الشهادات الجذرية والوسيطة – ما الفرق بينهما؟

آخر تحديث في بواسطة Dionisie Gitlan

للوهلة الأولى، تبدو شهادة SSL واضحة ومباشرة. تقوم بتثبيته على خادمك لتأمين بيانات زوارك الحساسة، ويعمل بشكل لا تشوبه شائبة حتى انتهاء صلاحيته. نادراً ما يتعمق معظم مالكي المواقع الإلكترونية في الجوانب التقنية لـ SSL/TLS.

فهي تتيح للمحترفين التعامل مع تكوين الشهادة وتجديدها. لن يهتم الكثيرون بالفرق بين الشهادات الجذرية والشهادات الوسيطة، ولكن إذا كنت تريد تثبيت شهادتك بنفسك، فيجب أن تعرف الآلية التي تقف وراء ذلك.

جدول المحتويات

  1. الشهادات الجذرية والوسيطة وشهادات الخادم
  2. البرامج الجذرية والمخازن الجذرية
  3. البنية التحتية للمفاتيح العامة
  4. التوقيعات الرقمية
  5. ما هي سلسلة الثقة في SSL؟
  6. ما هي شهادة SSL الجذرية؟
  7. ما هي شهادة SSL الوسيطة؟
  8. ما هي شهادة SSL للخادم؟
  9. ما الفرق بين الشهادة الجذرية والشهادة الوسيطة؟
  10. كيفية معرفة ما إذا كانت الشهادة جذرية أم وسيطة؟

الشهادات الجذرية والوسيطة وشهادات الخادم

المستخدمون الذين ليس لديهم خبرة مسبقة ويفضلون تثبيت شهادة SSL بأنفسهم سيكونون على موعد مع مفاجأة. في اللحظة التي يفتحون فيها مجلد أرشيف ZIP الذي أرسله المرجع المصدق (CA) عبر البريد الإلكتروني، لا يكتشفون ملفًا واحدًا، بل ملفين من ملفات SSL.

إحداهما شهادة الخادم الصادرة لنطاقك؛ والأخرى هي الشهادة الوسيطة، وأخيرًا، هناك أيضًا الشهادة الجذر. تربط الشهادة الوسيطة شهادة الخادم الخاص بك بالشهادة الجذر. وإجمالاً، يشكلان معاً سلسلة ثقة SSL. إذا كان أحد مكونات السلسلة مفقودًا، فلن تثق المتصفحات بشهادة SSL الخاصة بالخادم وستصدر تحذيرًا بشأن HTTPS.

انتظر، ماذا؟ شهادات الخادم، والشهادات الوسيطة، والشهادات الوسيطة، وشهادات الجذر، وسلسلة الثقة، كل ذلك كثير جدًا بالنسبة للمبتدئين. إذا كنت واحدًا منهم فلا تقلق، في هذه المقالة سنشرح لك الفرق بين الشهادات الجذرية والشهادات الوسيطة وسبب أهميتها لكيفية عمل SSL/TLS. لكن أولاً، بضع كلمات عن الهيكل الذي يجمعهم جميعاً معاً.

البرامج الجذرية والمخازن الجذرية

تعد شهادة الجذر عنصرًا حاسمًا في بنية SSL/TLS بأكملها، حيث إنها تتحقق من صحة شهادة المستخدم النهائي وتحافظ على كل شيء في مكانه. إن اختراق شهادة الجذر هو السيناريو الأسوأ، لأنه يعرض جميع الشهادات الوسيطة وشهادات الخادم للخطر.

لإدارة شهادات الجذر ومفاتيحها العامة بكفاءة وأمان أكبر، قامت شركات التكنولوجيا الرائدة بتطوير برامج جذر تتضمن، بالإضافة إلى اتباع إرشادات وقواعد صارمة، مخزنًا جذرًا.

يتضمن مخزن الجذر شهادات الجذر التي تم تنزيلها مسبقاً (ومفاتيحها العامة) التي تبقى على نظام تشغيل الجهاز أو برامج الطرف الثالث مثل متصفحات الويب. فيما يلي بعض الأمثلة على برامج الجذر الشائعة.

  • تفاحة
  • جوجل
  • موزيلا
  • مايكروسوفت

في حين لا تتطلب جميع البرامج الجذرية امتثالًا متطابقًا، إلا أنها تلتزم بدقة بالمتطلبات الأساسية لمنتدى CA/B.

البنية التحتية للمفاتيح العامة

البنية التحتية للمفاتيح العامة، أو PKI، هي أساس صناعة SSL، حيث إنها تنفذ العمليات المعقدة وراء إصدار الشهادات والتحقق من صحة المستخدم. تعمل المفاتيح العامة والخاصة معاً لتشفير وفك تشفير البيانات الحساسة عبر الشبكة.

تحتوي شهادات SSL على المفتاح العام، بينما يحتوي خادم الأصل على المفتاح الخاص. عندما تحاول المتصفحات الاتصال بالخوادم، تستخدم مصافحة SSL تشفير المفتاح العام لتحديد الخادم الأصلي وتبادل البيانات. إذا كانت شهادة SSL الخاصة بالموقع غير صالحة، فلن يكون الاتصال آمنًا. تعرف على المزيد حول شهادات SSL وكيفية عملها.

التوقيعات الرقمية

التوقيعات الرقمية هي توقيعات إلكترونية متقدمة تتطلب التحقق من الهوية عبر مفتاح أو شهادة مرتبطة بها. في سياق SSL، فكر فيها كشهادة رقمية.

كما سترى في مخطط سلسلة الثقة SSL، تقوم الشهادة الجذر بتوقيع الشهادة الوسيطة رقميًا وتمرر بعضًا من ثقتها إلى شهادة SSL الوسيطة. هذا الأخير موثوق به تلقائيًا لأن التوقيع يأتي مباشرة من الجذر.

يستخدم المتصفح المفتاح العام للتحقق من التوقيعات الرقمية ومصادقة شهادة الخادم (المستخدم النهائي). فهي تتحقق من كل شهادة ضمن سلسلة ثقة SSL حتى شهادة الجذر النهائية التي تأتي مثبتة مسبقاً في مخزن جذر المتصفح. إذا تمكن المتصفح من تحديد جميع شهادات السلسلة، فلن يثق بشهادة SSL الخاصة بك.

ما هي سلسلة الثقة في SSL؟

دعونا نعود إلى سلسلة الثقة وننظر إلى الصورة الكاملة. سلسلة ثقة SSL هي قائمة مرتبة من الشهادات التي تسمح للمستقبل (مستعرض ويب) بالتحقق من أن المرسل (خادمك الآمن) و CA موثوق به.

توضح الصورة أدناه كيفية عمل سلسلة الثقة:

رصيد الصورة: Yanpas – CC BY-SA 4.0

يمكنك أيضًا فحص ثقة سلسلة SSL المتسلسلة عن طريق النقر على قفل أي موقع ويب واختيار علامة التبويب مسار التصديق. إذا ألقيت نظرة على مسار شهادة SSL Dragon، سترى من الأعلى إلى الأسفل، الشهادة الجذر والشهادة الوسيطة وشهادة الخادم (يستخدم SSL Dragon شهادة Cloudflare SSL كجزء من خدمة CDN).

والآن بعد أن تعرفت على سلسلة الثقة، دعنا نأخذ كل عنصر ونضعه تحت المجهر.

ما هي شهادة SSL الجذرية؟

تقع شهادة SSL الجذر في أعلى التسلسل الهرمي للثقة وهي العمود الفقري للبنية التحتية للمفتاح العام. يتم توقيع شهادات SSL الجذرية من قبل المراجع المصدقة الموثوق بها. من الذي يقرر أي من المراجع المصدق جدير بالثقة؟ باختصار، المتصفحات والتطبيقات لأنها تتضمن مخزن جذر في حزمة التثبيت الخاصة بها.

المخزن الجذري هو قائمة بالشهادات الجذر الموثوق بها التي تم تنزيلها مسبقاً والموثوق بها من مختلف المراجع المصدقة (CAs). على سبيل المثال، إذا لم يتم تضمين شهادة جذر المرجع المصدق (CA) في مخزن جذر Google، فسيقوم Chrome بوضع علامة على موقع الويب الذي يستخدم المرجع المصدق المذكور على أنه غير آمن. يمكنك قراءة المزيد عن السلطات المصدقة ومن ينظمها.

تُستخدم الشهادة الجذر لإصدار شهادات أخرى. إذا سُرقت مفاتيح الجذر الخاصة، فسيقوم مجرمو الإنترنت بتزوير شهاداتهم الموثوقة. ونتيجة لذلك، يجب إبطال جميع الشهادات الحالية الموقعة من قبل المرجع المصدق (CA) المخترق. إذا حدث خطأ ما في الشهادة الجذر، تتم إزالة المرجع المصدق (CA) بسرعة من جميع المخازن الجذرية ويتوقف عن الوجود.

لتجنب ما لا يمكن تصوره، تستخدم المراجع المصدقة إجراءات أمنية صارمة. فهي تخزن مفتاح CA في وحدة أمان الأجهزة الفريدة من نوعها. وعلاوة على ذلك، فإن جهاز الحوسبة المادي موجود في قبو مغلق بأبواب وحراس من الصلب.

على عكس الشهادات التجارية، تتمتع شهادات الجذر بعمر افتراضي أطول بكثير. إليك فترة صلاحية Sectigo (المعروف سابقًا باسم Comodo CA) ECC. كما ترى تنتهي صلاحيته في عام 2038 البعيد.

ما هي شهادة SSL الوسيطة؟

إن إصدار شهادة SSL للمستخدم النهائي مباشرة من الشهادة الجذر أمر خطير للغاية. ولحماية أنفسهم بشكل أكبر، ابتكرت المراجع المصدقة (CAs) طبقة أخرى من الأمان – الشهادة الوسيطة.

يقوم المرجع المصدق المرجعي المصدق الجذري بتوقيع الجذر الوسيط باستخدام مفتاحه الخاص، وبدوره، يستخدم المرجع المصدق الوسيط مفتاحه الخاص لإصدار شهادات SSL للجمهور العام. حيث تعمل الشهادة أو الشهادات الوسيطة (تستخدم بعض المراجع المصدقة (CAs) عدة شهادات وسيطة بين الشهادة الجذر وشهادة المستخدم النهائي) كرابط ثقة.

تحتاجها المستعرضات لتحديد المرجع المصدق المرجعي المصدق الجذر وقبول شهادة الخادم. لهذا السبب قد يحتوي مجلد تثبيت SSL الخاص بك على شهادة وسيطة، إلى جانب شهادتك الأساسية. تتمتع الشهادات الوسيطة أيضًا بصلاحية أطول من شهادات SSL للمستخدم النهائي، على الرغم من أنها أقصر من صلاحية الشهادة الجذر.

ما هي شهادة SSL للخادم؟

يتم إصدار شهادة SSL للخادم، وتسمى أيضًا شهادة SSL الأساسية أو شهادة المستخدم النهائي، من قبل مرجع مصدق لاسم المجال الخاص بك. فهو يتحقق من ملكية النطاق، وبناءً على مستوى التحقق، يتحقق من الوضع القانوني للشركة.

يتم توقيع شهادات الخادم من الشهادات الوسيطة التي تأتي من الشهادات الجذرية. تتمتع شهادات SSL للخادم بصلاحية لمدة عام واحد وهي الشهادات التي يحصل عليها الجميع عند طلب SSL.

لتشفير موقعك الإلكتروني وتفعيل HTTPS، يجب عليك تثبيت شهادة SSL على خادمك. ومن هنا جاءت التسمية – شهادات SSL للخادم.

ما الفرق بين الشهادة الجذرية والشهادة الوسيطة؟

ترجع المقارنة بين الشهادة الجذرية والشهادة الوسيطة إلى موقعهما الهرمي في سلسلة الثقة. بدون شهادات الجذر أو المراجع المصدقة الجذرية، لن تكون هناك شهادات وسيطة أو شهادات خادم.

إليك ما يميز الشهادات الجذرية والشهادات الوسيطة عن الشهادات الوسيطة:

1. قيمتها الإجمالية

الشهادات الجذرية هي جوهر عملية إصدار SSL بأكملها. إذا تعرضت شهادة الجذر للاختراق، فقد يؤدي الاختراق إلى إفلاس المرجع المصدق الذي أصدرها. من ناحية أخرى، فإن الشهادات الوسيطة، على الرغم من أهميتها أيضًا، إلا أنها في نهاية المطاف مجرد وسيط ولها وزن أقل في سلسلة الثقة.

2. تسلسل التوقيع الرقمي

وتستخدم الشهادة الجذر المفتاح الخاص لتوقيع الشهادة الوسيطة، بينما تستخدم الشهادة الوسيطة نفس المفتاح لتوقيع الشهادات الوسيطة الأخرى وشهادة الخادم.

3. إجراءات الإصدار

يوقّع المرجع المصدق على الشهادة الجذر، والتي يتم تضمينها بعد ذلك في المخازن الجذرية للتطبيقات والبرامج المختلفة. ولحماية شهادات الجذر الخاصة بهم بشكل أفضل، تستخدم المراجع المصدقة (CAs) شهادات وسيطة للعمل كـ “وسيط” بين شهادات الجذر وشهادات الخادم.

4. العمر الافتراضي

تدوم الشهادات الجذرية لمدة تصل إلى 10 إلى 20 عامًا، بينما الشهادات الوسيطة لها صلاحية أقصر لأسباب أمنية. كلما تحركت عبر سلسلة الثقة، تتضاءل صلاحية SSL، حيث يبلغ عمر شهادات المستخدم النهائي سنة واحدة فقط.

5. بروتوكول التخزين

توجد الشهادات الجذرية في وحدة أمان أجهزة مضادة للرصاص، خلف أبواب ثابتة، وتحت إشراف حراسة على مدار الساعة طوال أيام الأسبوع. أما بالنسبة للشهادات الوسيطة، فيتم تخزينها على الخادم الخاص بك في دليل التثبيت.

كيفية معرفة ما إذا كانت الشهادة جذرية أم وسيطة؟

يمكنك معرفة الشهادة الجذر من الشهادة الوسيطة من خلال فحص الشهادة نفسها. إذا كان الحقلان ” تم الإصدار إلى” و” تم الإصدار بواسطة ” متطابقين، فهي شهادة جذر، حيث أن المرجع المصدق الصالح فقط هو الذي يمكنه إصدار جذور موثوق بها؛ وإلا فهي شهادة وسيطة.

هناك طريقة أخرى للتمييز بينهما وهي التحقق من مسار الشهادة. الشهادة، التي تظهر في أعلى القائمة، هي الشهادة الجذر، تليها الشهادات الوسيطة وشهادات الخادم. كما ذكرنا من قبل، تتمتع الشهادات الجذرية بأطول مدة صلاحية، لذا يمكنك أيضًا النظر إلى التواريخ عند مقارنة الشهادات الجذرية والوسيطة

الكلمات الأخيرة

نأمل أن يكون لديك الآن فهم كامل لما يجعل الشهادة الرقمية آمنة للغاية. بفهمك للفرق بين الشهادات الجذرية والشهادات الوسيطة تكون قد حللت لغز SSL/TLS. سلسلة الثقة SSL هي أحد الأسباب التي تجعل شهادات SSL منتشرة في كل مكان وفعالة. والآخر هو التشفير المتطور الذي يستحيل اختراقه حتى من قبل أذكى المخترقين.

الأسئلة المتداولة

كيفية الحصول على الشهادات الجذرية والوسيطة؟

عندما تطلب شهادة SSL، يقدم المرجع المصدق (CA) ملفات التثبيت في مجلد ZIP مؤرشف. ستجد بداخله شهادة الخادم التي تم إصدارها لنطاقك وملف حزمة CA Bundle الذي يحتوي على الشهادات الجذرية والوسيطة. قد تقوم بعض المراجع المصدقة (CAs) بإرسال الشهادات الجذرية والوسيطة في ملفات نصية منفصلة

نسخ الرابط

كيف يمكن تحديد الشهادات الجذرية والوسيطة؟

لا تحتاج إلى تحديد الشهادات الجذر والشهادات الوسيطة عند تكوين شهادة SSL الخاصة بك إذا كنت قد استلمتها داخل ملف حزمة CA Bundle. افتح الملف باستخدام أي محرر نصوص، وستلاحظ أن جميع الشهادات بالداخل بالترتيب الصحيح. إذا تلقيت الشهادات الجذرية والوسيطة في ملفات منفصلة، تحقق من اسم الملف، حيث يجب أن يتضمن كلمة “جذر” أو “وسيط” لسهولة التعرف عليه.

نسخ الرابط

كيف يتم الجمع بين الشهادات الجذرية والوسيطة؟

لدمج الشهادات الجذرية والشهادات الوسيطة، تحتاج إلى ربطها جميعًا (باستثناء شهادة الخادم) بترتيب التحقق. أسرع طريقة هي نسخ محتويات الشهادة الجذر ولصقها أسفل الشهادات الوسيطة. سيكون الملف المدمج بالترتيب التالي

  • الشهادة المتوسطة 1
  • الشهادة المتوسطة 2
  • شهادة الجذر لإكمال سلسلة الثقة.

نسخ الرابط

كيف يمكن إصلاح الشهادة الوسيطة أو الجذر المفقودة؟

إذا كانت الشهادة الجذر مفقودة، فإن الحل هو تنزيل المرجع المصدق المرجعي المصدق الموثوق به أولاً ثم محاولة تثبيت الشهادة مرة أخرى. لإصلاح خطأ فقدان الشهادة الوسيطة المفقودة، تأكد من اتباع جميع خطوات تثبيت SSL المطلوبة لخادمك، بما في ذلك تحميل الشهادات الوسيطة بالترتيب وتنسيق الملف الصحيحين.

نسخ الرابط

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

وفّر 10% الآن!
بقلم

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.

منشورات ذات صلة
ما هي حزمة المرجع المصدق (CA) في SSL وكيفية إنشائها؟
ما هو المرجع المصدق وكيف يعمل المراجع المصدقة (CAs)؟
ما هو سجل CAA وكيف يعمل؟
ما هو ضمان شهادة SSL وكيف يعمل؟
هل الشهادات الموقعة ذاتياً آمنة؟ What Are the Risks?