ما هو تدبيس OCSP وكيفية استخدامه؟

آخر تحديث في بواسطة Dionisie Gitlan

تعد شهادة SSL صالحة موقعة من مرجع مصدق موثوق به إلزامية اليوم لجميع مواقع الويب. إذا انتهت صلاحية شهادتك أو تم إبطالها، فلن تثق بها المتصفحات بعد الآن. تستخدم المتصفحات بروتوكول حالة الشهادة عبر الإنترنت (OCSP) لتحديد صلاحية شهادة SSL الخاصة بك. ومع ذلك، فإن نظام OCSP الأصلي به بعض أوجه القصور، والتي نجحت تقنية تدبيس OCSP في التغلب عليها.

في هذه المقالة، ستتعرف في هذه المقالة على ماهية تدبيس OCSP، وكيفية عمله، وسبب أهميته في إدارة SSL والبنية التحتية.

جدول المحتويات

  1. ما هو OCSP؟
  2. ما هو تدبيس OCSP؟
  3. كيفية عمل تدبيس OCSP
  4. ما هي مزايا تدبيس OCSP؟
  5. ما هي حدود تدبيس OCSP؟
  6. ما هي المتصفحات التي تدعم تدبيس OCSP؟
  7. كيف تتحقق مما إذا كان الخادم لديك ممكّنًا لتدبيس OCSP؟
  8. كيفية تمكين تدبيس OCSP؟

ما هو OCSP؟

بعبارات بسيطة، فإن OCSP هي طريقة لجهازك (المحمول أو سطح المكتب) للتحقق مما إذا كانت الشهادة الرقمية التي يستخدمها موقع ويب ما زالت صالحة.

تعمل شهادات SSL على تأمين مواقع الويب والمعاملات عبر الإنترنت من خلال التحقق من هويتها وتشفير البيانات المتبادلة بين متصفحات المستخدم وخوادم الموقع. ومع ذلك، فإن جميع الشهادات الموثوقة لها تاريخ انتهاء صلاحية. وعلاوة على ذلك، يمكن إبطالها خلال الحوادث الأمنية الحرجة ولا يمكن الوثوق بها.

وهنا يأتي دور OCSP. عند زيارة موقع ويب باستخدام HTTPS، سيتحقق متصفحك من المرجع المصدق (CA) لموقع الويب لمعرفة ما إذا كانت الشهادة لا تزال صالحة.

تحدث هذه العملية في الخلفية، وإذا لم تعد الشهادة صالحة، سيعرض المتصفح رسالة تحذير لتنبيهك إلى مخاطر أمنية محتملة.

ما هو تدبيس OCSP؟

تدبيس OCSP عبارة عن تقنية تعمل على تحسين أداء وأمان بروتوكول حالة الشهادة عبر الإنترنت (OCSP) الذي يقوم مستعرض الويب بتنفيذه للتحقق من صحة شهادة SSL الخاصة بموقع الويب.

من خلال تدبيس OCSP، يحصل خادم موقع الويب على استجابة OCSP من المرجع المصدق و”يدبِّسها” بشهادة SSL أثناء عملية مصافحة SSL. يتم بعد ذلك إرسال الاستجابة المدبسة إلى المستعرض مع الشهادة، مما يلغي الحاجة إلى قيام المستعرض بإجراء فحص OCSP منفصل.

ما هو OCSP Must-Staple؟

OCSP Must-Staple هو ملحق أمان يمكن إضافته إلى شهادة SSL لضمان التحقق من حالة الشهادة في كل مرة يتم فيها زيارة موقع ويب. عندما يتم تمكين OCSP Must-Staple للشهادة، يُطلب من خادم موقع الويب أن يحصل العميل على OCSP أساسي OCSP كلما تلقى شهادة SSL.

إذا لم يتمكن الخادم من الحصول على استجابة صالحة أثناء التحقق من حالة الشهادة، فلن يتم تحميل الموقع الإلكتروني. يساعد هذا الأمر في منع المهاجمين من استخدام الشهادات التي تم إبطالها لانتحال شخصية المواقع الإلكترونية أو اعتراض البيانات الحساسة.

كيف يختلف تدبيس OCSP عن CRLs؟

يتم استخدام تدبيس OCSP وقوائم إبطال الشهادات (CRLs ) للتحقق من حالة إبطال شهادات SSL. ومع ذلك، فإنها تعمل وتؤثر على عملية مصافحة SSL بشكل مختلف.

قوائم إبطال الشهادات (CRLs) هي مستودعات تحتوي على قائمة بالشهادات التي تم إبطالها. عندما يتصل العميل بخادم عبر SSL، يرسل الخادم شهادته الرقمية إلى العميل.

ثم يتحقق العميل بعد ذلك من حالة إبطال الشهادة عن طريق تنزيل سجل سجلات تسجيل الشهادات (CRL) من مستودع جهة إصدار الشهادة ومقارنة الرقم التسلسلي للشهادة بقائمة الشهادات التي تم إبطالها. إذا كانت الشهادة موجودة في سجل سجل المعاملات الموحد (CRL)، سيرفض العميل الشهادة وينهي المصافحة.

من ناحية أخرى، فإن تدبيس OCSP هو آلية تسمح للخادم بتوفير استجابة OCSP (بروتوكول حالة الشهادة عبر الإنترنت) موقعة ومختومة بالوقت مع شهادته الرقمية أثناء طلب حالة الشهادة.

ونظراً لأنه يحتوي بالفعل على حالة إبطال الشهادة، يحتاج العميل إلى التحقق من مستجيب OCSP فقط الذي يوفره الخادم مباشرةً بدلاً من تنزيل سجل سجل سجلات تسجيل الشهادات (CRL) والتحقق من حالة الشهادة مقابل قائمة الشهادات التي تم إبطالها.

ما أهمية تدبيس OCSP؟

عند الوصول إلى موقع ويب HTTPS، يتحقق المتصفح من حالة الشهادة الرقمية الخاصة بك. لتأكيد أن شهادتك لا تزال صالحة، يستخدم المتصفح OCSP للاتصال بجهة الإصدار، أي المرجع المصدق. نظرًا لأن المرجع المصدق (CA) هو الكيان الوحيد الذي يحتفظ بمعلومات مهمة حول شهادة SSL، يجب أن يجيب على عدد كبير من طلبات OCSP في الوقت الفعلي، خاصة من مواقع الويب ذات حركة المرور العالية.

من الناحية المالية، هذه ممارسة مستهلكة من حيث التكلفة بالنسبة إلى المرجع المصدق (CA)، ولكن المستخدمين النهائيين يتأثرون أيضًا لأن استجابات OCSP المتعددة تبطئ سرعة التحميل. باستخدام OCSP العادي، يتعين على المستعرضات الاستفسار عن الشهادة من خادم الويب والمرجع المصدق. يعمل تدبيس OCSP على تبسيط العملية برمتها.

كيفية عمل تدبيس OCSP

كما تعلم بالفعل، عندما يتصل المتصفح بموقع ويب آمن، يجب أن يتصل بخوادم OCSP التابعة للمرجع المصدق للتحقق من صلاحية شهادة SSL. قد تؤدي هذه العملية إلى تأخير وقت تحميل الصفحة، حيث يتعين على المتصفح انتظار استجابة خادم OCSP.

يعمل تدبيس OCSP على تحسين بروتوكول OCSP من خلال السماح لخادم الويب بدلاً من المستعرض بالاستعلام من المرجع المصدق (CA) عن حالة شهادة SSL. عندما يتصل خادم الويب بمورّد SSL، يقدم المرجع المصدق (CA) استجابة آمنة للغاية ومختومة رقمياً وموقوتة رقمياً. والآن، عندما يتصل خادم الويب بمتصفح، فإنه يربط الطابع الزمني الموقّع بشهادة SSL، مما يجعل عملية التحقق أسرع. فبدلاً من الوصول إلى المرجع المصدق (CA)، يتحقق المتصفح من الطابع الزمني للخادم، وبما أنه يشكل مرجعاً مصدقاً موثوقاً به، فإنه يثق بالشهادة.

ما هي مزايا تدبيس OCSP؟

يوفر OCSP Stapling العديد من المزايا، ولكن المزايا الرئيسية هي تعزيز الأمان وتحسين الأداء وتقليل حركة مرور الشبكة.

  • أمان معزز. يمنع تدبيس OCSP هجمات الأمان التي قد تحدث بسبب الشهادات التي تم إبطالها. تضمن الاستجابة المدبّسة حصول العميل على أحدث حالة إبطال شهادة، مما يقلل من مخاطر هجمات الاختراق وغيرها من الثغرات الأمنية القائمة على الشهادات.
  • أداء محسّن. يعمل تدبيس OCSP على تحسين الأداء من خلال تقليل وقت الاستجابة المرتبط بعمليات التحقق من إبطال الشهادات. وبدلاً من أن يحتاج العميل إلى الاستعلام عن خادم OCSP الخاص بـ CA مباشرة، يمكن للخادم توفير استجابة مدبسة في مصافحة SSL، مما يقلل من رحلات الذهاب والإياب ويسرع من إنشاء الاتصال.
  • انخفاض حركة مرور الشبكة. من خلال الاستغناء عن الحاجة إلى الاتصال بخادم OCSP الخاص بـ CA مباشرة، يمكن أن يؤدي تدبيس OCSP إلى تقليل حركة مرور الشبكة وحمل الخادم بشكل كبير. يمكن أن يساعد ذلك في تحسين قابلية توسع الموقع الإلكتروني وموثوقيته، خاصةً خلال فترات الازدحام الشديد.

ما هي حدود تدبيس OCSP؟

على الرغم من أن تدبيس OCSP يوفر العديد من الفوائد، إلا أن له قيودًا وعيوبًا محتملة. إليك بعضاً منها:

  • المخاطر الأمنية المحتملة. يتضمن تدبيس OCSP إرسال معلومات حساسة بنص واضح عبر الشبكة، مما قد يؤدي إلى مخاطر أمنية محتملة. على سبيل المثال، قد يتمكن المهاجم من اعتراض الاستجابة المدبسة وتعديلها، مما يؤدي إلى شعور زائف بالأمان لدى العميل.
  • الاعتماد على المرجع المصدق. يتطلب تدبيس OCSP حصول خادم الويب على الاستجابة المدبسة من خادم OCSP الخاص بالمرجع المصدق. إذا كان خادم OCSP الخاص بـ CA معطلاً أو يواجه مشاكل، فلن يوفر خادم الويب استجابة تدبيسة صالحة.
  • مشكلات التخزين المؤقت. يتم تخزين استجابات تدبيس OCSP مؤقتًا من قبل العملاء والخوادم، مما قد يؤدي إلى حدوث مشاكل إذا لم يتم تحديث ذاكرة التخزين المؤقت بانتظام. إذا تم إبطال إحدى الشهادات بعد أن يتم تخزين استجابة التدبيس مؤقتاً، فقد يظل العميل يثق بالشهادة حتى يتم تحديث ذاكرة التخزين المؤقت.

ما المتصفحات التي تدعم تدبيس OCSP؟

تدعم معظم متصفحات الويب الحديثة مثل كروم وفايرفوكس وسفاري ومايكروسوفت إيدج تدبيس OCSP. ومع ذلك، قد لا تدعمه بعض المتصفحات الأقدم أو الأقل استخدامًا، أو قد يختلف مستوى الدعم بناءً على الإصدار والتكوين المحددين.

كيف تتحقق مما إذا كان الخادم لديك ممكّنًا لتدبيس OCSP؟

يمكنك استخدام أداة متصلة بالإنترنت أو أداة مساعدة لسطر الأوامر مثل OpenSSL لاختبار ما إذا كان الخادم قد قام بتمكين تدبيس OCSP افتراضيًا. تعتمد الخطوات الدقيقة للقيام بذلك على نوع الخادم الذي تستخدمه. في القسم التالي، سنقدم إرشادات حول كيفية التحقق من حالة تدبيس OCSP وتمكينه على ويندوز و Apache و Nginix.

كيفية تمكين تدبيس OCSP؟

فيما يلي، قمنا بتوفير إرشادات لتمكين تدبيس OCSP على خوادم Windows و Apache و Nginx الشهيرة دائمًا.

تمكين تدبيس OCSP على نظام التشغيل Windows

يتم تمكين تدبيس OCSP بشكل افتراضي على Windows Server 2008 والإصدارات الأحدث. إذا كنت تقوم بتشغيل إصدار سابق من Windows Server، فإن تمكين تدبيس OCSP غير ممكن. يرجى التحديث إلى Windows 2008 أو أحدث.

تمكين تدبيس OCSP على Apache

يدعم Apache تدبيس OCSP بدءًا من خادم الويب Apache HTTPD 2.3.3+. إذا كنت لا تعرف الإصدار الذي تقوم بتشغيله، فاستخدم الأوامر التالية:

أباتشي2 -v
httpd -v

بعد ذلك، تحقق مما إذا كان OCSP ممكّنًا. اتبع الخطوات التالية:

  1. في OpenSSL، أدخل الأمر التالي:

    opensl.exe s_client -connect [yourdomain .com]:443 -status

    إذا تم تمكين OCSP، ستتلقى الاستجابة التالية في قسم بيانات استجابة OCSP: “حالة استجابة OCSP: ناجح (0x0)”. إذا لم يتم تمكين OCSP، فلن ترى أي بيانات استجابة OCSP. في هذه الحالة، تأكد من تثبيت الشهادة الوسيطة بشكل صحيح.
  2. تحقق مما إذا كان خادم Apache الخاص بك قد اتصل بنجاح بخادم OCSP. قم بتشغيل الأمر أدناه:

    تجعيد ocsp.digicert.com/ping.html
  3. لتمكين تدبيس OCSP، تحتاج إلى تحرير ملف تكوين المضيف الظاهري لموقعك (your-domain.com-ssl.conf) باستخدام المحرر الذي تختاره. يتواجد ملف التكوين عادةً في الدليل التالي: إلخ/APACHI2/sites-available/your-domain.com-ssl.conf
  4. افتح الملف وقم بإجراء التغييرات التالية:
    • أضف الأسطر التالية داخل العلامات <VirtualHost>:

      تدبيس SSLUseStapling على
      مهلة الرد على SSLStaplingResponderTimeout 5
      إيقاف تشغيل SSLStaplingStaplingReturnReturnResponderErrors
    • أضف سطراً داخل العلامات يشير إلى ملف سلسلة الشهادات الموثوق بها. يجب أن يحتوي هذا على الشهادات الوسيطة والجذرية بالترتيب:

      SSLCACertificateملف /etc/apache2/ssl/full_chain.pem
    • أضف السطر التالي خارج علامات <VirtualHost>:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. اختبر التكوين الخاص بك:

    Apachectl -t
  6. أعد تشغيل خادم Apache

    إعادة تشغيل apachectl

تمكين تدبيس OCSP على NGINX

يتوفر تدبيس OCSP على NGINX 13,7 أو أحدث. تحقق من إصدار خادم الويب NGINX الخاص بك:
نغينكس-ف

استخدم سطور أوامر تدبيس OpenSSL OCSP التالية:

  1. تحقق مما إذا تم تمكين تدبيس OCSP. في OpenSSL، قم بتشغيل الأمر التالي:

    opensl s_client -connect [yourdomain .com]:443 -status
  2. إذا تم تمكين OCSP، يجب أن يقول قسم بيانات استجابة OCSP: حالة استجابة OCSP: ناجح (0x0)
  3. إذا لم يتم تمكينه، فلن ترى أي بيانات استجابة OCSP. إذا لم تتلق تأكيداً بتمكين OCSP، استخدم دليل استكشاف الأخطاء وإصلاحها هذا.
  4. لتمكين تدبيس OCSP، قم أولاً بتحرير ملف تكوين كتلة الخادم لموقعك (أو nginx.conf إذا لم يتم استخدام كتل الخادم):

    nano / netc/nginx/sites-enabled/my-domain.com-ssl.conf

    أو

    nano / netc/nginx/nginx.conf

    ملاحظة: إذا كنت بحاجة إلى تمكين تدبيس OCSP على كتلة خادم واحد فقط، فيجب أن يكون “الخادم_الافتراضي”. إذا كنت بحاجة إلى تمكينه على عدة كتل خوادم، فيجب تمكينه على “الخادم_الافتراضي” أولاً. ثم يمكن تمكينه على أي كتلة خادم أخرى.
  5. قم بتشغيل تدبيس OCSP وتمكين الخادم من التحقق من تدبيس OCSP عن طريق إضافة سطرين داخل كتلة الخادم:

    ssl_stapling على;
    ssl_stapling_verify على;
  6. الإشارة إلى ملف سلسلة الشهادات الموثوق بها الذي يحتوي على الشهادات الوسيطة والجذرية بالترتيب:

    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
  7. تحقق من التكوين الخاص بك:

    sudo service nginx configtest
  8. أعد تشغيل NGINX:

    إعادة تحميل خدمة sudo service nginx

الخاتمة

يعد تدبيس OCSP إضافة مفيدة أخرى إلى قائمة ملحقات SSL/TLS المتزايدة باستمرار. مع تطور الويب، تتطور تقنية إدارة الشهادات أيضاً. من خلال تضمين استجابة موقعة رقميًا في المصافحة الأولية، يتجنب الخادم الحاجة إلى استعلام العملاء عن مستجيب OCSP الخاص بـ OCSP، مما يقلل من وقت الاستجابة والمخاوف المحتملة المتعلقة بالخصوصية.

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

وفّر 10% الآن!
بقلم

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.

منشورات ذات صلة
كيفية التحقق من الشهادة باستخدام أوامر OpenSSL في لينكس؟
ما هو OpenSSL؟ How Does OpenSSL Work?
شرح المنفذ 443: ما هو ولماذا تستخدمه
المنفذ 443 مقابل 80: كيف يختلفان؟
ما هو PFS في الأمن السيبراني؟ Perfect Forward Secrecy Explained