يتطلب المشهد الرقمي الآخذ في الاتساع باستمرار التواصل الآمن عبر الإنترنت وحماية البيانات. إحدى التقنيات التي لعبت دورًا محوريًا في حماية معاملاتنا وتبادل المعلومات عبر الإنترنت هي بروتوكولات SSL/TLS والشهادات الرقمية التي تستخدمها. على مدار العقدين الماضيين، تطورت شهادات SSL وتكيّفت مع التعقيدات المتزايدة للأمن السيبراني، وأصبحت عنصراً حاسماً في الأمن عبر الإنترنت.
طُرحت شهادات SSL في منتصف التسعينيات، وقد أحدثت شهادات SSL ثورة في كيفية نقل المعلومات عبر الإنترنت. وقد صُممت في البداية لتأمين نقل البيانات الحساسة، مثل تفاصيل بطاقات الائتمان وكلمات المرور، وأصبحت منذ ذلك الحين أداة أساسية لإرساء الثقة والخصوصية والتشفير في التفاعلات عبر الإنترنت. يستكشف هذا المقال تاريخ شهادات SSL، متتبعًا تطورها منذ بداياتها الأولى وحتى تجسيداتها الحديثة. كما يبحث في المعالم الرئيسية التي شكلت تطورها.
جدول المحتويات
- تاريخ SSL و TLS – نزهة في حارة الذاكرة
- تطور شهادات SSL في أواخر التسعينيات
- تطور شهادات SSL في بداية القرن الحادي والعشرين
- تطور شهادات SSL في العقد الأخير من الزمن
- ما الذي يحمله المستقبل لشهادات SSL؟
تاريخ SSL و TLS – نزهة في حارة الذاكرة
عندما طلب جون وينرايت، وهو عالم كمبيوتر مقيم في وادي السيليكون، أول كتاب على الإطلاق على موقع أمازون، كان آخر ما كان يتخيله هو أن يحمل مبنى اسمه. ولكن هذا هو بالضبط مدى تقدير أكبر متاجر التجزئة على هذا الكوكب لأول عميل من غير الموظفين.
في قفزة هائلة من أواخر التسعينيات عندما كان البيع بالتجزئة عبر الإنترنت لا يزال في مهده، تبيع أمازون الآن ملايين الكتب كل عام. ولكن ما فعله وينرايت قبل 25 عاماً، لم يكن ممكناً بدون تقنية أخرى تعمل في الخلفية. وهي تقنية أساسية جداً لتطور الإنترنت والمعاملات عبر الإنترنت بحيث لا يمكن لأي موقع إلكتروني أن يعيش بدونها بعد الآن. نحن نتحدث عن بروتوكولات التشفير وشهادات SSL/TLS – عناصر أمان الويب التي جعلت ثورة الإنترنت ممكنة.
في الوقت الذي انتشرت فيه المتصفحات الأولى على شبكة الويب العالمية، كانت الحاجة إلى المدفوعات الآمنة مصدر قلق ملح. في مكان ما في المقر الرئيسي لشركة نتسكيب، إحدى أكبر شركات خدمات الكمبيوتر في ذلك الوقت، كان طاهر إجمال، عالم التشفير المصري وكبير علماء نتسكيب، يقوم بصياغة أول بروتوكول إنترنت بطبقة مآخذ التوصيل الآمنة (SSL) على الإطلاق.
تطور شهادات SSL في أواخر التسعينيات
وبدون إمكانية اختباره في العالم الحقيقي، كان SSL 1.0 بمثابة حادث سيارة كامل. مليء بعيوب التشفير والثغرات الأمنية، ولم يتم إطلاق الإصدار الأول أبداً. واصلت نتسكيب تطوير بروتوكول SSL، وفي فبراير 1995، أصدرت بروتوكول SSL 2.0. تم شحنه مع متصفح نتسكيب نافيجيتور وظل مستخدماً لمدة عام واحد فقط حتى كشفه القراصنة وخبراء الأمن مرة أخرى.
في الوقت نفسه، قررت شركة مايكروسوفت مراجعة بروتوكول SSL 2 مع بعض الإضافات الخاصة بها وأصدرت الإصدار الأول من بروتوكول PCT (تقنية الاتصالات الخاصة). ومع ذلك، لم يكتسب زخمًا قط وظل مدعومًا فقط في IE و IIS.
سارع نتسكيب إلى تطوير SSL 3.0، والذي جلب أخيرًا بعض الاستقرار وفسحة للتنفس على الويب. لم يظهر بروتوكول TLS (أمن طبقة النقل) 1.0 الذي يبدو أنه جديد تمامًا حتى عام 1999. في الواقع، كان TLS مطابقًا تقريبًا لـ SSL 3.0، وكان أقرب إلى حل وسط بين المتنافسين الشرسين Netscape ومايكروسوفت، وليس انحرافًا عن SSL 3.0.
وكما يتذكر تيم ديركس، الرجل الذي كتب التطبيق المرجعي ل SSL 3.0، فقد تفاوضت نتسكيب ومايكروسوفت على صفقة يدعم فيها كلاهما تولي فريق عمل هندسة الإنترنت IETF (فريق عمل هندسة الإنترنت) البروتوكول وتوحيده في عملية مفتوحة.
“كجزء من عملية التحوير، كان علينا إجراء بعض التغييرات على بروتوكول SSL 3.0 (حتى لا يبدو الأمر وكأن منتدى IETF كان مجرد مصادقة على بروتوكول Netscape)، وكان علينا إعادة تسمية البروتوكول (لنفس السبب). وهكذا ولد TLS 1.0 (والذي كان في الحقيقة SSL 3.1). وبالطبع، الآن، وبالنظر إلى الوراء، يبدو الأمر برمته سخيفاً.”
استغرق الأمر من مجموعة IETF ثلاث سنوات لنشر TLS 1.0. يستمر ارتباك SSL/TLS حتى يومنا هذا.
تطور شهادات SSL في بداية القرن الحادي والعشرين
في فجر الألفية الجديدة، كانت شهادات SSL نادرة مثل ندرة الأشجار في الصحراء. كانت السلطات المصدقة تتقاضى مئات الدولارات مقابل التحقق من صحة الأعمال، وهو الخيار الوحيد المتاح في ذلك الوقت. كان ذلك استثمارًا كبيرًا بالنسبة لشركات التجارة الإلكترونية التي تغمس أصابعها في مياه عالم الإنترنت المجهولة.
كانت الحاجة إلى التحقق من الصحة بشكل أسرع وأسهل واضحة. في عام 2002، أصبحت GeoTrust أول سلطة مصدقة توزع شهادات التحقق من صحة النطاقات، وهي خطوة من شأنها أن تغير في نهاية المطاف مشهد SSL إلى الأبد. يمكن لهذه الشهادات، الأسرع والأرخص، تشفير أي نوع من المواقع الإلكترونية وأصبحت في النهاية القوة الدافعة وراء ثورة HTTPS.
بعد خمس سنوات، في عام 2007، شكّل ابتكار آخر غيّر قواعد اللعبة في صناعة SSL. سمح وصول شهادات التحقق من الصحة الموسعة للشركات بتوفير ضمان معقول لمستخدمي الإنترنت بأن الموقع الإلكتروني الذي يدخلون إليه يخضع بالفعل لسيطرة كيان قانوني. ساعد شريط عنوان EV الأخضر الشهير الآن الشركات على تعريف نفسها للعملاء بشكل أفضل، وجعل هجمات التصيد الاحتيالي باستخدام شهادات SSL أكثر صعوبة.
في هذه الأثناء، أصدرت IETF TLS 1.1 في عام 2006 لمعالجة هجوم BEAST، ثم أصدرت TLS 1.2 في عام 2008، مع تشفير مصادق عليه (AEAD) الذي كان الميزة الرئيسية الجديدة. على الرغم من أنه إنجاز كبير في مجال التشفير عبر الإنترنت، إلا أن الأمر سيستغرق سنوات حتى تتمكن المتصفحات والخوادم الرئيسية من تفعيله. أضاف Chrome دعم TLS 1.2 في أغسطس 2013. بحلول ذلك الوقت، كان الاتحاد الدولي لتبادل البيانات المالية قد بدأ بالفعل في صياغة بروتوكول TLS 1.3.
مع التطور السريع لشبكة الإنترنت، ومواكبة عدد الهجمات الإلكترونية لنموها، بدت الحاجة إلى التشفير على نطاق واسع الخطوة المنطقية نحو إنترنت أكثر أماناً. ادخل إلى جوجل، الذي يمكن القول إنه أكبر مؤيد للانتقال إلى HTTPS.
تطور شهادات SSL في العقد الماضي
في عام 2014 تحول تاريخ SSL إلى صفحة جديدة عندما أعلنت Google أنها ستعطي دفعة لتحسين محركات البحث لجميع المواقع الإلكترونية الآمنة. ونظرًا لأن الجميع كان مهووسًا بتحسين محركات البحث في ذلك الوقت، انتقلت المواقع الإلكترونية التي لم تكن لتقترب من شهادة SSL، من HTTP إلى HTTPS للحصول على أقل ميزة على المنافسين. بدأت هذه الخطوة في إطلاق صعود HTTPS وعصر جديد لمنظومة SSL/TLS.
بعد فترة وجيزة من الحافز الذي قدمته جوجل، قدمت Cloudflare، خدمة شبكة توصيل المحتوى الشهيرة، شهادات مجانية لأكثر من مليوني مستخدم.
شهد عام 2015 ثلاثة تطورات رئيسية في عالم SSL/TLS. أولاً، تم تخفيض صلاحية الشهادات الصادرة بعد 1 أبريل من خمس إلى ثلاث سنوات. تم تحديد العمر الافتراضي الأقصر في عام 2012، في المتطلبات الأساسية الأولى لإصدار الشهادات الموثوق بها من قبل الجمهور وإدارتها.
وصول Let’s Encrypt، وإلغاء SSL
بعد بضعة أشهر، في نوفمبر/تشرين الثاني، قامت سلطة شهادات Let’s Encrypt مفتوحة المصدر “Let’s Encrypt” بجلب شهادات SSL للتحقق من صحة النطاق وإصدارها تلقائيًا للجميع مجانًا. وبدعم من شركات مثل جوجل وفيسبوك وموزيلا، سرعان ما أصبحت Let’s Encrypt خيارًا شائعًا لمواقع الويب الأساسية والمدونات والمحافظ الإلكترونية.
في العام نفسه، تم إهمال بروتوكول SSL من قبل IETF، ولكن الأمر سيستغرق سنوات قبل أن تقوم الخوادم القديمة بتعطيله تمامًا.
وبالانتقال سريعًا إلى عام 2016، وصل تشفير HTTPS إلى نسبة 50% عبر الويب. وفي حين أن هذا كان إنجازاً كبيراً في ذلك الوقت، إلا أن المهمة كانت نصف منجزة فقط. كان هدف جوجل النهائي هو تأمين الويب بالكامل. سيتطلب القيام بذلك شيئًا أكثر جذرية من مجرد تعزيز صغير لتحسين محركات البحث. وكما هو الحال دائماً، توصلت العقول النيرة في وادي السيليكون إلى حل بسيط وفعال في الوقت نفسه.
المتصفحات تبدأ في حظر محتوى HTTP
مع إصدار متصفح Chrome 68 في عام 2018، بدأ المتصفح في وضع علامة على جميع مواقع HTTPS غير المشفرة على أنها غير آمنة. وحذت موزيلا حذو موزيلا، وفجأة، تحولت شهادات SSL من مجرد حافز لتحسين محركات البحث إلى ضرورة مطلقة لجميع أنواع المواقع الإلكترونية. ومع اندفاع أصحاب المواقع لتأمين مواقعهم وتجنب التحذير المشؤوم، ارتفعت نسبة تشفير HTTPS إلى 80% عبر الإنترنت.
أصبحت شهادات SSL الآن هي القاعدة الجديدة. عنصر لا غنى عنه في بناء الموقع الإلكتروني وأمانه. من هنا فصاعدًا، سيتجه تطور HTTPS في اتجاه جديد. في إصداره التالي، سيزيل Chrome 69 شارة الأمان من مواقع الويب HTTPS، تاركًا القفل فقط كمؤشر وحيد.
عزز ذلك مرة أخرى التحول الكبير في نهج جوجل تجاه المواقع الإلكترونية المشفرة. إذا كانت في الماضي تقدم مكافآت لتشجيع الانتقال إلى HTTPS. أما الآن فقد سلكت المسار المعاكس وبدأت في معاقبة المواقع غير المشفرة. بقي الشريط الأخضر للتحقق من الصحة الموسع على قيد الحياة، ولكن سرعان ما سينتهي وقته أيضًا.
تاريخ إصدار TLS 1.3
في خضم هذه التغييرات الهامة، نشر منتدى IETF بروتوكول TLS 1.3 الذي طال انتظاره. لقد استغرق تطويره خمس سنوات، وجاء بعد عقد من الزمن بعد إصدار TLS 1.2 السابق، لكن الانتظار كان يستحق العناء. تم إصدار TLS 1.3 في أغسطس 2018، وقد أزال TLS 1.3 مجموعة من الشفرات والخوارزميات القديمة وخفض سرعة مصافحة TLS إلى النصف. كما هو الحال مع الإصدارات السابقة، سيكون اعتماده بطيئاً.
شهد عام 2018 المزدحم تطوراً آخر بالغ الأهمية في مشهد SSL. تم تخفيض صلاحية SSL المتغيرة باستمرار مرة أخرى، وهذه المرة لمدة عامين فقط. وقد سمح التقييد الجديد بانتهاء صلاحية شهادات SSL وإعادة إصدارها بشكل متكرر، مما يتيح لمرجعيات الشهادات التحكم بشكل أفضل في بيئة SSL/TLS بشكل عام.
بعد نزهة طويلة في الماضي، وصلنا أخيرًا إلى وقتنا الحالي. في عالم الإنترنت، تجاوز تشفير HTTPS على الويب نسبة 95%. أصبح هدف Google لتأمين الإنترنت بالكامل حقيقة واقعة الآن.
تغييرات HTTPS ما بعد 2020
تستمر المتصفحات في تطبيع اتصال HTTPS مما يجعله أكثر حيادية. وفي أحدث خطوة قام بها كل من كروم وفايرفوكس تخلصا من مؤشر التحقق الموسع من أشرطة العناوين وأعادا وضعه في لوحة معلومات الشهادة. أجرت Google بحثًا داخليًا وخارجيًا واكتشفت أن مؤشر EV لا ينقل معلومات حول هوية الموقع الإلكتروني وأمانه بطريقة فعالة. علاوة على ذلك، فإنها تشغل مساحة كبيرة جداً وقد تقدم أسماء شركات مربكة. ومع ذلك، فإن إزالة مؤشر EV ليس نهاية شهادات التحقق من الصحة الموسعة. تظل فائدتها الرئيسية هي التحقق الشامل من هوية الشركة.
وفي الوقت نفسه، استمرت صلاحية SSL في الانخفاض. هذه المرة جاء دور Apple لتقصير دورة الشهادات بالإجماع إلى عام واحد فقط لمتصفح Safari الخاص بها. يسري التغيير الجديد اعتبارًا من 1 سبتمبر. نظرًا لأن Safari هو ثاني أكثر المتصفحات شعبية على الويب، فقد اتبع منافسوه قرار Apple. تقلل الصلاحية لمدة عام من فترة التعرض للهجمات الإلكترونية من خلال إنشاء مفاتيح جديدة بانتظام. أكدت كل هذه التغييرات مرة أخرى على الطبيعة المتغيرة باستمرار لتاريخ SSL.
ما الذي يحمله المستقبل لشهادات SSL؟
مع التشفير العالمي تأتي مسؤولية أكبر لحماية البيانات الحساسة للمستخدمين من الهجمات الإلكترونية المستمرة. في حين تم القضاء على عيوب البروتوكولات القديمة في الإصدارات اللاحقة، إلا أن مخاطر التهديدات الأمنية الجديدة ستظل مرتفعة طالما أن الإنترنت سيتطور.
وقد اقترح العديد من خبراء التكنولوجيا المالية البلوك تشين كبديل محتمل لقواعد البيانات الآمنة. بعبارات بسيطة، سلسلة الكتل عبارة عن بنية قاعدة بيانات تخزن المعلومات على دفعات تُسمى كتل، وترتبط بالتتابع لتكوين سلسلة من الكتل. كل سلسلة هي دفتر أستاذ عام حيث يتم تسجيل المعاملات وتأكيدها بشكل مجهول. أحد أشهر الأمثلة على سلسلة الكتل هي عملة البيتكوين المشفرة. ولكن كيف يمكن للبلوك تشين تحسين تشفير الويب؟
بالنسبة للمبتدئين، يمكن استخدامها من قبل الأطراف الفردية لإنشاء مفاتيح تشفير فريدة من نوعها يمكنها التحقق من المعلومات وتوفير اتصال آمن. توجد بالفعل العديد من شهادات SSL المستندة إلى سلسلة الكتل في السوق. تعمل هذه الشهادات على استبعاد المراجع المصدقة (العامل البشري) من المعاملات الرقمية، مما يضمن مصادقة أقوى.
أحد هذه الأنظمة هو نظام ريمي. يقوم بروتوكول البنية التحتية للمفاتيح العامة الموزعة بتعيين شهادات SSL للأجهزة الفردية مثل الهواتف الذكية أو أجهزة الكمبيوتر وتخزين معلومات الشهادة في قاعدة بيانات آمنة تدعمها سلسلة الكتل.
على الرغم من أن البلوك تشين توصف بأنها أفضل بديل لـ SSL، فإن إخراج المراجع المصدق (CAs) من المعادلة قد يؤدي إلى تأثير معاكس. لا تزال هذه التقنية في بداياتها، وإلى أن يتمكن المطورون من إثبات كفاءتها واستقرارها في توفير الثقة اللامركزية، ستستمر سلطات الشهادات عالية التنظيم في التحقق من شرعية أصحاب الشهادات.
وكما يقول المثل القديم، إذا لم يكن مكسورًا، فلا تصلحه. هذا لا يعني أن المراجع المصدقة (CAs) لم يكن لها نصيبها من المشاكل والمحاكمات، ولكن تقدمها المستمر حوّل صناعة SSL إلى مكان أكثر أماناً. واليوم، تقدم المراجع المصدقة الرائدة مجموعة واسعة من خيارات إدارة الشهادات والأتمتة، مما يساعد الشركات على إدارة آلاف دورات الشهادات بكفاءة.
يثق كل من المتصفحات والمراجع المصدق (CA) بسجل أمان طبقة المقابس الآمنة (SSL)، لدرجة أن Google تعتزم إزالة رمز القفل – آخر مؤشر باقٍ على موقع ويب آمن. حتى الآن، تحققت جميع نوايا Google حتى الآن. إن نهاية قفل طبقة المقابس الآمنة (SSL) ستجعل من ثورة HTTPS قصة نجاح، وفصلاً مهماً في تاريخ الإنترنت الفتي.
خلاصة القول
لقد مر ما يقرب من ثلاثة عقود منذ وصول أول بروتوكول SSL. لقد قطعت شبكة الإنترنت بأكملها شوطاً طويلاً منذ الأيام الأولى للمتصفحات، لدرجة أنها أصبحت بيئة مختلفة تماماً. أصبح تشفير الويب الآن منتشرًا في كل مكان. تم إهمال بروتوكولي SSL و TLS الأقدم، مما أفسح المجال لأحدث إصدار من TLS 1.3.
لقد علّمنا تاريخ SSL أهمية التشفير والمصادقة والقدرة على التكيف ومعايير الصناعة وسهولة الاستخدام وسهولة الوصول والطبيعة المستمرة للأمان. توفر هذه الدروس رؤى قيّمة بينما نسعى جاهدين لخلق عالم رقمي أكثر أماناً وسلامة للأفراد والشركات والمؤسسات في جميع أنحاء العالم.
وفِّر 10% على شهادات SSL عند الطلب اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10