دليل سريع لشهادات طبقة المقابس الآمنة: ما تحتاج إلى معرفته عنها وكيفية اختيارها

في الآونة الأخيرة ، تميل حصة شهادات SSL الصالحة في مناطق النطاق المختلفة إلى النمو ، وكذلك الاهتمام العام بتقنيات SSL. ومع ذلك ، لم يدرك الجميع ما يتعاملون معه عندما يسمعون هذه الكلمة. لذلك ، سنظل نحاول فهم ما يعنيه ، وسنساعدك في اختيار الشهادة المطلوبة بالضبط لمشروعك (وهي ضرورية على الإطلاق).

لنقل البيانات بشكل آمن بين متصفح المستخدم والخادم ، يتم استخدام البنية الأساسية للمفتاح ، والتي تتيح لك تشفير المعلومات المرسلة باستخدام مفتاح عمومي (معروف للجميع) وفك تشفيره باستخدام مفتاح خاص (معروف فقط لمالكه) ، والذي يسمى التشفير غير المتماثل. تخضع هذه البنية التحتية نفسها للمعيار الدولي 50.50 ، الذي يحدد تكوين الشهادة الإلكترونية:

  • رقم إصدار الشهادة (1-3) ؛
  • رقم التسلسل
  • معرف خوارزمية التوقيع ؛
  • اسم المنظمة التي أصدرت الشهادة ؛
  • فترة صلاحية الشهادة ؛
  • اسم صاحب الشهادة ؛
  • المفتاح العمومي لحامل الشهادة ؛
  • التوقيع الرقمي

لا يوفر المعيار x.509 خوارزمية تشفير محددة ، ولكن الأكثر شيوعًا هو RSA ، وهو ما يُستخدم في شهادات SSL.

قبل اختيار الشهادة ، سيكون من الجيد معرفة سبب الحاجة إليها وما هي الوظائف التي يؤدونها.

أي شهادة SSL تنفذ ثلاث وظائف مهمة في وقت واحد:

  • تشفير المعلومات المنقولة ؛
  • مصادقة الموارد (المصادقة) ؛
  • ضمان سلامة المعلومات المنقولة.

وبالتالي ، يظهر للمستخدم أن مورد الويب الذي تتصل به الشهادة يمكن الوثوق به.

لفهم كيفية عمل وظائف شهادة SSL الثلاث هذه ، فكر في مثال بسيط. تحتاج الفتاة أنيا إلى شراء تذكرة طائرة من خلال موقع الشركة على الإنترنت ، ولهذا السبب ، أرسل تفاصيل بطاقة الائتمان الخاصة بها. للتأكد من أن بياناتها لن يتم اعتراضها من قبل أطراف ثالثة ، تقوم أنيا بالتحقق من توفر شهادة SSL على الموقع الإلكتروني لشركة الطيران المحددة. هذا بسيط: يكفي التأكد من أنه في بداية شريط العناوين ، هناك تعيين لاتصال https ، والذي يتم تمييزه عادة باللون الأخضر. تؤكد أن البيانات بين متصفح المستخدم وخادم الشركة مشفرة. في هذه الحالة ، لدى شركة الطيران مفتاحان: مفتوح ، يمكن للجميع الوصول إليه ، ومغلق ، وهو ما تعرفه فقط. لا يمكن فك تشفير الرسالة المشفرة بمفتاح عام إلا باستخدام مفتاح خاص ، ويمكن استخدام مفتاح خاص مشفر مع مفتاح عام. إذا كانت شهادة طبقة المقابس الآمنة (SSL) للشركة التي اختارها مسافرنا قد صدرت عن مركز توثيق صالح ، فإن متصفح Ani يتعرف عليها باعتبارها موثوقة (مصادقة) ويقوم بتشفير بياناتها باستخدام المفتاح العمومي. حتى لو اعترض المهاجم المعلومات التي تنقلها أنيا ، فلن يكون قادرًا على قراءتها ، لأنه لا يملك المفتاح الخاص لفك تشفيرها.

شهادات SSL موقعة ذاتيا

الحصول على شهادة طبقة مآخذ التوصيل الآمنة (SSL) ، بالطبع ، يكلف مالاً ، في حين أنه صالح لفترة محدودة من الوقت. لذلك ، يستخدم العديد من الأشخاص ما يسمى شهادات SSL الموقعة ذاتياً. يمكنك إنشاءها باستخدام لوحة تحكم الاستضافة مباشرة على خادم الويب ، ويمكنك القيام بذلك مجانًا. ومع ذلك ، لا ينصح دائمًا باستخدام شهادة موقعة ذاتيًا.

يتحقق أي مستعرض من إصدار الشهادة من قبل مرجع مصدق معروف لها ، وإذا لم يكن كذلك (وهذا هو حال الشهادة الموقعة ذاتيا) ، فإنه يعطي خطأ ويعرض علامة كبيرة تقول "شهادة أمان الموقع غير موثوق بها!".

بالتأكيد ستخيف هذه الرسالة عميلًا محتملاً من المورد ، وسيريد تركه ، وسيخسر مالك الموقع بدوره جزءًا كبيرًا من جمهوره. لذلك ، إذا كنا نتحدث عن المواقع ذات الكثافة المرورية المرتفعة أو المخازن عبر الإنترنت ، فمن غير المستحسن استخدام شهادات SSL الموقعة ذاتياً.

تكمن مثل هذه المخاطر في انتظار أي شخص لا يهتم باتصال https آمن. ومع ذلك ، فإن الشهادات الموقعة ذاتيا مناسبة تمامًا للاستخدام الداخلي: على سبيل المثال ، داخل مؤسسة صغيرة ، أضاف موظفوها شهادة إلى شهادات موثوق بها ، لأنهم يعرفون أصلها. كما أنها مناسبة عند استخدام خادم Apache عند تطوير التطبيقات واختبارها.

نقاط الضعف الأمنية مع شهادات SSL

عند الحديث عن شراء شهادة طبقة مآخذ توصيل آمنة (SSL) ، من المهم أن نفهم أنها ليست في حد ذاتها عصا سحرية ، بينما التلويح بها يخفف نفسك على الفور من جميع المشاكل المرتبطة بأمان الموقع. بغض النظر عن مدى تعقيد آليات تشفير التشفير ، فإن السلطة النهائية في البنية التحتية لشهادة طبقة المقابس الآمنة (SSL) لا تزال من الأفراد ، وبالتالي ، فإن جميع قضايا الثقة تعتمد على العامل البشري. لذلك ، في سبتمبر 2015 ، أصدرت Symantec ، عن طريق الخطأ لموظفيها ، 164 شهادة غير شرعية لـ 76 اسم نطاق. هناك لحظة حساسة أخرى تستخدم شهادات SSL وهي تخزين المفتاح السري: لا يمكنك إخفاءه في مكان آمن ، وعزله عن العالم الخارجي ، لأنه يُستخدم غالبًا في عملية اتصال HTTPS ، وهناك إمكانية لاختراق الخادم لاعتراض المفتاح الخاص. يمكن أن يكون مرتكب القرصنة شخصًا مرة أخرى - مسؤول الخادم الذي لم يتمكن من حماية الخادم لسبب ما. لذلك ، غالبًا ما يضع أصحاب المفاتيح الخاصة كلمات مرور عليها.

أنواع شهادات SSL

إذا قررت شراء شهادة طبقة مآخذ توصيل آمنة (SSL) من إحدى جهات إصدار الشهادات ، فيجب عليك معرفة المتغيرات الموجودة فيها. للوهلة الأولى ، من الصعب جدًا اختيار شهادة طبقة مآخذ توصيل آمنة (SSL) من بين الكثيرين الذين يمثلون في السوق اليوم: يمكن أن يصل فرق السعر إلى 100000 روبل ، وليس من الواضح دائمًا أيًا من إمكانيات شهادة معينة يحتاجها مشروعك حقًا. ومع ذلك ، يمكنك فهم ذلك باستخدام المعايير الأربعة الرئيسية التي يجب مراعاتها عند شراء شهادة SSL:

  1. درجة الثقة المطلوبة في المورد ؛
  2. عدد المجالات والنطاقات الفرعية التي تم شراء الشهادة من أجلها ؛
  3. نوع شهادة الحصول على الموضوع: شخص مادي أو اعتباري ؛
  4. حجم الفرص المالية للحصول على الشهادة.

سوف نفهم أولاً مع العنصر الأول.

يمكن تأكيد صحة المورد الخاص بك عن طريق ثلاث درجات مختلفة من التحقق منه. وفقًا لذلك ، هناك ثلاثة أنواع مختلفة من شهادة SSL تختلف في نوع التحقق من الصحة:

  • شهادات تؤكد ملكية المجال (التحقق من صحة المجال) ؛
  • شهادات تؤكد ، إلى جانب المجال ، الوجود القانوني للمنظمة (التحقق من صحة المنظمة) ؛
  • شهادات مع التحقق من الصحة الموسعة.

التحقق من صحة المجال

تؤكد شهادات DV فقط حقيقة أن صاحب الشهادة يمتلك حقًا هذا المجال وأنه أكثر أنواع شهادات SSL التي يمكن الوصول إليها. هذه الشهادات هي الأنسب للمنتديات والمواقع الصغيرة أو المدونات التي لا تضم ​​الكثير من الزوار.

شهادة SSL من هذا المستوى:

  • يوفر فقط المستوى الأولي من الحماية ؛
  • متاح للأفراد والكيانات القانونية ؛
  • لا يتطلب تقديم مستندات إضافية ؛
  • متاح في 5-10 دقائق ؛
  • سيكلف حوالي 1-4 ألف روبل في السنة.

التحقق من صحة المنظمة

شهادة OV تؤكد على حالة عمل المنظمة وتتسبب في زيادة ثقة المستخدم أكثر من شهادة DV. هذا النوع من الشهادات مناسب تمامًا لمتجر عبر الإنترنت وأعمال تجارية صغيرة أخرى عبر الإنترنت.

شهادة مستوى الحماية OV:

  • يوفر مستوى متوسط ​​من الحماية ؛
  • تصدر فقط للكيانات القانونية ؛
  • للتسجيل ، يجب عليك تقديم نسخ من وثائق المؤسسة ، وحساب شركة الهاتف بالاسم المحدد للمنظمة ورقم هاتف مالكها ؛
  • متاح في 1-5 أيام ؛
  • سيكلف من حوالي 4000 روبل إلى 50000 روبل في السنة.

تمديد الصلاحية

شهادات SSL المتقدمة هي الأكثر موثوقية ، ولكنها أيضًا الأكثر تكلفة. مناسب تمامًا لمنظمة كبيرة وخطيرة تكتسي أهمية المكانة والأمن فيها.

شهادة مستوى EV:

  • يوفر أعلى مستوى من الأمان وأعلى مستوى من الثقة بين شهادات SSL الأخرى.
  • تصدر فقط للكيانات القانونية ؛
  • المستندات الإضافية التالية مطلوبة للتسجيل: شهادة تسجيل ضريبية ، إشعار تسجيل كيان قانوني ، إشعار تسجيل كأمين ، وغيرها.
  • يدعم المجالات السيريلية.
  • متاح في 3-10 أيام.
  • سيكلف حوالي 10،000 إلى 100،000 روبل في السنة.

بعد التحقق من الفيلم الوثائقي ، يمكن للمزود أيضًا الاتصال برقم هاتف المؤسسة المعلن ، وبالتالي إكمال خطوة الفحص الإضافية. ولكن بعد المرور بكامل سير العمل هذا ، سيكون موقعك أعلى مستوى من الثقة ، كما هو موضح بالمقبس الأخضر مع اسم الشركة في شريط العناوين. وفقًا لذلك ، سيتمكن المستخدمون من تحديد حالة العمل العالية للشركة ، وعند النقر فوق اللوحة ، اكتشف معلومات كاملة عن المؤسسة. تُعد الشهادات من هذا النوع بمثابة حماية ممتازة ضد الخداع: نظرًا لمتطلبات التحقق الصارمة ، لن يتمكن المهاجمون من اجتياز جميع مراحل التحقق ، مما يؤدي إلى العثور على شهادات EV "وهمية" في حالات نادرة للغاية.

تسأل ما الشهادة لاختيار؟ كل هذا يتوقف على تركيز موقعك وميزانيتك. من المفيد أيضًا معرفة شهادات SSL التي يستخدمها شركاؤك أو المنافسون أو المواقع الأكبر. على سبيل المثال ، تستخدم خدمة معروفة لحجز الفنادق ostrovok.ru شهادة PositiveSSL Wildcard من Comodo ؛ يستخدم متجر wildberries.ru الشهير على الإنترنت شهادة SGC OV SSL Wildcard الخاصة بالحد الأقصى من الأمان. يستخدم موقع Tinkoff.ru شهادة SSL شهادة EV من مركز تسجيل Thawte.

نوصي المستخدمين بالتحقق من اسم الشركة بعناية ، حيث يمكن للمحتالين إنشاء مؤسسة "زائفة" تحمل اسمًا مشابهًا ويربطون شهادة SSL بها.

ماذا تفعل إذا كنت بحاجة إلى حماية نطاقات فرعية متعددة أو مجالات مختلفة على نفس الخادم؟

في هذه الحالة ، ستحتاج إلى شراء شهادة SAN (UCC) ، وهي مثالية للمشاريع متعددة المجالات ومنتجات MS Exchange. توجد شهادات Wildcard لحماية عدد قليل فقط من المجالات الفرعية. بشراء مثل هذه الشهادة ، فأنت لا توفر التشفير للنطاق الرئيسي فحسب ، ولكن أيضًا لعدد غير محدود من النطاقات الفرعية لنطاقات subdomain1.domain.com أو subdomain2.domain.com ، إلخ. ومع ذلك ، لا يصدر جميع مقدمي الشهادات شهادات Wildcard مع حماية النطاق الرئيسي ، لذلك قبل أن يستحق الأمر ، يجب إيلاء اهتمام خاص لهذا الأمر. على الرغم من أن المزايا الرئيسية لشهادة Wildcard هي الملاءمة والمدخرات (لا تحتاج إلى العناية بالشهادة لكل مجال فرعي ودفع ثمنها) ، إلا أنه في بعض الأحيان يكون من الأرخص شراء شهادات SSL منفصلة لكل نطاق فرعي ، خاصة إذا لم يكن هناك الكثير منها.

دعنا نجري مقارنة صغيرة بين أهم مزودي خدمة طبقة المقابس الآمنة: سيمانتيك وتاوت وكومودو. على الرغم من حقيقة أن جميع الشركات تبيع نفس المنتج تقريبًا ، إلا أن هناك اختلافات كبيرة في الخدمة. تمتلك سيمانتك أكبر ضمان ممتد ، حيث تصل إلى 1750،000 دولار. سيتم دفع هذا المبلغ كتعويض في حالة انتهاك Symantec لشروط الضمان. أيضًا ، تتمتع الشركة بحماية ضد الفيروسات ، والتي تقوم بإجراء المسح اليومي للصفحات على مضيفك من أجل اكتشاف البرامج الضارة. لكن تجدر الإشارة إلى أنهم يطلبون الكثير لهذه الوظيفة - لدى Symantec شهادات أغلى من جميع المراكز الثلاثة المقدمة. Comodo لديه شهادات أكثر بأسعار معقولة ، والتي تقدم أيضا خدمات فحص مكافحة الفيروسات وتحليل PCI. لا تقدم Thawte أي ميزات إضافية ولديها متوسط ​​سعر شهادة SSL.

أود أن أشير إلى أن غالبية مالكي الموقع اليوم يحصلون على شهادات SSL فورًا من مزودي الاستضافة. على الرغم من كونهم ، في الواقع ، وسطاء ، فإن سعر الشهادات ، على حساب أحجام المبيعات الكبيرة ، قد يكون أقل من سعر مركز الشهادات نفسه!

من المهم ملاحظة أن الشهادات ليست كلها تدعم IDN (أسماء النطاقات الدولية). يمكنك اختيار شهادة ذات نسبة جودة مثالية ، ولكن إذا قمت بشرائها لنطاق Cyrillic ، فليس من المناسب على الإطلاق أنها تناسبك. يمكن شراء شهادات SSL التي تدعم IDN من شركات مثل GlobalSign أو Thawte أو Comodo أو Symantec.

في الختام

عند اختيار شهادة طبقة المقابس الآمنة (SSL) ، لاحظ الشهادات التي اختارها منافسوك وفقط الشركات التي لديها منتج مماثل ، وعدد الجمهور وطريقة لتبادل المعلومات معها. لاحظ أيضًا أن المكافأة اللطيفة لشراء شهادة طبقة مآخذ توصيل آمنة (SSL) ستكون حقيقة أن المواقع التي لها اتصال HTTPS مرتبة في المرتبة الأعلى من بقية Google. بالإضافة إلى ذلك ، كما ذكرت Google مؤخرًا ، سيتم وضع جميع المواقع التي لا تحمل شهادات SSL وقبول كلمات المرور وأرقام بطاقات الائتمان على Google Chrome باعتبارها غير آمنة. هذا سبب آخر للتفكير في الحصول على شهادة طبقة مآخذ التوصيل الآمنة (SSL) ، خاصة وأن اليوم اتصال HTTPS أصبح في متناول المستخدمين أكثر من بضع سنوات مضت ، كما تقدم بعض الشركات عروضاً ترويجية مربحة وحتى تمنح شهادات كمكافأة.

شاهد الفيديو: حل مشكلة تعذر الإتصال بالخادم الوكيل (شهر اكتوبر 2019).

ترك تعليقك