إنّ مفهومَي البروتوكول والمصطلحات هما من العقبات التي يواجهها المطوّرون عند نقل البيانات إلى HTTPS. يقدّم هذا الدليل نظرة عامة موجزة حول كليهما.
ملخّص
- استخدام مفاتيح عامة/خاصة لتوقيع الرسائل وفك تشفيرها بين المتصفّح والخادم
- مرجع التصديق هو مؤسسة تضمن عملية الربط بين المفاتيح العامة وأسماء نظام أسماء النطاقات العامة (مثل "www.foobar.com").
- طلب توقيع الشهادة (CSR) هو تنسيق بيانات يجمع مفتاحًا عامًا مع بعض البيانات الوصفية عن الكيان الذي يملك المفتاح.
ما هي مفتاحَي التشفير العام والخاص؟
مفتاح التشفير العام/المفتاح الخاص هو زوج من الأرقام الكبيرة جدًا التي يتم استخدامها كمفتاحَي التشفير وفك التشفير، وتشتركان في علاقة رياضية خاصة. من الأنظمة الشائعة لمفاتيح التشفير نظام التشفير RSA. يُستخدَم المفتاح العمومي لتشفير الرسائل، ولا يمكن فك تشفيرها إلا باستخدام المفتاح الخاص المقابل. يُعلِن خادم الويب عن مفتاحه العام للجميع، ويستخدم العملاء (مثل متصفّحات الويب) ذلك لبدء قناة آمنة مع خادمك.
ما هو مرجع التصديق؟
مرجع التصديق (CA) هو مؤسسة تضمن التعيين بين المفاتيح العامة وأسماء نظام أسماء النطاقات العامة (مثل "www.foobar.com"). على سبيل المثال، كيف يمكن للعميل معرفة ما إذا كان مفتاح عام معيّن هو المفتاح العام الحقيقي لعنوان www.foobar.com؟ لا يمكن معرفة ذلك بشكل مسبق. تضمن هيئة إصدار الشهادات أنّ مفتاحًا معيّنًا هو المفتاح الصحيح لموقع إلكتروني معيّن باستخدام مفتاحها الخاص لتوقيعه cryptographically باستخدام المفتاح العام للموقع الإلكتروني. لا يمكن إنشاء هذا التوقيع من الناحية الحسابية. تحافظ المتصفّحات (والعملاء الآخرون) على مخازن نقاط الثقة التي تحتوي على المفاتيح العامة التي تملكها هيئات إصدار الشهادات المعروفة، وتستخدم هذه المفاتيح العامة للقيام بالتحقّق من التوقيعات باستخدام التشفير التي تُصدرها هيئات إصدار الشهادات.
شهادة X.509 هي تنسيق بيانات يجمع مفتاحًا عامًا معًا مع بعض البيانات الوصفية عن الكيان الذي يملك المفتاح. في ما يتعلّق بالويب، يكون مالك المفتاح هو مشغّل الموقع الإلكتروني، وتكون البيانات الوصفية المهمة هي اسم DNS لخادم الويب. عندما يتصل عميل بخادم ويب يستخدم بروتوكول HTTPS، يقدّم خادم الويب شهادته للعميل للتحقّق منها. يتحقق العميل مما يلي: أنّ الشهادة لم تنته صلاحيتها، وأنّ اسم نظام أسماء النطاقات يتطابق مع اسم الخادم الذي يحاول العميل الاتصال به، وأنّ هيئة إصدار الشهادات الموثوق بها قد signed signed الشهادة. في معظم الحالات، لا توقع هيئات إصدار الشهادات شهادات خادم الويب مباشرةً، بل تكون هناك عادةً سلسلة من الشهادات تربط مرجع الثقة بأحد التوقيعات الوسيطة أو أكثر، ثم بشهادة خادم الويب (الكيان النهائي).
ما هو طلب توقيع الشهادة؟
طلب توقيع الشهادة (CSR) هو تنسيق بيانات يجمع بين مفتاح عام وبعض البيانات الوصفية عن الكيان الذي يملك المفتاح، تمامًا مثل الشهادة. ومع ذلك، لا يفسّر العملاء طلبات الحصول على شهادة مفتاح مصدق، بل تفعل ذلك هيئات إصدار الشهادات. عندما تسعى إلى أن تقدّم هيئة إصدار الشهادات ضمانًا للمفتاح العام لخادم الويب، عليك إرسال طلب الحصول على شهادة مفتاح مصدق إلى هيئة إصدار الشهادات. تُجري هيئة إصدار الشهادات عملية التحقّق من المعلومات الواردة في طلب توقيع الشهادة وتستخدمها لإنشاء شهادة. بعد ذلك، ترسل لك هيئة إصدار الشهادات الشهادة النهائية، ويمكنك تثبيت هذه الشهادة (أو سلسلة الشهادات على الأرجح) ومفتاحك الخاص على خادم الويب.