SSL WildCard

Wildcard SSL: كل ما تحتاج إلى معرفته

تم تسميتها على اسم حرف البدل (العلامة النجمية) ، في الواقع الإنجليزية Wildcard. تُستخدم علامة النجمة لتحديد مجموعة المجالات الفرعية التي تنطبق عليها الشهادة.

للتبسيط ، يمكن القول أن قيمة علامة النجمة لا تتجاوز النقطة. في الوقت نفسه ، لا يمكن استخدام علامتين نجميتين أو أكثر: على سبيل المثال ، لا يمكن التصديق.

شهادة حرف البدل هي شهادة تسمح بتطبيق غير محدود من SSL على مضيفي النطاق الفرعي للمجال (FQDN). في الآونة الأخيرة ، يتم إصدار حوالي 40٪ من إصدارات شهادات SSL بشهادات Wildcard SSL ، مما يثبت فعاليتها العالية.

سبب تسمية Wildcard هو أن نطاق الشهادة (اسم CN و DNS) بتنسيق * .mydomain.com. إنها نوع من شهادة Multi / SAN وهي تقنية امتداد لمعيار RFC الدولي X.509. يمكنك أن تفهم أن المجال الافتراضي وأحرف البدل للمجال الفرعي مضمنة في عنصر [اسم الموضوع البديل-اسم DNS] في عنصر عرض تفاصيل الشهادة في مستعرض الويب.

على سبيل المثال: يتم عرض متصفح الويب بالفعل في الشهادة ، ويتم عرض شهادة بدل. عند عرض معلومات الشهادة لصفحة الويب المطبقة ، يتم عرضها بتنسيق معين.

حتى مع هذه القيود ، تمثل شهادات Wildcard طريقة مناسبة جدًا لتشفير نقل البيانات للعديد من المجالات الفرعية.

شهادة SSL الرقمية

شهادة SSL هي وثيقة إلكترونية تضمن الاتصال بين العميل والخادم من قبل طرف ثالث. فور اتصال العميل بالخادم ، يمرر الخادم معلومات الشهادة هذه إلى العميل. يقوم العميل بتنفيذ الإجراء التالي بعد التحقق من أن معلومات الشهادة هذه موثوقة. مزايا استخدام شهادات SSL و SSL الرقمية هي كما يلي.

• يمكن منع محتوى الاتصالات من التعرض للمهاجمين.

• من الممكن تحديد ما إذا كان الخادم الذي يتصل به العميل هو خادم موثوق به.

• يمكنك منع التغيير الضار لمحتويات الاتصال.

   

طلب إصدار CN (المجال) مثال على الإدخال

البدل:

CN: يجب أن يكون نفس النمط مثل * .example.com أو * .sub2.sub1.sslcert.co.net المحدد بواسطة اسم DNS.

متعدد البدل

CN: *. أدخل example.com root FQDN كـ CN ، باستثناء العلامة.

مثال) إذا كان * .sub.sslcert.co.net هو المجال التمثيلي ، أدخل CN كـ sub.sslcert.net

سان: مجالات أحرف البدل بالتنسيق * .example.com و * .sub.sslert.co.net هي ، يتم إدخال مدخلات إضافية أثناء خطوة إعداد DCV أثناء نموذج الطلب.

ملاحظات (تحذير من الأخطاء)

نظرًا لأن خطوة موضع العرض فقط هي مضيفات غير محدودة. تنسيق .sslcert.co.net غير ممكن. لا يمكن التقديم بعدة خطوات مثل:

الاستخدام الرئيسي

عند تطبيق Wildcard SSL واحد يكون أكثر فائدة لتقليل التكلفة / الإدارة من إصدار مجالات فرعية متعددة لكل منها - عندما يُتوقع أن المجالات الفرعية بشكل مستمر مع زيادة استخدام خدمة الويب ، ويتم تطبيق SSL وتشغيله.

على خادم الويب إذا كنت تريد التقديم على جميع مواقع النطاقات الفرعية ذات المنفذ الافتراضي 443 SSL (يمكن لخادم الويب غير المدعوم SNI ربط شهادة واحدة فقط لكل منفذ SSL واحد (على سبيل المثال ، 443))

ضع العديد من مجالات أحرف البدل الأخرى في شهادة واحدة. كيف نفعل ذلك؟ من أجل التعامل مع مثل هذه الحالات ، هناك منتج شهادة Multi-Wildcard SSL. يمكن أن يحتوي حرف البدل الفردي على حرف بدل واحد فقط في الشهادة ، ويمكن أن يحتوي حرف البدل المتعدد على ما يصل إلى 250 حرف بدل في شهادة واحدة.

شهادات البدل "منخفضة التكلفة"

دعنا ننتقل الآن إلى العرض المتاح. مخصص لشهادات SSL للنطاقات الفرعية ، يمكننا أن نلاحظ على الفور وجود 2 "مستوى دخول" ، وهما RapidSSL و Sectigo Essential: هذه شهادات من نوع "تم التحقق من صحة النطاق" ، حيث يكون اسم الشركة ، والذي تقدم ضمانًا منخفضًا ، ولكن يمكن إصدارها في وقت قصير ، في أقل من ساعة. لذلك نوصي بها لمن هم في عجلة من أمرهم وليس لديهم مطالب معينة.

شهادات البدل للشركات

من بين تلك من نوع OV (تم التحقق من صحة المؤسسة) ، وبالتالي تتميز بالتحقق على مستوى الشركة ، نود أن نوصي GeoTrust. بادئ ذي بدء ، GeoTrust مرادف للموثوقية ، كونها واحدة من أشهر العلامات التجارية في مجال أمان الويب.

ثانيًا وليس آخرًا ، لأن شهادة Wildcard هذه هي التي تقدم أعلى ضمان في حالة حدوث خرق للتشفير نادرًا. في هذه الحالة ، يبلغ الضمان المقدم 1.25 مليون دولار أمريكي ، وهو ما يكفي فقط للنوم الهادئ.

أخيرًا ، يجب القول أنه في حالة Wildcards ، لا تتوفر ، على الأقل في الوقت الحالي ، شهادات من النوع EV (تم التحقق من صحتها الموسعة) ، لتوضيح ذلك ، تظهر شريط العنوان الأخضر في المتصفح ، مع الاسم الكامل للشركة المالكة.

إذا كنت بحاجة إلى الحصول على الشريط الأخضر في بعض المجالات الفرعية ، فأنت بحاجة إلى اختيار شهادات EV فردية أو متعددة المجالات (SAN).

بعض الاختلافات الشائعة لتجعلك تفهم بين HTTPS & amp؛ شهادات SSL:

HTTPS مقابل HTTP

يرمز HTTP إلى بروتوكول Hypertext Transfer Protocol. بمعنى آخر ، يعني بروتوكول اتصال لإرسال HTML وهو نص تشعبي. في HTTPS ، آخر S هو اختصار لـ O ver Secure Socket Layer. نظرًا لأن HTTP ينقل البيانات بطريقة غير مشفرة ، فمن السهل جدًا اعتراض الرسائل المرسلة والمستلمة بواسطة الخادم والعميل.

على سبيل المثال ، قد يحدث التنصت الخبيث على البيانات أو تغييرها أثناء عملية إرسال كلمات المرور إلى الخادم لتسجيل الدخول أو قراءة مستندات سرية مهمة. HTTPS هو ما يؤمن هذا.

HTTPS و SSL

غالبًا ما يتم فهم HTTPS و SSL بالتبادل. هذا صواب وخطأ. إنه يشبه فهم الإنترنت والويب بنفس المعنى. في الختام ، كما أن الويب هي إحدى الخدمات التي تعمل على الإنترنت ، فإن HTTPS هو بروتوكول يعمل على بروتوكول SSL.

SSL و TLS

نفس الشيء. اخترع Netscape بروتوكول SSL ، ومع انتشار استخدامه تدريجيًا ، تمت إعادة تسميته TLS حيث تم تغييره إلى إدارة IETF ، هيئة التقييس. TLS 1.0 يرث SSL 3.0. ومع ذلك ، يتم استخدام اسم SSL أكثر من اسم TLS.

أنواع التشفير المستخدمة بواسطة SSL

مفتاح SSL هو التشفير. يستخدم بروتوكول SSL طريقتين من تقنيات التشفير معًا لأسباب تتعلق بالأمان والأداء. لفهم كيفية عمل SSL ، تحتاج إلى فهم تقنيات التشفير هذه. إذا كنت لا تعرف كيفية القيام بذلك ، فإن طريقة عمل SSL ستبدو مجردة. سنقدم تقنيات التشفير المستخدمة في SSL حتى تتمكن من فهم SSL بالتفصيل. دعنا نتحدى ذلك لأن هذا ليس مجرد فهم لـ SSL ، ولكن أيضًا المهارات الأساسية لشخص تكنولوجيا المعلومات.

مفتاح متماثل

يُطلق على نوع كلمة المرور المستخدمة للتشفير ، أي عملية إنشاء كلمة مرور ، اسم مفتاح. نظرًا لاختلاف النتيجة المشفرة وفقًا لهذا المفتاح ، إذا كان المفتاح غير معروف ، فلا يمكن تنفيذ فك التشفير ، وهو عمل لفك تشفير التشفير. يشير المفتاح المتماثل إلى تقنية تشفير يمكن من خلالها إجراء التشفير وفك التشفير بنفس المفتاح.

بمعنى آخر ، إذا استخدمت القيمة 1234 للتشفير ، فيجب إدخال القيمة 1234 عند فك التشفير. لمساعدتك على الفهم ، دعنا نلقي نظرة على كيفية استخدام opensl للتشفير بطريقة مفتاح متماثل. يؤدي تنفيذ الأمر أدناه إلى إنشاء ملف plaintext.txt. وسيُطلب منك كلمة مرور. تصبح كلمة المرور التي تم إدخالها في هذا الوقت هي المفتاح المتماثل.

المفتاح العمومي

طريقة المفتاح المتماثل لها عيوبها. من الصعب تمرير مفتاح متماثل بين الأشخاص الذين يتبادلون كلمات المرور. هذا لأنه في حالة تسريب المفتاح المتماثل ، يمكن للمهاجم الذي حصل على المفتاح فك تشفير محتويات كلمة المرور ، مما يجعل كلمة المرور عديمة الفائدة. طريقة التشفير من هذه الخلفية هي طريقة المفتاح العام.

طريقة المفتاح العام لها مفتاحان. إذا تم تشفيره باستخدام المفتاح A ، فيمكن فك تشفيره باستخدام المفتاح B ، وإذا تم تشفيره باستخدام المفتاح B ، فيمكن فك تشفيره باستخدام المفتاح A.بالتركيز على هذه الطريقة ، تم تعيين أحد المفتاحين كمفتاح خاص (يسمى أيضًا مفتاح خاص ، أو مفتاح خاص ، أو مفتاح سري) ، والآخر محدد كمفتاح عام.

المفتاح الخاص مملوك لنفسه فقط ، ويتم توفير المفتاح العام للآخرين. يقوم الآخرون الذين تم تزويدهم بالمفتاح العام بتشفير المعلومات باستخدام المفتاح العام. يتم نقل المعلومات المشفرة إلى الشخص الذي لديه المفتاح الخاص. يستخدم مالك المفتاح الخاص هذا المفتاح لفك تشفير المعلومات المشفرة. حتى إذا تم تسريب المفتاح العام أثناء هذه العملية ، فهو آمن لأنه لا يمكن فك تشفير المعلومات دون معرفة المفتاح الخاص. هذا لأنه يمكن إجراء التشفير باستخدام مفتاح عام ، لكن فك التشفير غير ممكن.

شهادة SSL

دور شهادات SSL معقد نوعًا ما ، لذلك تحتاج إلى معرفة بعض المعرفة لفهم آلية الشهادات. هناك نوعان من الوظائف الرئيسية للشهادة.

فهم كلاهما هو المفتاح لفهم الشهادات.

• يضمن أن الخادم الذي يتصل به العميل هو خادم موثوق به.

• يوفر المفتاح العام الذي سيتم استخدامه لاتصال SSL إلى العميل.

كاليفورنيا

يضمن دور الشهادة أن الخادم الذي يتصل به العميل هو الخادم المقصود من قبل العميل. هناك شركات خاصة تلعب هذا الدور ، وتسمى هذه الشركات CA (المرجع المصدق) أو شهادة الجذر. لا يمكن لأية شركة أن تفعل CA شيئًا ، ويمكن فقط للشركات التي تم اعتماد مصداقيتها بشكل صارم المشاركة. من بينها ، الشركات التمثيلية على النحو التالي. الأرقام هي حصة السوق الحالية.

• Symantec بحصة سوقية تبلغ 42.9٪

• كومودو 26٪

• GoDaddy بنسبة 14٪

• GlobalSign بنسبة 7.7٪

يجب على الخدمات التي ترغب في توفير اتصال مشفر عبر SSL شراء شهادة من خلال CA. تقوم CA بتقييم موثوقية الخدمة بطرق مختلفة.

المرجع المصدق الخاص

إذا كنت تريد استخدام تشفير SSL لأغراض التطوير أو لأغراض خاصة ، فيمكنك أيضًا العمل كمرجع مصدق (CA) بنفسك. بالطبع ، هذه ليست شهادة معتمدة ، لذلك إذا كنت تستخدم شهادة CA خاصة.

محتوى شهادة SSL

تحتوي شهادة SSL على المعلومات التالية:

• معلومات الخدمة (المرجع المصدق الذي أصدر الشهادة ، مجال الخدمة ، إلخ.)

• المفتاح العام من جانب الخادم (محتوى المفتاح العام ، وطريقة تشفير المفتاح العمومي)

المتصفح يعرف CA

لفهم الشهادات ، هناك شيء واحد يجب أن تعرفه هو قائمة المراجع المصدقة. يعرف المستعرض داخليًا قائمة المراجع المصدقة مسبقًا. هذا يعني أن شفرة المصدر للمتصفح تحتوي على قائمة مراجع التصديق. لكي تصبح CA معتمدًا ، يجب تضمينها في قائمة CAs التي يعرفها المتصفح مسبقًا. يعرف المتصفح بالفعل المفتاح العام لكل مرجع مصدق إلى جانب قائمة المراجع المصدقة.