اتباع التسلسل الهرمي التقليدي ، فسيقوم المرجع المصدق الجذر بمصادقة المرجع المصدق الوسيط ، والذي بدوره سيوقع شهادة الخادم.لذا ، مع وضع هذا في الاعتبار ، كيف يستخدم الناس سلسلة الثقة للتحقق؟

عندما يزور المستخدم موقع الويب الخاص بك ، سيرسل الخادم شهادة.سيتحقق من المعلومات المختلفة مثل:

• الكيان الذي أصدر الشهادة والشيء.
• متى تم إصدار الشهادة وما هي مدة صلاحيتها.
• إذا كان لديه توقيع رقمي صالح.
• ما إذا تم إبطال الشهادة أم لا.

للتحقق من شرعية الشهادة ، يجب التحقق من سلسلة الثقة.هنا ، سيبدأ المتصفح من شهادة الخادم والتحقق من جميع الشهادات ، بما في ذلك شهادة الجذر.يتم عكس عملية التحقق من سلسلة الشهادات الأكثر شيوعًا.هذا يعني أنه يجب التحقق أولاً من معلومات شهادة الخادم مقابل الشهادة الوسيطة لشهادة الإصدار ، ومن ثم يجب التحقق من الشهادة الوسيطة مقابل الشهادة الجذر للشهادة المُصدرة.

إذا تم فحص جميع الشهادات واكتملت العمليات الأخرى المطلوبة للاتصال الآمن ، فسيقوم موقع الويب بتحميل رمز القفل أو "HTTPS" في شريط URL.خلاف ذلك ، سيتم إصدار تحذير.

ما هو PKI؟

نظرًا لأن البنية التحتية للمفاتيح العمومية موضوع معقد ومفصل ، سنقدم لك نظرة عامة سريعة هنا.البنية التحتية للمفتاح العام هي مصطلح عام يصف إطار عمل العمليات والاستراتيجيات والتقنيات التي تجعل التشفير الآمن في القنوات العامة ممكنًا.يعتمد على تشفير المفتاح العام ، والذي يستخدم خوارزميات رياضية معقدة لتسهيل تشفير وفك تشفير الرسائل على الإنترنت.

هذه الخوارزميات هي جزء من إطار عمل PKI.مع تطور التكنولوجيا ، أصبحت الخوارزميات أكثر تعقيدًا بمرور الوقت.

يستخدم PKI أزواج المفاتيح لتشفير البيانات وفك تشفيرها.يعتمد نوع المفتاح المتضمن على نوع التشفير الذي تستخدمه.على سبيل المثال ، يستخدم التشفير المتماثل مفتاحًا واحدًا لتشفير البيانات وفك تشفيرها.(يتطلب هذا أن يكون لكل من المرسل والمستقبل نفس النسخة من نفس المفتاح). من ناحية أخرى ، في التشفير غير المتماثل ، يوجد مفتاحان فريدان (لكنهما مرتبطان رياضياً): المفتاح العام والمفتاح الخاص.يمكن لأي شخص استخدام مفتاح عام لتشفير البيانات.من ناحية أخرى ، سيفك المفتاح الخاص تشفير البيانات ، والتي يجب حمايتها لمنع تسرب البيانات.

يساعد وجود مفتاحين فريدين ولكنهما مرتبطين رياضيًا عملاء الموقع على تسليم رسائل آمنة دون القلق بشأن الوصول غير المصرح به أو التلاعب بالبيانات.(يطلق عليه غالبًا هجوم man-in-the-middle أو MitM.)

استنتاج

تضمن شهادة SSL / TLS أمان موقع الويب باستخدام بروتوكول HTTPS الآمن.تعتبر سلسلة الثقة ضرورية لتحقيق بروتوكول الأمان هذا.نظرًا للهيكل الشجري لسلسلة الشهادات ، يمكنك إنشاء اتصال سريع وآمن بالخادم.علاوة على ذلك ، يمكنه بسهولة تتبع الشهادة إلى دليل الجذر الأصلي الخاص بها لمعرفة ما إذا كانت قانونية أم لا.هذا وضع يربح فيه الجميع.