إن كنت من أحد مالكي المواقع على شبكة الإنترنت، فمن الأغلب أنك قد سمعت بمصطلح شهادة الامان SSL أو ربما تملك إحداها في الوقت الراهن، أما إن كانت جميع معلوماتك مرتبطةً ببعض المصطلحات التي سبق وسمعت بها، فلا بد أنك تتساءل عن ماهية هذه الشهادات وعملها وفائدتها.

ما هي شهادة الامان SSL

إن SSL اصطلاحٌ لشهادة طبقة المقابس الآمنة، وهي عبارةٌ عن تقنية أمانٍ قياسيةٍ عالمية تمثل ملفًا من البيانات يثبت على المخدم، ويتيح الاتصال الآمن بين المخدم ومتصفح الإنترنت من خلال توفير الاتصال المشفر بينهما. وتستخدم الشركات والأفراد المختلفة هذه الشهادات في تشفير عمليات نقل البيانات ومعالجة عمليات تسجيل الدخول، واستضافة المواقع المختلفة وغيرها من المعلومات الحساسة كأسماء المستخدمين، وكلمات السر ورسائل البريد الإلكتروني، والعديد من المعلومات الأخرى بهدف حمايتها من المتسللين والمخترقين.

تقدم هذه الشهادات خدمتي المصادقة على هوية الموقع، مما يضمن للزوار التأكد من مصداقية الموقع وتجنبهم للمواقع الوهمية، بالإضافة إلى عملية تشفير البيانات المرسلة.1

أنواع شهادات SSL

تختلف أنواع شهادة الامان SSL استنادًا إلى عدد النطاقات والنطاقات الفرعية المرتبطة بها، فتتوافر أنواعٌ للنطاقات الفردية الكاملة، وأنواعٌ تغطي نطاقًا واحدًا وعددًا غير محدودٍ من النطاقات الفرعية، كما تتوافر تلك التي تخدم المواقع متعددة النطاقات التي تؤمن أسماء نطاقاتٍ متعددة.

أما بالنسبة إلى مستوى التحقق المطلوب فتؤمن شهادة الامان SSL ثلاثة مستوياتٍ مختلفةٍ هي:

  1. التحقق من صحة النطاق Domain Validation (DV): مستوى الأمان هذا هو الأقل تكلفةً، ويغطي التشفير الأساسي والتحقق من ملكية تسجيل اسم النطاق. ويستغرق هذا النوع من الشهادات عادةً بضع دقائق إلى عدة ساعاتٍ لتصدر بعد إرسال الطلب.
  2. التحقق من صحة المؤسسة Organization Validation (OV): بالإضافة إلى عملية التشفير الأساسية والتحقق من ملكية تسجيل اسم النطاق، تتم المصادقة على تفاصيلٍ معينةٍ للمالك كالاسم والعنوان. وعادةً تستغرق هذه الشهادات بضع ساعاتٍ إلى عدة أيامٍ لتصدر.
  3. التحقق الموسّع Extended Validation (EV): يوفر هذا المستوى أعلى درجات الأمان بسبب الفحص الشامل الذي يتم إجراؤه قبل إصدار الشهادة. وتستغرق هذه الشهادات مدةً تتراوح بين عدة أيامٍ إلى عدة أسابيع لتصدر.2

كيف تعمل شهادات SSL

تعمل شهادة الامان SSL كأداة وصلٍ بين زوار الموقع والموقع؛ فتؤمن آليةً قياسيةً لتشفير البيانات الممررة بين الزائر والمتصفح بحيث لا يمكن لأي شخصٍ غير مصرحٍ به الوصول إلى المعلومات واختراقها والتجسس عليها. مما يمنع مجرمي الإنترنت من تحويل حركة تصفح الزوار وبياناتهم إلى مواقعهم الخاصة باستخدام خوارزميات تشفيرٍ معينةٍ، الأمر الذي قد يوصلهم إلى المعلومات الخاصة بالمستخدمين كعناوين البريد الإلكتروني أو أرقام بطاقات الائتمان وغيرها.

لتقوم بتمكين الشهادة ينبغي تثبيتها على المخدم ثم الاتصال بالإنترنت ليقوم مستعرض الإنترنت بالاتصال بالخادم ومشاهدة الشهادة وبدء الاتصال من خلالها. بعد بدء عملية الاتصال يتم تشفير أي معلوماتٍ يتم تمريرها بين المستعرض والخادم.

حيث إنه وبعد تحقق المستعرض من وجود الشهادة يرسل المخدم كافة المعلومات الضرورية بما فيها نوع الشهادة ومستوى التشفير المراد استخدامه، وتبدأ عملية الاتصال باستخدام عمليةٍ تدعى مصادقة SSL. إذ تستخدم ثلاثة مفاتيح أساسية في إعداد الاتصال وهي المفاتيح العام والخاص ومفتاح الجلسة. فيتم فك تشفير أي بياناتٍ مشفرةٍ باستخدام المفتاح العام بواسطة المفتاح الخاص فقط وبالعكس.

ونظرًا لأن عملية التشفير باستخدام المفتاحين العام والخاص تتطلب الكثير من طاقة المعالجة، لذا تستخدم فقط أثناء عملية تعارف SSL لإنشاء مفتاح جلسة العمل. وبعد إجراء الاتصال الآمن، يستخدم مفتاح الجلسة لتشفير كافة البيانات المرسلة. لتضيف بذلك شهادة الامان SSL مستوى إضافيًا من الأمان بين المستعرض والمخدم.

يرسل المخدم نسخةً من الشهادة بما فيها المفتاح العمومي للمخدم، ويتحقق المستعرض من الشهادة وصلاحيتها، فإن كانت صالحةً يقوم المستعرض بإنشاء وتشفير وإرسال مفتاح الجلسة باستخدام المفتاح العام للمخدم. ويقوم المخدم بفك تشفير المفتاح العام باستخدام المفتاح الخاص ويرسل طلبًا مشفرًا باستخدام مفتاح الجلسة لبدء جلسة العمل المشفرة. ليقوم بعدها المخدم والمستعرض بتشفير كافة البيانات الممررة بينهما.3

عيوب شهادة الامان SSL

تعتبر التكلفة أبرز عيوب هذه الشهادات، إذ يحتاج موفرو هذه الشهادات إلى تأمين البنية التحتية الموثوقة والتحقق من هويتك. بينما يعتبر الأداء عيبًا آخر لهذه الشهادات نظرًا إلى ضرورة تشفير المعلومات المرسلة من المخدم مما يتطلب المزيد من الموارد.4

المراجع