ما المقصود بشهادة SSL/TLS؟
شهادة SSL/TLS هي عبارة عن كائن رقمي يسمح للأنظمة بالتحقق من الهوية ومن ثم إنشاء اتصال شبكة مشفر بنظام آخر باستخدام بروتوكول طبقة مآخذ التوصيل الآمنة/بروتوكول أمان طبقة النقل (SSL/TLS). تُستخدم الشهادات داخل نظام تشفير يُعرف بالبنية التحتية للمفاتيح العامة (PKI). توفر البنية التحتية للمفاتيح العامة (PKI) طريقةً لطرف واحد لتحديد هوية طرف آخر باستخدام شهادات إذا كان كلا الطرفين يثق في طرف ثالث، يُعرف باسم المرجع المصدق. وبالتالي، تعمل شهادات SSL/TLS كبطاقات هوية رقمية لتأمين اتصالات الشبكة وتحديد هوية مواقع الويب عبر الإنترنت إلى جانب الموارد على الشبكات الخاصة.
لماذا تعتبر شهادات SSL/TLS مهمة؟
شهادات SSL/TLS تزرع الثقة بين مستخدمي موقع الويب. تقوم الشركات بتثبيت شهادات SSL/TLS على خوادم الويب لإنشاء مواقع ويب مؤمنة بـ SSL/TLS. خصائص صفحة الويب المؤمنة SSL/TLS هي كما يلي:
- رمز القفل وشريط العناوين الأخضر على متصفح الويب
- يبدأ عنوان موقع الويب على المتصفح بـ https.
- شهادة SSL/TLS صالحة. يمكنك التحقق مما إذا كانت شهادة SSL/TLS صالحة بالنقر فوق رمز القفل وتوسيعه على شريط عنوان URL
- بمجرد إنشاء الاتصال المشفر فقط يمكن للعميل وخادم الويب رؤية البيانات التي يتم إرسالها.
نقدم بعض مزايا شهادات SSL/TLS أدناه.
يحمي البيانات الخاصة
تتحقق المتصفحات من صحة شهادة SSL/TLS لأي موقع ويب لبدء اتصالات آمنة مع خادم موقع الويب والحفاظ عليها. تساعد تقنية SSL/TLS على ضمان تشفير جميع الاتصالات بين متصفحك وموقع الويب.
تعزيز ثقة العملاء
يدرك العملاء المتمرسون بالإنترنت أهمية الخصوصية ويريدون الوثوق بمواقع الويب التي يزورونها. يحتوي موقع الويب المحمي بـ SSL/TLS على رمز القفل الأخضر، والذي يعتبره العملاء آمنًا. تساعد حماية SSL/TLS العملاء على معرفة أن بياناتهم محمية عند مشاركتها مع عملك.
دعم الامتثال للوائح التنظيمية
يجب أن تمتثل بعض الشركات للوائح الصناعة لسرية البيانات وحمايتها. على سبيل المثال، يجب أن تلتزم الشركات العاملة في صناعة بطاقات الدفع بـ PCI DSS. PCI DSS هو أحد متطلبات الصناعة لتوفير معاملات آمنة عبر الإنترنت، بما في ذلك تأمين خادم الويب بشهادة SSL/TLS.
تحسين محركات البحث
جعلت محركات البحث الرئيسية حماية SSL/TLS عامل تصنيف لتحسين محرك البحث. من المحتمل أن يحتل موقع الويب الآمن SSL/TLS مرتبة أعلى في محرك البحث من موقع ويب مشابه بدون شهادة SSL/TLS. يؤدي هذا إلى زيادة عدد الزوار من محركات البحث إلى موقع الويب المحمي بـ SSL/TLS.
ما هي المبادئ الأساسية في تقنية شهادة SSL/TLS؟
SSL/TLS لتقف على طبقة مآخذ آمنة وأمن طبقة النقل. إنها قاعدة بروتوكول أو اتصال تسمح لأنظمة الكمبيوتر بالتحدث مع بعضها البعض على الإنترنت بأمان. تسمح شهادات SSL/TLS لمتصفحات الويب بتحديد وإنشاء اتصالات شبكة مشفرة بمواقع الويب باستخدام بروتوكول SSL/TLS.
التشفير
التشفير يعني خلط الرسالة الأصلية بحيث لا يمكن فك تشفيرها إلا من قبل المستلم المقصود. على سبيل المثال، يمكنك تغيير كلمة cat إلى ecv عن طريق تحريك كل حرف للأمام في الأبجدية بمكانين. يعرف المستلم القاعدة (أو المفتاح) ويعكس كل حرف بمكانين لقراءة الكلمة الفعلية. يعتمد تشفير SSL/TLS على هذا المفهوم باستخدام تشفير المفتاح العام، مع مفتاحين مختلفين لتشفير الرسالة وفك تشفيرها. توفر البنية التحتية للمفاتيح العامة (PKI) طريقةً لطرف واحد لتحديد هوية طرف آخر باستخدام شهادات إذا كان كلا الطرفين يثق في طرف ثالث، يُعرف باسم المرجع المصدق. يتحقق المرجع المصدق من الشهادة ويصادق كلا الطرفين قبل بدء الاتصال.
نوعان من المفاتيح هما:
مفتاح عام
يتواصل المتصفح وخادم الويب عن طريق ترميز المعلومات وفك تشفيرها باستخدام أزواج المفاتيح العامة والخاصة. المفتاح العام هو مفتاح تشفير يمنحه خادم الويب للمتصفح في شهادة SSL/TLS. يستخدم المتصفح المفتاح لتشفير المعلومات قبل إرسالها إلى خادم الويب.
مفتاح خاص
خادم الويب هو فقط الذي لديه المفتاح الخاص. ولا يمكن فك تشفير الملف المشفر بواسطة المفتاح الخاص إلا بواسطة المفتاح العام، والعكس صحيح. إذا كان المفتاح العام يمكنه فقط فك تشفير الملف الذي تم تشفيره بواسطة المفتاح الخاص، فإن القدرة على فك تشفير هذا الملف تؤكد أن المتلقي والمرسل المقصودين هما من يدعيان أنهما.
المصادقة
يرسل الخادم المفتاح العام في شهادة SSL/TLS إلى المتصفح. يتحقق المتصفح من الشهادة من جهة خارجية موثوق بها. وبالتالي، يمكنه التحقق من أن خادم الويب هو من يدعي أنه.
التوقيع الرقمي
التوقيع الرقمي هو رقم فريد لكل شهادة SSL/TLS. ينشئ المستلم توقيعًا رقميًا جديدًا ويقارنه بالتوقيع الأصلي للتأكد من أن الأطراف الخارجية لم تتلاعب بالشهادة أثناء تنقلها عبر الشبكة.
من الذي يتحقق من صحة شهادات SSL/TLS؟
المرجع المصدق (CA)، وهي مؤسسة تبيع شهادات SSL/TLS لمالكي مواقع الويب أو شركات استضافة الويب أو الشركات. تتحقق المؤسسة المُصدرة للشهادة من صحة تفاصيل النطاق والمالك قبل إصدار شهادة SSL/TLS. لكي تحصل على CA، يجب أن تفي المؤسسة بالمتطلبات المحددة التي حددها نظام التشغيل أو المستعرضات أو شركة الأجهزة المحمولة وأن تتقدم بطلب لإدراجها كمرجع مصدق جذر. هذا مهم لبناء الثقة بين مستخدمي الإنترنت. على سبيل المثال، خدمات Amazon Trust هي مرجع مصدَّق، ويمكنها إصدار شهادات SSL/TLS لمواقع الويب.
ما هي فترة الصلاحية لشهادة SSL/TLS؟
شهادة SSL/TLS لها فترة صلاحية قصوى تبلغ 13 شهرًا. تم تخفيض صلاحية شهادة SSL/TLS تدريجياً على مر السنين. الهدف من القيام بذلك هو تقليل المخاطر الأمنية التي تؤثر على الشركات ومستخدمي الويب. على سبيل المثال، قد تستخدم جهات خارجية غير موثوق بها شهادة SSL/TLS صالحة من مجال منتهي الصلاحية لإنشاء موقع ويب غير مصرح به.
من خلال تقصير فترة الصلاحية، يتم تقليل فرص إساءة استخدام شهادات SSL/TLS. عند انتهاء صلاحية شهادة SSL/TLS، يتلقى زوار الويب تحذيرًا على المتصفح بأن موقع الويب غير آمن. تقوم المؤسسة بإلغاء شهادة SSL/TLS القديمة واستبدالها بشهادة متجددة. يجب أن تتم عملية التجديد قبل انتهاء صلاحية الشهادة السابقة لتجنب الحوادث الأمنية.
ما الذي تتضمنه شهادة SSL/TLS؟
تحتوي شهادة SSL/TLS على المعلومات التالية.
- اسم النطاق
- المرجع المصدَّق
- التوقيع الرقمي للمرجع المصدَّق
- تاريخ الإصدار
- تاريخ انتهاء الصلاحية
- مفتاح عام
- نسخة SSL/TLS
TLS يُشير إلى أمن طبقة النقل. وهو امتداد واستمرار لبروتوكول SSL/TLS الإصدار 3.0. لا توجد سوى اختلافات فنية طفيفة بين SSL/TLS و TLS. مثل SSL/TLS، يوفر TLS قناة نقل بيانات مشفرة بين المتصفح وخادم الويب. تستخدم شهادات SSL/TLS الحديثة بروتوكول TLS بدلاً من SSL/TLS، لكن SSL/TLS لا يزال اختصارًا شائعًا بين خبراء الأمن. على الرغم من أنه ليس هو نفسه تمامًا، إلا أن المصطلحين SSL و TLS يستخدمان بشكل شائع ليعني نفس الشيء. قد تشير أيضًا إلى بروتوكول تشفير التشفير باسم SSL/TLS.
كيف تعمل شهادة SSL/TLS؟
تستخدم المتصفحات شهادة SSL/TLS لبدء اتصال آمن بخادم الويب من خلال مصافحة SSL/TLS. تعد مصافحة SSL/TLS جزءًا من تقنية الاتصال الآمن لبروتوكول نقل النص التشعبي (HTTPS). إنه مزيج من HTTP و SSL/TLS. HTTP هو بروتوكول تستخدمه متصفحات الويب لإرسال المعلومات بنص عادي إلى خادم الويب. ينقل HTTP بيانات غير مشفرة، مما يعني أن المعلومات المرسلة من المتصفح يمكن اعتراضها وقراءتها من قبل أطراف ثالثة. تستخدم المتصفحات HTTP مع SSL/TLS، أو HTTPS للاتصال الآمن بالكامل.
مصافحة سل/تلس
تتضمن مصافحة SSL/TLS الخطوات التالية:
- يفتح المتصفح موقع ويب SSL/TLS-Secure ويتصل بخادم الويب.
- يحاول المتصفح التحقق من صحة خادم الويب عن طريق طلب معلومات تعريف.
- يرسل خادم الويب شهادة SSL/TLS التي تحتوي على مفتاح عام كرد.
- يتحقق المتصفح من شهادة SSL/TLS، مما يضمن أنها صالحة ومطابقة لنطاق موقع الويب. بمجرد أن يكون المتصفح راضيًا عن شهادة SSL/TLS، فإنه يستخدم المفتاح العام لتشفير وإرسال رسالة تحتوي على مفتاح جلسة سرية.
- يستخدم خادم الويب مفتاحه الخاص لفك تشفير الرسالة واسترداد مفتاح الجلسة. ثم يستخدم مفتاح الجلسة لتشفير وإرسال رسالة إقرار إلى المتصفح.
- الآن، يتحول كل من المتصفح وخادم الويب إلى استخدام مفتاح الجلسة نفسه لتبادل الرسائل بأمان.
مفتاح الجلسة
يحافظ مفتاح الجلسة على الاتصال المشفر بين المتصفح وخادم الويب بعد اكتمال مصادقة SSL/TLS الأولية. مفتاح الجلسة هو مفتاح تشفير للتشفير المتماثل. يستخدم التشفير المتماثل نفس المفتاح لكل من التشفير وفك التشفير. يأخذ التشفير غير المتماثل قوة حوسبة هائلة. لذلك، يتحول خادم الويب إلى تشفير متماثل يتطلب حسابًا أقل للحفاظ على اتصال SSL/TLS.
ما هو AWS Certificate Manager؟
AWS Certificate Managerعبارة عن خدمة تتيح لك إمكانية الدعم والإدارة والنشر بسهولة لشهادات طبقة المآخذ الآمنة/أمان طبقة النقل (SSL/TLS) للاستخدام مع خدمات AWS ومواردك المتصلة الداخلية. يلغي AWS Certificate Manager العملية اليدوية المستهلكة للوقت لشراء وتحميل وتجديد شهادات SSL/TLS. بدلاً من ذلك، يمكنك طلب شهادة بسرعة ونشرها على موارد AWS المدمجة مع ACM، مثل موازنة التحميل المرنة أو توزيعات Amazon CloudFront أو واجهات برمجة التطبيقات على Amazon API Gateway والسماح لـ AWS Certificate Manager بالتعامل معها تجديدات الشهادات. كما أنه يتيح لك إمكانية إنشاء شهادات خاصة لمواردك الداخلية وإدارة دورة حياة الشهادة بشكل مركزي.
تستخدم المؤسسات ACM لتبسيط تطبيق ونشر وتجديد شهادات SSL/TLS. بدلاً من العملية التقليدية لإنشاء طلب توقيع شهادة (CSR) وإرساله إلى مرجع مصدق، يمكنك إنشاء شهادة SSL/TLS مُدارة بواسطة ACM ببضع نقرات.
ابدأ مع مدير شهادات AWS من خلال الاشتراك في حساب AWS اليوم.
ما هي أنواع شهادات SSL/TLS؟
تختلف شهادات SSL/TLS وفقًا للتحقق والنطاق. يتم تصنيف الشهادات ذات مستويات التحقق المختلفة على النحو التالي:
- شهادات التحقق الممتدة
- شهادات التحقق من صحة المؤسسة
- شهادات التحقق من صحة النطاق
شهادات SSL/TLS التي تدعم أنواع النطاقات المختلفة هي:
- شهادة نطاق واحد
- شهادة أحرف البدل
- شهادة متعددة النطاقات
شهادات التحقق الممتدة
شهادة التحقق الممتدة (EV SSL/TLS) هي شهادة رقمية تتمتع بأعلى مستوى من التشفير والتحقق والثقة. عند التقدم بطلب للحصول على EV SSL/TLS، تخضع المؤسسة أو مالك الويب لفحوصات صارمة من قبل المرجع المصدَّق. يتضمن ذلك التحقق من عنوان العمل الفعلي، وتطبيق الشهادة المناسب، والحقوق الحصرية لاستخدام النطاق.
تستخدم الشركات EV SSL/TLSs لحماية المستخدمين من الأطراف الثالثة غير المصرح بها. هذا مهم عندما تقوم الشركة بمعالجة البيانات الحساسة على الموقع، مثل المعاملات المالية والسجلات الطبية. تحتوي شهادة EV SSL/TLS على تفاصيل منظمة الأعمال، والتي يمكن عرضها على المتصفح.
شهادات التحقق من صحة المؤسسة
تأتي شهادات التحقق من صحة المؤسسة (OV SSL/TLS) في المرتبة الثانية بعد EV SSL/TLS من حيث التحقق من الصحة والثقة. مثل EV SSL/TLSs، يجب أن تمر الشركات بعملية تحقق عند التقدم بطلب للحصول على OV SSL/TLS. في حين أن عملية التدقيق أقل صرامة، يجب على المتقدمين إثبات ملكية المجال لسلطات التصديق.
تحتوي شهادة OV SSL/TLS على معلومات تجارية تم التحقق من صحتها ويمكن فحصها على المتصفح. تستخدم الشركات الأمامية والتجارية شهادة OV SSL/TLS لبناء الثقة بين العملاء. يوفر OV SSL/TLS تشفيرًا قويًا لحماية خصوصية العملاء عند تصفح الويب.
شهادات التحقق من صحة النطاق
شهادات التحقق من صحة النطاق (DV SSL/TLS) هي شهادات رقمية لديها أدنى التحقق من الصحة. كما أنها أقل تكلفة للتقدم بطلب للحصول عليها. على عكس EV SLLs و OV SSL/TLSs، يخضع المتقدمون لشهادة DV لعملية تدقيق أقل صرامة. يثبت مقدم الطلب ملكية النطاق من خلال الرد على بريد إلكتروني للتحقق أو مكالمة هاتفية.
لا تحتوي شهادة DV على معلومات كاملة عن منظمة مقدم الطلب أو عمله. لذلك، لا يوفر ضمانًا عاليًا للمستخدمين. شهادات DV مناسبة لمواقع المعلومات، مثل المدونات. إنها ليست مثالية لبوابات الدفع أو شركات الرعاية الصحية أو مواقع الويب الأخرى التي تتعامل مع البيانات الحساسة.
شهادات SSL/TLS ذات نطاق واحد
شهادة SSL/TLS ذات المجال الواحد هي شهادة SSL/TLS التي تحمي نطاقًا واحدًا أو نطاقًا فرعيًا واحدًا فقط. النطاق هو عنوان URL الرئيسي أو عنوان موقع الويب، مثل amazon.com. النطاق الفرعي هو عنوان ويب بامتداد نصي يسبق المجال الرئيسي، مثل aws.amazon.com.
على سبيل المثال، يمكنك استخدام شهادة SSL/TLS لنطاق واحد على http://example.com. ومع ذلك، لا يمكنك استخدام الشهادة لـ http://example.com وsub.example.com في وقت واحد.
شهادات أحرف البدل SSL/TLS
شهادة SSL/TLS حرف بدل هي شهادة SSL/TLS التي تحمي النطاق وجميع المجالات الفرعية الخاصة به. على سبيل المثال، يمكنك استخدام شهادة SSL/TLS أحرف بدل لحماية http://example.com وblog.example.com وshop.example.com.
شهادات SSL/TLS متعددة النطاقات
تُعرف شهادات النطاقات المتعددة أيضًا بشهادات الاتصالات الموحدة. توفر شهادة SSL/TLS متعددة المجالات حماية SSL/TLS لأسماء نطاقات متعددة مستضافة على نفس الخوادم أو خوادم مختلفة بنفس الملكية. على سبيل المثال، يمكنك شراء شهادة متعددة النطاقات لـ http://example1.com وdomain2.co.uk وshop.business3.com وchat.message.au.
الخطوات التالية لشهادة SSL مع AWS
ابدأ الإنشاء باستخدام سحابة AWS مختلطة في وحدة إدارة تحكم AWS.