هناك عقبتان يواجههما المطوّرون عند الانتقال إلى HTTPS، هما المفاهيم والمصطلحات. يقدم هذا الدليل نظرة عامة مختصرة على كليهما.
ملخّص
- استخدام مفاتيح عامة/خاصة لتوقيع الرسائل وفك تشفيرها بين المتصفح والخادم.
- مرجع التصديق (CA) هو مؤسسة تضمن عملية الربط بين المفاتيح العامة وأسماء نظام أسماء النطاقات العامة (مثل "www.foobar.com").
- طلب توقيع الشهادة (CSR) هو تنسيق بيانات يجمع مفتاحًا عامًا مع بعض البيانات الوصفية حول الكيان الذي يملك المفتاح.
ما أزواج المفاتيح العامة والخاصة؟
زوج المفتاح العام/الخاص هو عبارة عن زوج من الأرقام الكبيرة جدًا المستخدمة كمفاتيح تشفير وفك التشفير، وتشترك في علاقة رياضية خاصة. نظام تشفير RSA هو النظام المشترك لأزواج المفاتيح. يُستخدم المفتاح العام لتشفير الرسائل، ولا يمكن فك تشفير الرسائل بشكل مجد إلا باستخدام المفتاح الخاص المقابل. يُعلن خادم الويب عن مفتاحه العام للعالم، ويستخدمه العملاء (مثل متصفحات الويب) لإعداد قناة آمنة إلى خادمك.
ما هو مصدر الشهادة؟
هيئة إصدار الشهادات (CA) هي مؤسسة تضمن عملية الربط بين المفاتيح العامة وأسماء نظام أسماء النطاقات العامة (مثل "www.foobar.com"). على سبيل المثال، كيف يمكن للعميل معرفة ما إذا كان مفتاح عام معيّن هو المفتاح العام الصحيح لموقع www.foobar.com؟ بداهة، لا توجد طريقة لمعرفة. يضمن مصدر الشهادة أنّ مفتاحًا معيّنًا هو المفتاح الحقيقي لموقع إلكتروني معيّن من خلال استخدام مفتاحه الخاص لتوقيع المفتاح العام للموقع الإلكتروني بشكل مشفّر. لا يمكن تزييف هذا التوقيع من الناحية الحسابية. تحتفظ المتصفّحات (والبرامج الأخرى) بمتاجر موثوق بها تحتوي على المفاتيح العامة التي تملكها مراجع التصديق المعروفة، وتستخدم هذه المفاتيح العامة لإثبات ملكية توقيعات هيئة إصدار الشهادات (CA) بطريقة تشفيرية.
شهادة X.509 هي تنسيق بيانات يجمع مفتاحًا عامًا مع بعض البيانات الوصفية حول الكيان الذي يملك المفتاح. في حالة الويب، يكون مالك المفتاح هو مشغّل الموقع، والبيانات الوصفية المهمة هي اسم نظام أسماء النطاقات لخادم الويب. عندما يتصل عميل بخادم ويب HTTPS، يعرض خادم الويب شهادته للعميل لكي يتحقق منها. يتحقّق العميل من عدم انتهاء صلاحية الشهادة، ومن تطابق اسم نظام أسماء النطاقات مع اسم الخادم الذي يحاول العميل الاتصال به، ومن أنّ مرجع تصديق موثوق به وقّع الشهادة. وفي معظم الحالات، لا توقّع مراجع التصديق شهادات خادم الويب مباشرةً، وعادةً ما تكون هناك سلسلة من الشهادات تربط مرساة الثقة بموقِّع وسيط أو موقِّع وسيط، وأخيرًا بالشهادة الخاصة بخادم الويب (الكيان النهائي).
ما المقصود بطلب توقيع الشهادة؟
طلب توقيع الشهادة (CSR) هو تنسيق بيانات، مثل الشهادة، يضم مفتاحًا عامًا مع بعض البيانات الوصفية عن الكيان الذي يملك المفتاح. على الرغم من ذلك، لا يفسّر العملاء طلبات CSR، بل يفسّرون المراجع المصدقة. عندما تسعى إلى الحصول على كفالة مرجع تصديق للمفتاح العام لخادم الويب الخاص بك، فإنك ترسل إلى مرجع تصديق الشهادة (CSR). يتحقق هيئة إصدار الشهادات (CA) من المعلومات الموجودة في CSR ويستخدمها لإنشاء شهادة. بعد ذلك يرسل إليك مرجع التصديق الشهادة النهائية، وتقوم بتثبيت تلك الشهادة (أو على الأرجح، سلسلة شهادات) ومفتاحك الخاص على خادم الويب الخاص بك.