مرحبا بالجميع!
وقد أطلقنا هنا بهدوء الهدوء إحدى أكثر الدورات غرابة بالنسبة لنا -
"التوقيع الرقمي في أمن المعلومات" . على الرغم من كل شيء ، تمكنا نوعًا ما وأدخلنا الأشخاص ، دعنا نرى ما سيحدث. سنلقي اليوم نظرة على المواد الشيقة المتبقية وسنرى بإيجاز كيفية عمل TLS ، وأيضًا ما هو الفرق بين شهادات الويب غير الموثوقة والموثوقة.
ترجمة - dzone.com/articles/a-look-at-tls-transport-layer-security
نشره ارون باندي
TLS - اختصار لأمان طبقة النقل (بروتوكول أمان طبقة النقل) ، بناءً على SSL. كما يوحي الاسم ، هذا بروتوكول يعمل على مستوى النقل.
كما تعلم ، يعد أمان الاتصال مشكلة شائعة جدًا ، ولكن التطبيق الصحيح لـ TLS يمكن أن يأخذ أمان الويب إلى مستوى جديد. في بيئة تحتوي على TLS مضمنة ، يمكن للمهاجم الحصول على معلومات حول المضيف الذي تحاول الاتصال به ، ومعرفة التشفير المستخدم ، وقطع الاتصال ، ولكن لا يمكنك القيام بأي شيء بخلاف ذلك.
تحتوي جميع بروتوكولات الاتصال تقريبًا على ثلاثة أجزاء رئيسية: تشفير البيانات والمصادقة وتكامل البيانات.
في هذا البروتوكول ، يمكن تشفير البيانات بطريقتين: استخدام نظام تشفير المفتاح العام أو نظام التشفير المتماثل. يعتبر نظام تشفير المفتاح العام ، كتطبيق ، أكثر مثالية من أنظمة التشفير المتماثلة.
نظرة عامة على أنظمة تشفير المفتاح العام وأنظمة التشفير المتماثلةيستخدم نظام تشفير المفتاح العام ، وهو نوع من التشفير غير المتماثل ، المفتاح العام والخاص. لذلك يتم استخدام المفتاح العام B لتشفير البيانات A (يشارك B المفتاح العام مع A) ، وبعد تلقي البيانات المشفرة ، يقوم B بفك تشفيرها باستخدام مفتاحه الخاص.
تستخدم أنظمة التشفير المتناظرة نفس المفتاح لفك التشفير والتشفير ، لذلك سيحصل A و B على نفس المفتاح السري. وهذا عيب كبير.
الآن دعونا نرى كيف تعمل المصادقة في TLS. للتحقق من صحة مرسل الرسالة وتزويد المستلم بوسائل لتشفير الاستجابة ، يمكن تحقيق المصادقة باستخدام الشهادات الرقمية. تحتفظ أنظمة التشغيل والمتصفحات بقوائم الشهادات الموثوقة التي يمكنهم تأكيدها.
موثوقة مقابل. شهادات غير موثوق بهاتأتي الشهادات الرقمية في فئتين. يتم توقيع الشهادات الموثوق بها من قبل مرجع مصدق (CA) ، بينما الشهادات غير الموثوقة موقعة ذاتيًا.
الشهادات الموثوقةالشهادات الموثوقة موجودة في مستعرض ويب وموقعة من قبل CA. هذا ضروري لضمان أعلى مستوى من الموثوقية. افترض أن موقع "xyz.com" يريد الحصول على شهادة رقمية موثوقة من مركز الشهادات الشهير "كومودو".
ستكون الخطوات على النحو التالي:
- إنشاء خادم ويب للتطبيق: xyz.com؛
- إنشاء زوج من المفاتيح الخاصة (المفتاح العام والخاص) باستخدام تشفير المفتاح العام (بسبب موثوقيته) ؛
- إنشاء طلب توقيع شهادة (CSR باختصار) لسلطة إصدار الشهادات ، في حالتي ، Comodo. على القرص ، قد يسمى الملف “certreq.txt” ؛
- التقدم بطلب إلى مركز الشهادات ، وإدراج CSR فيه ؛
- سيتحقق مركز الشهادة (Comodo في حالتي) من طلبك ، بما في ذلك المفتاح العام والخاص ؛
- إذا كان كل شيء على ما يرام ، فإن مركز الشهادة سيوقع الطلب باستخدام مفتاحه الخاص ؛
- سيرسل المركز شهادة ليتم تثبيتها على خادم الويب ؛
- كل شيء جاهز!
شهادات غير موثوق بهايتم توقيع شهادة غير موثوق بها من قبل مالك الموقع. هذه الطريقة مناسبة إذا كانت مشاكل الموثوقية غير ذات صلة.
لاحظ أنه ليس من المعتاد استخدام شهادة غير موثوق بها في تنفيذ TLS.
كيف يعمل استبدال شهادة TLS
- افتح العنوان "xyz.com" في المتصفح ؛
- يتلقى خادم الويب الطلب ؛
- يرسل خادم الويب استجابة للطلب شهادة ؛
- يقوم متصفح الويب بتقييم الاستجابة والتحقق من الشهادة ؛
- أثناء عملية التحقق ، اكتشف متصفح الويب أن الشهادة موقعة من مركز Comodo ؛
- يتحقق مستعرض الويب من قاعدة بيانات الشهادة (على سبيل المثال ، IE -> خيارات الإنترنت -> المحتوى -> شهادة) للحصول على شهادة Comodo ؛
- بمجرد تحديد موقعه ، يستخدم متصفح الويب مفتاح Comodo العام للتحقق من الشهادة المرسلة من قبل خادم الويب ؛
- إذا نجح التحقق ، يعتبر المستعرض هذا الاتصال آمنًا.
النهاية
كالعادة ، نحن في انتظار أسئلة وتعليقات.