منذ تقديم Netscape ل SSL في عام 1994، نمت الشهادات الرقمية مع نمو الويب بأكمله. من خلال التجارب والأخطاء والابتكارات والتعديلات، تم تحسين شهادات SSL باستمرار لتلبية الاحتياجات الأمنية الأكثر صرامة.
إن تخفيض صلاحية SSL إلى سنة واحدة فقط وإزالة شريط العنوان الأخضر من شهادات التحقق الممتد ما هي إلا بعض التعديلات الأخيرة التي نفذها منتدى المراجع المصدقة/المتصفح (CA/Browser Forum) للبقاء في مواجهة التهديدات الإلكترونية وجعل التشفير الرقمي أكثر قابلية للتنبؤ. في عالم سلطات التصديق، التغيير هو الثابت الوحيد في عالم سلطات التصديق.
إن حقل الوحدة التنظيمية (OU) ليس شيئًا قد تربطه مباشرةً بأمان SSL، خاصةً أنه كان جزءًا من عملية طلب SSL منذ البداية. ولكن الآن، أوشك وقت حقل OU على الانتهاء، وستقوم السلطات المركزية الأمريكية بإزالته بحلول نهاية أغسطس 2022. إذن، ما السبب وراء إزالة حقل يبدو حميداً؟ للحصول على الصورة الكاملة، دعنا نتعرف على الغرض الأولي لحقل OU.
مجالات الوحدة التنظيمية – لمحة موجزة عن الوحدة التنظيمية
في كل مرة تطلب فيها شهادة SSL، يجب عليك إنشاء طلب توقيع شهادة (CSR) وملء الحقول ببيانات جهة الاتصال الخاصة بك كجزء من عملية التحقق من الصحة. تتضمن المسؤولية الاجتماعية للشركات تفاصيل عن شركتك وبلد إقامتك واسم النطاق الذي تريد تأمينه. من بين الحقول التي يجب عليك إكمالها أيضاً حقل الوحدة التنظيمية. يمكنك إدخال أي بيانات تريدها فيه تقريبًا، وهذا بالضبط ما يجعله غامضًا ومضللًا.
كان القصد الأصلي لحقل OU هو أن يكون بمثابة حقل عنصر نائب حيث يمكن للشركات وضع البيانات ذات الصلة حول الشهادة وكيفية استخدامها. من الممارسات الشائعة تضمين بيانات مرجعية للفوترة بحيث يعرف قسم الشؤون المالية من اشترى الشهادة.
إذا كنت ستتبع هذا المثال، ستكتب شيئًا مثل “تكنولوجيا المعلومات” أو “الأمن” في حقل OU. لكن لا شيء يمنعك من إدخال أي شيء تريده، من أسماء الدول إلى الشخصيات الكرتونية. إذا كان المقر الرئيسي لشركتك في الولايات المتحدة، ولكن هناك فرع دولي يدير الشهادات، يمكنك كتابة شيء مثل “فرنسا” أو “ما وراء البحار”. وهنا قد يؤدي غموض ملف OU إلى إرباك المستخدمين.
لنفترض أن أحد عملاء شركتك هو خطوط دلتا الجوية. إذا كنت ستقوم بتضمينها في حقل OU، فسيعتقد بعض المستخدمين أن الشهادة تنتمي إلى خطوط دلتا الجوية بدلاً من مؤسستك. وعلى الرغم من أن هذا قد يبدو مثالاً متطرفاً، إلا أن الطبيعة الاختيارية لحقل OU تجعلها عرضة للالتباس وسوء التفسير، وهي أمور غير مقبولة في مجال الأمن السيبراني الحديث.
الثغرات الأمنية المحتملة
أصبحت شهادات SSL الآن شرطًا لجميع أنواع المواقع الإلكترونية. تنشر الشركات مئات الشهادات لتلبية احتياجاتها الأمنية، ولكن لا يتبع الجميع أفضل ممارسات إدارة SSL. وفقًا لمختبرات Detectify Labs تقرير أن هناك مخاطر في نشر هذه الشهادات “يمكن أن تؤدي إلى كشف بيانات الشركة أو اختراقها من قبل جهات خبيثة.”
قامت Detectify بتحليل أكثر من 900 مليون شهادة SSL وأكدت على المخاطر الرئيسية المرتبطة بشهادة SSL. في سياق مجال الجامعة العمانية، فإن الاستنتاج التالي ذو صلة بالموضوع:
“وجد المحللون أن الغالبية العظمى من النطاقات المعتمدة حديثًا قد أُعطيت أسماء وصفية. وقد يبدو هذا الأمر غير ضار ولكنه قد يشكل في الواقع خطراً على المعلومات التجارية.”
إذا تم إصدار الشهادة في مرحلة التطوير، فقد يكون لدى المنافسين الوقت الكافي لتقويض الشركات أو المنتجات الجديدة قبل وصولها إلى السوق. ولكن حتى لو اخترت خيوطاً عشوائية بدلاً من المنتجات الوصفية، فإن بعض المعلومات العشوائية في حقل OU الذي تم إرساله أثناء عملية الطلب قد تكشف بعض أسرارك.
حان وقت الوداع
مع تزايد التهديدات السيبرانية يوماً بعد يوم، تعمل المراجع المصدقة (CAs) على العمل لوقت إضافي لضبط وتعزيز بروتوكولات الأمان التي تحكم شهادات SSL. نظرًا لأن المفاهيم والعناصر القديمة أصبحت قديمة، فإن “نهج “الأقل هو الأكثر” هو وسيلة فعالة للقضاء على الارتباك والثغرات المحتملة التي يمكن أن يستغلها المخترقون.
في أواخر التسعينيات وأوائل التسعينيات، لم يكن في السوق سوى عدد قليل من المراجع المصدقة (CAs)، وكان عدد الشركات التي تطلب SSL أقل بكثير. كان الهدف الأصلي هو أن يتم فحص المراجع المصدقة (CAs) القليلة الموجودة يدويًا بواسطة المتصفحات، مما يؤدي إلى تعزيز الثقة في أن المراجع المصدقة (CAs) تقوم بكل شيء بأمان قدر الإمكان. ولكن مع ظهور شهادات SSL، أصبحت هذه المهمة أكثر صعوبة.
تكمن المشكلة في حقل OU في أنه يجب على المراجع المصدقة التحقق من هوية موضوع الشهادة وتأكيدها ضمن اسم الموضوع للشهادة. من ناحية أخرى، فإن حقل OU ليس وصفًا دقيقًا، على الرغم من أنه جزء أصغر من المنظمة. لا توجد لدى المراجع المصدقة (CAs) طرق للتحقق باستمرار من الجزء الأصغر من المؤسسة وتأكيد هويتها.
الحياة بعد إزالة حقل OU
إذن، كيف ستؤثر إزالة حقل OU على الشركات؟ إليك كل ما تحتاج إلى معرفته عن التغيير القادم:
- للامتثال لمعايير الصناعة، ستقوم سلطات التصديق بإزالة حقل الوحدة التنظيمية (OU) لجميع شهادات SSL العامة بحلول نهاية أغسطس 2022.
- لن يؤثر هذا التغيير على الشهادات التي تم إصدارها مسبقاً مع وجود حقل OU صالح.
- لا يؤثر هذا على شهادات SSL الخاصة أو أنواع أخرى من الشهادات غير SSL.
الخاتمة
تتطور تكنولوجيا الويب بوتيرة متسارعة، ومعها تتطور التهديدات الإلكترونية بوتيرة متسارعة، وتصبح التهديدات الإلكترونية أكثر تطوراً. عندما يتعلق الأمر بتشفير الويب، يجب على الهيئات التنظيمية أن تكون استباقية وتتوقع نقاط الضعف في الأنظمة التي تنظمها.
لا يعد حقل الوحدة التنظيمية جزءًا مهمًا من عملية طلب SSL الإجمالية، وبالتالي يصبح تهديدًا محتملاً. تعد إزالته طريقة مباشرة لتجنب الارتباك وتحسين وقت التحقق من الصحة.
وفِّر 10% على شهادات SSL عند الطلب اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10