دليل المشتري لشهادة SSL / TLS

لا أحد يحب أن يُقال لهم إن عليهم فعل شيء ما. من الطبيعي أن تتمرد على ذلك ، ولكن أفضل ما يمكنك فعله في بعض الأحيان هو عض شفتك والذهاب معها. هذا هو الحال مع تفويض HTTPS الذي أصدرته Google والصيف الأخير لصانع المتصفح الآخر.


في الوقت الحاضر ، يتم تصنيف أي موقع ويب لا يزال يتم عرضه عبر HTTP على أنه “غير آمن” ، وهو عبارة تهدد حركة المرور والتحويلات. وهذا يعني أن كل موقع ويب يحتاج الآن إلى شهادة SSL / TLS ، مما يسهل الانتقال إلى HTTPS ويساعد على تأمين الاتصال بين موقعك على الويب وزواره.

اعتبارًا من تموز (يوليو) 2018 ، حدد Chrome جميع مواقع HTTP على أنها “غير آمنة” (مزيد من المعلومات).

سيتناول هذا الدليل الأشياء التي تحتاج إلى وضعها في الاعتبار عند شراء شهادة SSL / TLS. سنبدأ بإلقاء نظرة عامة موجزة على التكنولوجيا قبل الخوض في التفاصيل التي ستحتاج إلى فرزها عند تحديد الشهادة المناسبة لك ولموقعك على الويب.

SSL / TLS 101: نظرة عامة

للاتصال بأمان على الإنترنت ، يحتاج الخادم الذي يستضيف الموقع والعميل الذي يحاول الاتصال به إلى استخدام التشفير. التشفير هو عملية رياضية تجعل البيانات غير قابلة للقراءة لأي شخص باستثناء جهة مرخصة. يتم تنفيذه باستخدام مفاتيح التشفير ، ولكي يتمكن العميل والخادم من الاتصال بشكل آمن ، يحتاج كلاهما إلى امتلاك نسخة من نفس المفتاح.

لكن هذا يمثل مشكلة ، كيف يمكنك تبادل تلك المفاتيح بأمان؟ إذا كان المهاجم قادرًا على اختراق مفتاح التشفير ، فإنه يجعل هذا التشفير عديم الفائدة لأن المهاجم لا يزال بإمكانه رؤية جميع البيانات التي يتم تبادلها كما لو كانت في نص عادي.

SSL / TLS هو الحل لمشكلة تبادل المفاتيح.

ينجز SSL / TLS شيئين:

  1. يصادق الخادم بحيث يعرف العملاء الكيان الذي يتصلون به
  2. يسهل تبادل مفتاح جلسة يمكن استخدامه للتواصل بشكل آمن

قد يبدو ذلك مجرد ملخص ، لذا دعنا ننفذه.

في أي وقت يحاول فيه العميل الاتصال بموقع ويب عبر HTTPS – وهو الإصدار الآمن من بروتوكول نقل النص التشعبي (HTTP) الذي استخدمه الإنترنت لعقود – تحدث سلسلة من التفاعلات وراء الكواليس بين العميل المذكور والخادم الذي يستضيف الموقع.

هناك نوعان من مفاتيح التشفير المعنية بتشفير SSL / TLS. هناك مفاتيح الجلسة المتناظرة التي ذكرناها للتو. يمكن لتلك التشفير وفك التشفير ويتم استخدامها للتواصل أثناء الاتصال نفسه. المفاتيح الأخرى هي زوج المفاتيح العام / الخاص. يسمى هذا النوع من التشفير تشفير المفتاح العام. يمكن للمفتاح العمومي تشفير المفتاح المشفر.

في البداية ، سيختار العميل والخادم مجموعة تشفير مدعومة بشكل متبادل. مجموعة التشفير هي مجموعة الخوارزميات التي تتحكم في التشفير الذي سيتم استخدامه أثناء الاتصال.

بمجرد الموافقة على مجموعة التشفير ، يرسل الخادم شهادة SSL والمفتاح العام. من خلال سلسلة من عمليات التحقق ، يقوم العميل بتوثيق الخادم والتحقق من هويته وأنه المالك الشرعي للمفتاح العام المرتبط.

بعد هذا التحقق ، ينشئ العميل مفتاح جلسة (أو السر الذي يمكن استخدامه لاشتقاق واحد) ويستخدم المفتاح العام للخادم لتشفيره قبل إرساله إلى الخادم. باستخدام المفتاح الخاص ، يقوم الخادم بفك تشفير مفتاح الجلسة ويبدأ الاتصال المشفر (هذا هو الشكل الأكثر شيوعًا لتبادل المفاتيح ، كما يتم إجراؤه مع RSA – يختلف تبادل مفاتيح Diffie-Hellman قليلاً).

إذا كان هذا لا يزال يبدو معقدًا بعض الشيء ، فلنبسطه أكثر.

  • للتواصل بشكل آمن يحتاج كلا الطرفين إلى مشاركة مفاتيح الجلسة المتناظرة
  • يسهل SSL / TLS تبادل مفاتيح الجلسات هذه مع تشفير المفتاح العام
  • بعد التحقق من هوية الخادم ، يتم تشفير مفتاح الجلسة أو السر باستخدام المفتاح العام
  • يستخدم الخادم مفتاحه الخاص لفك تشفير مفتاح الجلسة وبدء الاتصال المشفر

دعنا الآن ندخل في ما تحتاج ، كمالك لموقع ويب ، إلى التفكير فيه عند شراء أو الحصول على شهادة SSL / TLS.

ما يجب مراعاته عند شراء شهادة SSL / TLS?

عند شراء شهادة SSL / TLS ، فإنك تتخذ قرارًا بشأن سؤالين أساسيين:

  1. ما السطح الذي تحتاج إلى تغطيته?
  2. ما مقدار الهوية التي تريد تأكيدها?

عندما يمكنك الإجابة عن هذه الأسئلة ، يصبح اختيار الشهادة مسألة تتعلق بالعلامة التجارية والتكلفة ، فستعرف بالفعل نوع المنتج الذي تحتاجه.

الآن ، قبل أن نذهب إلى أبعد من ذلك ، دعونا ننشئ حقيقة واحدة مهمة جدًا: بغض النظر عن كيفية إجابتك على هذين السؤالين ، تقدم جميع شهادات SSL / TLS نفس قوة التشفير.

يتم تحديد قوة التشفير من خلال مجموعة من مجموعات التشفير المدعومة وقوة الحوسبة للعميل والخادم على أي من طرفي الاتصال. أغلى شهادة SSL / TLS في السوق وشهادة مجانية تمامًا ستعمل على تسهيل نفس مستوى التشفير المعياري في الصناعة.

ما يختلف مع الشهادات هو مستوى الهوية ووظائفها.

لنبدأ بالسطوح التي يجب تغطيتها.

1- وظيفة شهادة SSL / TLS

تطورت مواقع الويب الحديثة إلى أبعد بكثير مما كانت عليه في الأيام الأولى للإنترنت عندما كنت لا تزال تضع العدادات في أسفل الصفحة لتتبع حركة المرور. في الوقت الحاضر ، قامت المؤسسات بتعقيد البنية التحتية للويب ، داخليًا وخارجيًا. نحن نتحدث عن نطاقات متعددة ونطاقات فرعية وخوادم البريد وما إلى ذلك.

لحسن الحظ ، تطورت شهادات SSL / TLS جنبًا إلى جنب مع مواقع الويب الحديثة للمساعدة في تأمينها بشكل أفضل. هناك نوع شهادة لكل حالة استخدام ، ولكن يتعين عليك معرفة حالة الاستخدام المحددة الخاصة بك.

دعونا نلقي نظرة على أنواع شهادة SSL / TLS الأربعة المختلفة ووظائفها:

  • مجال واحد – كما يوحي الاسم ، فإن شهادة SSL / TLS هذه خاصة بمجال واحد (كل من الإصدارين WWW وغير WWW).
  • متعدد المجالات – هذا النوع من شهادة SSL / TLS مخصص للمؤسسات التي لديها مواقع ويب متعددة ، ويمكنها تأمين ما يصل إلى 250 نطاقًا مختلفًا في وقت واحد.
  • البدل – الأمان لنطاق واحد ، بالإضافة إلى جميع نطاقاته الفرعية المصاحبة من المستوى الأول – أي عدد لديك (غير محدود).
  • أحرف البدل متعددة المجالات – شهادة SSL / TLS مع وظائف كاملة ، يمكنها تشفير ما يصل إلى 250 مجالًا مختلفًا وجميع المجالات الفرعية المصاحبة في نفس الوقت.

كلمة سريعة حول شهادات Wildcard. تعد أحرف البدل متعددة الاستخدامات بشكل استثنائي ، حيث يمكنها تشفير عدد غير محدود من المجالات الفرعية ، بل إنها قادرة على تأمين المجالات الفرعية الجديدة التي تتم إضافتها بعد الإصدار. عند إنشاء حرف بدل ، يتم استخدام علامة النجمة (يشار إليها أحيانًا باسم حرف بدل) على مستوى النطاق الفرعي الذي ترغب في تشفيره. يشير هذا إلى أن أي نطاق فرعي على مستوى عنوان URL للنطاق الذي تم التحقق منه مرتبط بشكل صحيح بزوج المفتاح العام / الخاص للشهادة.

2- مستوى التحقق من شهادة SSL / TLS

بعد معرفة الأسطح التي تحتاج إلى تغطيتها ، حان الوقت لتحديد مقدار الهوية التي تريد تأكيدها. هناك ثلاثة مستويات من التحقق ، وهي تشير إلى مقدار فحص سلطة إصدار الشهادات التي تصدر شهادة SSL / TLS الخاصة بك والتي ستضعك أنت وموقعك الإلكتروني من خلال.

ثلاثة مستويات من التحقق: التحقق من صحة المجال والتحقق من التنظيم والتحقق الموسع.

يسمى المستوى الأساسي من التحقق التحقق من المجال. يستغرق الأمر بضع دقائق فقط لإكمال هذا التحقق وإصدار الشهادة ، ولكنه يوفر أقل معلومات الهوية – مصادقة الخادم فقط. تعد شهادات DV SSL / TLS هي الأكثر استخدامًا ، ولكن نظرًا لافتقارها للهوية ، فإن مواقع الويب التي تستخدمها تتلقى معالجة متصفح محايدة.

التحقق من المنظمة يوفر مزيدًا من المعلومات التنظيمية ، مما يمنح زوار موقعك فكرة أفضل عن من يتعاملون معه ، بشرط أن يعرفوا أين يبحثون. تتطلب شهادات OV SSL / TLS قدرًا معتدلًا من التدقيق ، ومع ذلك ، فإنها لا تؤكد هوية كافية لتجنب معالجة المتصفح المحايدة. يمكن لشهادات OV SSL تأمين عناوين IP مخصصة أيضًا. يتم استخدامها بشكل شائع في بيئات المؤسسات والشبكات الداخلية.

أكثر هوية يمكن أن تؤكدها شهادة SSL / TLS تأتي في التحقق الموسع مستوى. تتطلب شهادات EV SSL / TLS تدقيقًا متعمقًا من قبل المرجع المصدق ، لكنها تؤكد ما يكفي من المعلومات التعريفية التي ستمنحها متصفحات الويب لمواقع الويب التي تنشرها معاملة فريدة – عرض اسمها التنظيمي الذي تم التحقق منه في شريط عناوين المتصفح.

هناك شيء سريع يجب مراعاته فيما يتعلق بمستويات التحقق والوظيفة وهو أن شهادات EV SSL / TLS لا يتم بيعها أبدًا مع وظيفة Wildcard. هذا يرجع إلى الطبيعة المفتوحة لشهادات Wildcard ، التي ناقشناها في القسم الأخير.

انتقاء سلطات الشهادات والتسعير

الآن بعد أن عرفت ما تحتاجه ، دعنا نتحدث عن مكان الحصول عليه. لا يمكن لأي شخص فقط إصدار شهادات SSL / TLS صالحة ، ونعني أنه موثوق به. يجب أن تمر بمرجع مصدق موثوق به أو CA. CAs ملزمة بمتطلبات الصناعة الصارمة وتخضع لمراجعات وتدقيق منتظم. يعود سبب ذلك إلى الطريقة التي تعمل بها البنية التحتية للمفتاح العام. البنية التحتية للمفاتيح العمومية (PKI) هي نموذج الثقة الذي يدعم SSL / TLS ، ولهذا السبب يمكن لمتصفح المستخدم التحقق من صحة شهادة SSL / TLS معينة والثقة بها.

على الرغم من أن الخوض في البنية التحتية للمفاتيح العمومية (PKI) والجذور خارج نطاق هذه المقالة ، فمن المهم معرفة أنه يمكن فقط للمراجع المصدقة الموثوقة إصدار الشهادات الموثوق بها. هذا هو السبب في أنه لا يمكنك إصدارها بنفسك وتوقيعها بنفسك. لن يكون لدى المتصفحات طريقة للثقة بها دون تعديل إعداداتها يدويًا.

ولكن ما CA يجب أن تختار?

هذا يعتمد على ما تبحث عنه.

بالنسبة للعديد من مواقع الويب البسيطة التي لا تحتاج إلى تأكيد الكثير من الهوية ، تعد شهادة DV SSL / TLS المجانية من Let’s Encrypt (أو غيرها من CAs المجانية) خيارًا جيدًا. لا يكلف أي شيء وهو كافٍ لما تحتاجه.

أي شيء إلى الشمال من ذلك ، أو إذا لم تكن خبيرًا تقنيًا بشكل خاص ، فيجب عليك الذهاب مع هيئة الشهادات التجارية مثل DigiCert ، Sectigo ، Entrust Datacard ، إلخ..

ولكن إليك الشيء: لا تحصل على أفضل سعر للشراء مباشرة من المراجع المصدقة.

يمكنك الحصول على أفضل مزيج من الأسعار والاختيار من خلال الشراء من خلال خدمة SSL التي تقدم شهادات SSL / TLS من العديد من المراجع المصدقة. والسبب في ذلك بسيط ، حيث تشتري خدمات SSL هذه شهادات من CAs بكميات كبيرة وبأسعار أقل بكثير من عملاء التجزئة. وهذا يتيح لهم بيع الشهادات بأسعار مخفضة للغاية ، وتمرير المدخرات للمستهلكين.

في بعض الحالات ، يمكنك توفير ما يصل إلى 85٪ من سعر البيع بالتجزئة الذي تقترحه الشركة المصنعة عن طريق خدمة SSL بدلاً من الشراء المباشر.

ضع في اعتبارك أن خدمات SSL المخصصة متخصصة في SSL / TLS ، وسوف يقدمون دعمًا أفضل للعملاء ، ويمكنهم مساعدتك في تثبيته وهم يعرفون كيفية تحسين عمليات التنفيذ الخاصة بك لتزويد موقعك على الويب بأفضل أمان ممكن.

على النقيض من ذلك مع المراجع المصدقة المجانية (وحتى بعض الإعلانات التجارية) حيث يتعين عليك العمل من خلال نظام التذاكر أو غربلة منشورات المنتدى القديمة للحصول على دعم جماعي والقيمة واضحة.

من المسلم به أن مشكلة الدعم ليست مشكلة بالنسبة لبعض مالكي مواقع الويب المتمرسين بالتكنولوجيا. وبالتأكيد لا يوجد خطأ في السير في الطريق الحر إذا كنت تعرف كيف تدعم كل شيء بنفسك.

ولكن بالنسبة لمالكي المواقع الآخرين ، فأنت تدفع أقل مقابل الشهادة نفسها وأكثر من ذلك لأجهزة الدعم التي تم إنشاؤها حولها. لا يمكنك أيضًا الوصول إلى مستويات تحقق أعلى (OV / EV) أو وظائف متقدمة (متعدد النطاقات ، أحرف البدل) مع SSL / TLS مجاني. لديك للحصول على تلك من CAs التجارية أو خدمات SSL.

إذن ، مدفوع أم مجاني؟ يتعلق الأمر بمدى إتقانك أنت أو مؤسستك من الناحية الفنية ، بالإضافة إلى ما إذا كنت تريد وظيفة والتحقق من الصحة خارج نطاق واحد.

الأسئلة الشائعة حول دليل SSL / TLS للمشتري

س 1. هل التحقق الممتد يستحق ذلك?

بالنسبة للعديد من مواقع الويب ، تعد شهادة EV SSL / TLS استثمارًا أكثر من كونها نفقة. لا توجد طريقة أخرى لتأكيد الحد الأقصى من الهوية والحصول على معاملة تفضيلية لمتصفح موقعك. عندما يصل الزائرون إلى موقع ويب ويرون اسم المؤسسة المعروض في شريط العناوين ، يكون له تأثير نفسي عميق. في حين يصعب قياس هذا التأثير على الورق ، تجد الاستطلاعات باستمرار أن الأشخاص يشعرون بتحسن عند زيارة المواقع باستخدام EV بدلاً من زيارة المواقع بدونها.

على الإنترنت ، كل شيء مهم ، لذا إذا كنت مؤسسة تريد تأكيد الهوية على الويب ، فإن شهادات EV SSL / TLS هي أفضل طريقة متاحة للقيام بذلك.

س 2. أنت تواصل كتابة SSL / TLS ، ماذا يعني ذلك?

SSL تعني طبقة المقابس الآمنة ، وكانت النسخة الأصلية من بروتوكول التشفير التي نستخدمها لتأمين اتصالاتنا حتى يومنا هذا. لقد وصلنا إلى SSL 3.0 قبل أن تجبر الثغرات الصناعة على العودة إلى لوحة الرسم ، حيث تم تصميم أمان طبقة النقل (TLS) ليكون خليفة SSL.

اليوم نحن على TLS 1.3 ، تم إيقاف SSL 3.0 بالكامل تقريبًا وبحلول 2020 TLS 1.0 و 1.1 سيتم إيقافها أيضًا. في حين أن الإنترنت اليوم يعتمد بشكل شبه حصري على بروتوكول TLS ، فإنه لا يزال يُعرف بالعامية SSL.

س 3. ما هي إصدارات بروتوكول SSL / TLS?

يتعلق ذلك بسؤالنا الأخير ، SSL و TLS هما البروتوكولين اللذين يسهلان اتصالات HTTPS ، ومثلما هو الحال مع أي قطعة أخرى من التكنولوجيا ، يجب تحديث هذه البروتوكولات بشكل دوري مع اكتشاف نقاط ضعف وهجمات جديدة. عندما ترى SSL 3.0 أو TLS 1.2 ، فهذا يشير إلى إصدار محدد من بروتوكولات SSL / TLS.

حاليًا ، أفضل الممارسات هي دعم TLS 1.2 و TLS 1.3 ، حيث تم العثور على جميع الإصدارات السابقة عرضة لبعض استغلال أو آخر.

س 4. ما الذي يجب أن أعرفه عن Cipher Suites?

مجموعة التشفير هي مجموعة من الخوارزميات التي سيتم استخدامها أثناء عملية تشفير SSL / TLS. تتضمن عادةً نوعًا من خوارزمية المفتاح العام وخوارزمية مصادقة الرسائل وخوارزمية تشفير متماثل (حظر / دفق).

قبل أن تتمكن من اتخاذ أي قرار بشأن مجموعات Cipher المراد دعمها ، تحتاج إلى معرفة إمكانيات خوادمك ، مما قد يعني تحديث مكتبة OpenSSL (أو برامج SSL البديلة) إلى أحدث إصداراتها. كلمة نصيحة ، باستخدام تشفير منحنى بيضاوي أفضل من RSA.

س 5. هل الضمانات مهمة?

من الجيد أن يكون لديك ضمان كبير مع أي منتج ، وتوفر صناعة SSL / TLS بعض الضمانات الأكثر سخاءً. يدفعون في حال واجه CA الذي أصدر شهادتك مشكلة تكلف أموال مؤسستك. من المسلم به أن هذا ليس كل ذلك شائعًا ، وهو نوع من المصادقة على شهادات SSL / TLS بشكل عام ، ولكن أيضًا شيئًا لا يسعنا إلا الإشارة إليه.

باتريك نوهي
عن المؤلف: باتريك نوه

بدأ باتريك نوه حياته المهنية كمراسل صحفي وكاتب عمود في صحيفة ميامي هيرالد. كما أنه يعمل كمدير محتوى لـ The SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map