دليل المشتري لشهادة SSL / TLS

المادة التي كتبها:
  • الأعمال التجارية عبر الإنترنت
  • تم التحديث: Jul 02 ، 2019

لا أحد يحب أن يقال لهم أن عليهم القيام بشيء ما. إنها مجرد طبيعة إنسانية للمقاومة ضد ذلك ، ولكن في بعض الأحيان أفضل ما يمكنك فعله هو لدغة شفتك والذهاب معها. هذا هو الحال مع ولاية HTTPS التي تم تسليمها من قِبل Google وصيف صانع المتصفح الآخر في الصيف الماضي.

في الوقت الحاضر ، يتم تصنيف أي موقع ويب لا يزال يتم تقديمه عبر HTTP على أنه "غير آمن" ، وهو عبارة عن خطاب يهدد حركة المرور والتحويلات. هذا يعني أن كل موقع ويب يحتاج الآن إلى شهادة SSL / TLS ، مما يسهل الانتقال إلى HTTPS ويساعد على تأمين الاتصال بين موقع الويب الخاص بك وزواره.

بدءًا من 2018 في يوليو ، حدد Chrome جميع مواقع HTTP على أنها "غير آمنة" (لمعرفة المزيد).

سيتجاوز هذا الدليل الأشياء التي تحتاج إلى أخذها في الاعتبار عند شراء شهادة SSL / TLS. سنبدأ بإلقاء نظرة عامة مختصرة على التقنية قبل الخوض في التفاصيل التي ستحتاج إلى تحديدها عند تحديد الشهادة المناسبة لك وموقعك على الويب.

SSL / TLS 101: نظرة عامة

من أجل التواصل بشكل آمن على الإنترنت ، يجب أن يستخدم الخادم الذي يستضيف موقع الويب والعميل الذي يحاول الاتصال به التشفير. التشفير هو عملية رياضية يجعل البيانات غير قابلة للقراءة لأي شخص باستثناء جهة مفوضة. يتم تنفيذها باستخدام مفاتيح التشفير ، ولكي يتمكن العميل والخادم من الاتصال بأمان كلاهما بحاجة لامتلاك نسخة من نفس المفتاح.

هذا يمثل مشكلة رغم ذلك ، كيف يمكنك تبادل هذه المفاتيح بشكل آمن؟ إذا كان المهاجم قادرًا على اختراق مفتاح تشفير ، فإنه يجعل هذا التشفير بلا فائدة لأن المهاجم لا يزال بإمكانه رؤية جميع البيانات التي يتم تبادلها كما لو كانت في نص عادي.

SSL / TLS هو الحل لمشكلة تبادل المفاتيح.

SSL / TLS ينجز شيئين:

  1. يقوم بمصادقة الخادم بحيث يعرف العملاء الكيان الذي يتصلون به
  2. إنه يسهل تبادل مفتاح الجلسة الذي يمكن استخدامه للتواصل بشكل آمن

قد يبدو هذا مجردة بعض الشيء لذلك دعونا نضعه موضع التنفيذ.

في أي وقت يحاول فيه العميل الاتصال بموقع ويب عبر HTTPS - وهو الإصدار الآمن من بروتوكول نقل النص التشعبي (HTTP) الذي لقد استخدمت الإنترنت منذ عقود - تحدث سلسلة من التفاعلات خلف الكواليس بين العميل المذكور والخادم الذي يستضيف الموقع.

هناك نوعان من مفاتيح التشفير المشاركة في تشفير SSL / TLS. هناك مفاتيح الجلسة المتماثلة التي ذكرناها للتو. يمكن لكل من تشفير وفك تشفير ويتم استخدامها للاتصال أثناء الاتصال نفسه. المفاتيح الأخرى هي زوج المفاتيح العامة / الخاصة. هذا النوع من التشفير يسمى تشفير المفتاح العام. يمكن للمفتاح العام تشفير ، فك تشفير المفتاح الخاص.

في البداية ، سيختار العميل والخادم مجموعة تشفير مدعومة بشكل متبادل. جناح الشفرات هي مجموعة الخوارزميات التي تحكم التشفير الذي سيتم استخدامه أثناء الاتصال.

بمجرد الاتفاق على مجموعة التشفير ، يرسل الخادم شهادة SSL والمفتاح العام. من خلال سلسلة من عمليات التحقق ، يقوم العميل بمصادقة الخادم ، والتحقق من هويته وأنه المالك الشرعي للمفتاح العام المرتبط.

بعد هذا التحقق ، ينشئ العميل مفتاح جلسة (أو السر الذي يمكن استخدامه لاشتقاق واحد) ويستخدم المفتاح العمومي للخادم لتشفيره قبل إرساله إلى الخادم. باستخدام المفتاح الخاص ، يقوم الخادم بفك تشفير المفتاح للجلسة ويبدأ الاتصال المشفر (هذا هو أكثر أشكال تبادل المفاتيح شيوعًا ، كما يحدث مع RSA - يختلف تبادل مفاتيح Diffie-Hellman قليلاً).

إذا كان هذا لا يزال معقدًا بعض الشيء ، فلنبسطه أكثر.

  • للتواصل بشكل آمن ، يحتاج كلا الطرفين إلى مشاركة مفاتيح الجلسة المتماثلة
  • SSL / TLS تسهل تبادل مفاتيح الجلسة مع تشفير المفتاح العمومي
  • بعد التحقق من هوية الخادم ، يتم تشفير مفتاح الجلسة أو السر باستخدام المفتاح العمومي
  • يستخدم الخادم المفتاح الخاص لفك تشفير مفتاح الجلسة وبدء الاتصال المشفر

الآن ، دعونا ندرس ما تحتاجه ، بصفتك مالك موقع ويب ، في الاعتبار عند شراء أو الحصول على شهادة SSL / TLS.

ما يجب مراعاته عند شراء شهادة SSL / TLS؟

عند شراء شهادة SSL / TLS ، فإنك تتخذ قرارًا بشأن سؤالين رئيسيين:

  1. ما السطح الذي تحتاجه لتغطية؟
  2. ما هو مقدار الهوية التي تريد تأكيدها؟

عندما تتمكن من الإجابة على هذه الأسئلة ، يصبح اختيار الشهادة مسألة تتعلق بالعلامة التجارية والتكلفة ، وستعرف بالفعل نوع المنتج الذي تحتاجه.

الآن ، قبل أن نذهب إلى أبعد من ذلك ، لنقم بإنشاء حقيقة واحدة مهمة للغاية: بغض النظر عن كيفية الإجابة عن هذين السؤالين ، فإن جميع شهادات SSL / TLS تقدم نفس قوة التشفير.

يتم تحديد قوة التشفير من خلال مجموعة من مجموعات التشفير المدعومة وقوة الحوسبة للعميل والخادم على طرفي الاتصال. أغلى شهادة SSL / TLS في السوق وشهادة مجانية تمامًا ستعمل على تسهيل نفس المستوى من تشفير معايير الصناعة.

ما يختلف مع الشهادات هو مستوى الهوية ووظائفها.

لنبدأ مع الأسطح التي تحتاج إلى تغطيتها.

وظيفة شهادة 1- SSL / TLS

لقد تطورت مواقع الويب الحديثة إلى ما هو أبعد مما كانت عليه في الأيام الأولى للإنترنت عندما كنت لا تزال تضع عدادات في أسفل الصفحة لتتبع حركة المرور. في الوقت الحاضر ، لدى المؤسسات بنية تحتية معقدة على الصعيدين الداخلي والخارجي. نحن نتحدث عن مجالات متعددة أو نطاقات فرعية أو خوادم بريد وما إلى ذلك.

لحسن الحظ ، تطورت شهادات SSL / TLS إلى جانب مواقع الويب الحديثة للمساعدة في تأمينها بشكل أفضل. يوجد نوع شهادة لكل حالة استخدام ، ولكن يتعين عليك معرفة حالة الاستخدام المحددة الخاصة بك.

دعونا نلقي نظرة على أنواع شهادات SSL / TLS الأربعة المختلفة ووظائفها:

  • مجال واحد - كما يوحي الاسم ، فإن شهادة SSL / TLS هذه مخصصة لنطاق واحد (كلاً من إصدارات WWW وغير WWW).
  • متعددة المجال - هذا النوع من شهادة SSL / TLS مخصص للمؤسسات التي لديها مواقع ويب متعددة ، ويمكنها تأمين ما يصل إلى 250 من المجالات المختلفة في وقت واحد.
  • البدل - أمان لنطاق واحد ، بالإضافة إلى جميع نطاقاته الفرعية المصاحبة من المستوى الأول - قدر ما لديك (غير محدود).
  • أحرف البدل متعددة المجال - يمكن لشهادة SSL / TLS المزودة بوظيفة كاملة ، تشفير ما يصل إلى 250 من المجالات المختلفة وجميع النطاقات الفرعية المصاحبة لها في وقت واحد.

كلمة سريعة حول شهادات Wildcard. تعد أحرف البدل متعددة الاستخدامات بشكل استثنائي ، حيث يمكنها تشفير عدد غير محدود من النطاقات الفرعية ، بل إنها قادرة على تأمين نطاقات فرعية جديدة تضاف بعد الإصدار. عند إنشاء Wildcard ، يتم استخدام العلامة النجمية (يشار إليها أحيانًا كحرف بدل) على مستوى المجال الفرعي الذي ترغب في تشفيره. يشير هذا إلى أن أي مجال فرعي على مستوى عنوان URL الخاص بالنطاق الذي تم التحقق منه مرتبط بشكل صحيح بزوج المفاتيح العام / الخاص للشهادة.

2- SSL / TLS مستوى التحقق من صحة الشهادة

بعد معرفة الأسطح التي تحتاج إلى تغطيتها ، حان الوقت لتحديد مقدار الهوية التي تريد تأكيدها. هناك ثلاثة مستويات من التحقق من الصحة ، وهي تشير إلى مقدار فحص سلطة الشهادة التي تصدر شهادة SSL / TLS التي ستضعك أنت وموقع الويب الخاص بك فيها.

ثلاثة مستويات من التحقق من الصحة: ​​التحقق من صحة المجال ، والتحقق من صحة المنظمة ، والتحقق من الصحة الموسعة.

يسمى المستوى الأكثر أساسية للتحقق من الصحة التحقق من صحة نطاق. يستغرق استكمال هذا التحقق من الصحة وإصدار الشهادة دقائق قليلة ، ولكنه يوفر معلومات الهوية الأقل - مصادقة الخادم فقط. شهادات DV SSL / TLS هي الأكثر استخدامًا ، ولكن نظرًا لانعدام هويتها ، فإن مواقع الويب التي تستخدمها تتلقى معاملة متصفح محايدة.

التحقق من صحة المنظمة يوفر المزيد من المعلومات التنظيمية ، والتي تمنح زوار موقعك فكرة أفضل عن من يتعاملون معهم ، شريطة أن يعرفوا مكانهم. تتطلب شهادات OV SSL / TLS قدرا معتدلا من التدقيق ، ومع ذلك ، فإنها لا تؤكد هوية كافية لتجنب علاج المتصفح المحايد. يمكن لشهادات OV SSL تأمين عناوين IP المخصصة أيضًا. يتم استخدامها بشكل شائع في بيئات المؤسسات وعلى الشبكات الداخلية.

أكثر هوية شهادة SSL / TLS يمكن تأكيدها تأتي في التحقق من صحة موسعة مستوى. تتطلب شهادات EV SSL / TLS فحصًا متعمقًا من قِبل المرجع المصدق (CA) ، لكنها تؤكد بشكلٍ كافٍ على معلومات التعريف التي ستمنحها متصفحات الويب لمواقع الويب التي تنشر عليها معاملة فريدة - تعرض اسمها التنظيمي الذي تم التحقق منه في شريط عناوين المتصفح.

أحد الأشياء السريعة التي يجب مراعاتها فيما يتعلق بمستويات التحقق من الصحة ووظائفها هو أن شهادات EV SSL / TLS لا يتم بيعها مع وظيفة Wildcard. هذا يرجع إلى الطبيعة المفتوحة لشهادات Wildcard ، والتي ناقشناها في القسم الأخير.

اختيار السلطات شهادة والتسعير

الآن بعد أن عرفت ما تحتاج إليه ، دعنا نتحدث عن مكان الحصول عليها. لا يمكن لأي شخص فقط إصدار شهادات SSL / TLS صالحة ، ونعني بالثقة أنها صالحة. يجب أن تمر عبر مرجع مصدق موثوق به أو مرجع مصدق. تلتزم CA بمتطلبات الصناعة الصارمة وتخضع لعمليات التدقيق والتدقيق المنتظمة. سبب هذا ينبع من طريقة عمل المفتاح العام للبنية التحتية. PKI هو نموذج الثقة الذي يعتمد على SSL / TLS ، ولهذا السبب يمكن لمستعرض المستخدم التحقق من صحة شهادة SSL / TLS معينة والثقة بها.

ليس الخوض في PKI والجذور خارج نطاق هذه المقالة ، من المهم معرفة أن المراجع المصدقة الموثوق بها فقط يمكنها إصدار شهادات موثوق بها. هذا هو السبب في أنه لا يمكنك فقط إصداره وتوقيعه بنفسك. لن يكون للمتصفحات أي وسيلة للثقة بها دون ضبط إعداداتها يدويًا.

ولكن ماذا يجب أن تختار؟

هذا يعتمد على ما تبحث عنه.

بالنسبة للعديد من المواقع البسيطة التي لا تحتاج إلى تأكيد الكثير من الهوية ، يتم الحصول على شهادة DV SSL / TLS مجانية من دعونا تشفير (أو المراجع المصدقة المجانية الأخرى) هو خيار جيد. لا يكلف شيئًا ويكفي مقابل ما تحتاجه.

أي شيء شمال ذلك ، أو إذا لم تكن ماهرًا تقنيًا بشكل خاص ، فيجب أن تتعامل مع جهة إصدار الشهادات التجارية مثل DigiCert و Sectigo و Entrust Datacard ، إلخ.

ولكن إليك ما يلي: لا تحصل على أفضل عملية شراء تسعير مباشرة من CA.

يمكنك الحصول على أفضل مزيج من التسعير والاختيار من خلال الشراء من خلال خدمة SSL التي تقدم شهادات SSL / TLS من شهادات اعتماد متعددة. السبب في ذلك بسيط ، خدمات SSL هذه شهادات شراء من المراجع المصدقة بكميات كبيرة بأسعار أقل بكثير مما يحصل عليه عملاء التجزئة. هذا يتيح لهم بيع الشهادات بأسعار مخفضة للغاية ، ويمرر المدخرات للمستهلكين.

في بعض الحالات ، يمكنك توفير ما يصل إلى 85٪ من سعر التجزئة المقترح من قبل الشركة المصنعة بحلول الذهاب من خلال خدمة SSL بدلا من شراء مباشرة.

ضع في اعتبارك ، خدمات طبقة المقابس الآمنة (SSL) المتخصصة في طبقة المقابس الآمنة / طبقة النقل الآمنة (SSL / TLS) ، ستقدم دعمًا أفضل للعملاء ، ويمكنهم مساعدتك في تثبيته ويعرفون كيفية تحسين تطبيقاتك لتوفير أفضل أمان ممكن لموقع الويب الخاص بك.

تباين ذلك من خلال المراجع المصدقة المجانية (وحتى بعض المكاتب التجارية) حيث يجب عليك العمل من خلال نظام التذاكر أو التدقيق في مشاركات المنتدى القديمة للحصول على الدعم من مصادر خارجية والقيمة واضحة.

منحت ، بالنسبة إلى بعض مالكي المواقع المهرة بالتكنولوجيا ، مشكلة الدعم ليست مشكلة. وبالتأكيد لا حرج في السير في الطريق المجاني إذا كنت تعرف كيفية دعم كل شيء بنفسك.

لكن بالنسبة لأصحاب المواقع الآخرين ، فأنت تدفع أقل مقابل الشهادة نفسها وأكثر مقابل جهاز الدعم الذي تم بناؤه من حوله. لا يمكنك أيضًا الوصول إلى مستويات التحقق من الصحة (OV / EV) أو الوظائف المتقدمة (متعدد المجالات ، أحرف البدل) مع SSL / TLS مجانًا. يجب عليك الحصول على تلك من CAs التجارية أو خدمات SSL.

لذلك ، دفعت أو مجانا؟ يتعلق الأمر بمدى الكفاءة الفنية لك أو لمؤسستك ، بالإضافة إلى ما إذا كنت تريد الوظيفة والتحقق من الصحة خارج نطاق DV الفردي.

SSL / TLS أسئلة وأجوبة دليل المشتري

Q1. هل التحقق من الصحة الموسع يستحق كل هذا العناء؟

بالنسبة إلى العديد من مواقع الويب ، تعد شهادة EV SSL / TLS استثمارًا أكثر من حساب. لا توجد وسيلة أخرى لتأكيد الهوية القصوى والحصول على معاملة تفضيلية لموقع الويب الخاص بك. عندما يصل الزوار إلى موقع ويب ويرون اسم المؤسسة المعروض في شريط العناوين ، يكون لذلك تأثير نفسي عميق. على الرغم من صعوبة تحديد هذا التأثير على الورق ، إلا أن الدراسات الاستقصائية تجد دائمًا أن الناس يشعرون بالراحة تجاه زيارة المواقع ذات القيمة المضافة أكثر من زيارة المواقع بدونها.

على شبكة الإنترنت ، كل شيء مهم ، لذلك إذا كنت مؤسسة تريد تأكيد الهوية على الويب ، فإن شهادات EV SSL / TLS هي أفضل طريقة متاحة للقيام بذلك.

Q2. واصلتم كتابة SSL / TLS ، ماذا يعني ذلك؟

SSL لتقف على طبقة مآخذ التوصيل الآمنة، وكان هذا هو الإصدار الأصلي من بروتوكول التشفير الذي نستخدمه لتأمين اتصالاتنا حتى يومنا هذا. وصلنا إلى SSL 3.0 قبل أن تضطر الثغرات الأمنية إلى العودة إلى لوحة الرسم ، حيث أمن طبقة النقل (TLS) تم تصميمه ليكون خليفة SSL.

اليوم نحن على TLS 1.3 ، تم إسقاط SSL 3.0 بالكامل تقريبًا وبواسطة 2020 TLS 1.0 وسيتم إهمال 1.1 أيضًا. في حين أن الإنترنت اليوم يعتمد بشكل حصري تقريبًا على بروتوكول TLS ، إلا أنه لا يزال يعرف بالعامية باسم SSL.

Q3. ما هي إصدارات بروتوكول SSL / TLS؟

يتعلق هذا بالسؤال الأخير ، SSL و TLS هما البروتوكولان اللذان يسهلان اتصالات HTTPS ، وكما هو الحال مع أي تقنية أخرى ، يجب تحديث هذه البروتوكولات بشكل دوري عند اكتشاف ثغرات أمنية جديدة وهجمات جديدة. عندما ترى SSL 3.0 أو TLS 1.2 ، فهذا يشير إلى إصدار محدد من بروتوكولات SSL / TLS.

تتمثل أفضل الممارسات حاليًا في دعم TLS 1.2 و TLS 1.3 ، حيث تبين أن جميع الإصدارات السابقة عرضة لبعض الاستغلال أو لآخر.

Q4. ما الذي يجب أن أعرفه عن Cipher Suites؟

مجموعة التشفير هي مجموعة من الخوارزميات التي سيتم استخدامها أثناء عملية تشفير SSL / TLS. وهي تتضمن عادةً نوعًا من خوارزمية المفتاح العام وخوارزمية مصادقة الرسائل وخوارزمية تشفير متماثل (block / stream).

قبل أن تتمكن من تحديد ما هي مجموعات Cipher التي يجب دعمها ، يجب أن تعرف ماهية الخوادم الخاصة بك ، مما قد يعني تحديث مكتبة OpenSSL (أو برامج SSL البديلة) لتكرارها الحديث. كلمة من نصيحة، باستخدام تشفير المنحنى الإهليلجي هو الأفضل من RSA.

Q5. هل الضمانات مهمة؟

من الجيد أن يكون لديك ضمان كبير مع أي منتج ، وتوفر صناعة SSL / TLS بعض الضمانات الأكثر سخاءً هناك. يدفعون في حالة مواجهة المرجع المصدق الذي أصدر شهادتك من أي وقت مضى لمشكلة تكلف أموال مؤسستك. من المسلم به أن هذا ليس شيئًا شائعًا ، وهو نوع من المصادقة لشهادات SSL / TLS بشكل عام ، ولكن أيضًا شيء سنكون مقصرين بعدم الإشارة إليه.


باتريك نوي
نبذة عن الكاتب: باتريك نوي

بدأ باتريك نوي حياته المهنية كمراسل صحفي وكاتب عمود في مجلة ميامي هيرالد. كما يشغل منصب مدير المحتوى ل SSL Store ™.

حول WHSR ضيف

كتب هذا المقال مساهٍ ضيف. وجهات نظر المؤلف أدناه هي خاصة به ، وقد لا تعكس آراء WHSR.