bg-blog-articles

لماذا يتجاوز تحدي شهادات ما بعد الكم مجرد تقليص فترة الصلاحية

يمتلك قطاع SSL بالفعل عداً تنازلياً على الحائط. بحلول عام 2029، سيختفي إيقاع التجديد السنوي القديم. ستنتهي صلاحية الشهادات بشكل أسرع، ستصبح الأتمتة إلزامية، وستتخلف الشركات التي لا تزال تعتمد على تذكيرات التقويم. هذا التحدي، على الأقل، واضح للعيان. أما المشكلة الأصعب فلا علاقة لها بالوقت، بل بالرؤية والوضوح.

مفهوم التشفير ما بعد الكمي

ستُجبر التشفيرات ما بعد الكمية كل مؤسسة في نهاية المطاف على الإجابة عن سؤال لم يطرحه معظمهم بجدية من قبل: أين بالضبط يعمل التشفير؟ ليس فقط شهادة الموقع الإلكتروني، بل مصافحات TLS، والبرامج الموقَّعة، وهوية البريد الإلكتروني، وسير عمل المستندات، وBKI الخاص، واعتماديات الموردين، والبنية التحتية القديمة التي لا تزال تعمل لأن أحداً لم يضطر إلى التشكيك فيها.

من منظور SSL Dragon في سوق الشهادات، يكتسب هذا الأمر أهمية بالغة لأن الشهادات لم تعد مجرد قرار شراء. فهي تتحول إلى مشكلة دورة حياة وأتمتة وإدارة ثقة تمتد عبر TLS وS/MIME وتوقيع الكود وتوقيع المستندات والبنية التحتية الخاصة. هذا هو المجال الذي يرسم هذا التحرير خريطته.


جدول المحتويات

  1. كل شهادة تحمل رهاناً تشفيرياً
  2. المعايير موجودة بالفعل
  3. Chrome لا يتعامل مع هذا كترقية عادية
  4. رياضيات أكبر تعني ثقة أثقل
  5. قد يكون الجزء الأصعب هو التوقيعات لا التشفير
  6. ما الذي يجب عليك فعله قبل وصول تسمية “آمن كمياً”
  7. الساعة أقصر، لكن العمل أعمق

كل شهادة تحمل رهاناً تشفيرياً

التجديد الفائت يُعلن عن نفسه. أما الاعتمادية التشفيرية الضعيفة فلا تفعل ذلك.

تفشل الشهادات المنتهية الصلاحية علناً: تحذيرات المتصفح، وعمليات الدفع المعطلة، وتسجيلات الدخول الفاشلة، والتذاكر العاجلة. أما الدين التشفيري فأكثر هدوءاً. يتسلل إلى المكتبات القديمة وأنظمة التوقيع وشبكات VPN وAPIs الداخلية والبنية التحتية الخاصة.

شهادة SSL/TLS أكثر من مجرد ملف. إنها بيان موقَّع للثقة، يؤكد أن مفتاحاً عاماً ينتمي إلى هوية محددة، وأن جهة إصدار الشهادات كانت مخوَّلة بإصدار هذا الادعاء، وأن الخوارزميات التي تقف وراء التوقيع لا تزال قوية بما يكفي لقبولها من المتصفحات والخوادم وأنظمة التشغيل. هذا الشرط الأخير ليس ضماناً. إنه رهان.

الرهان الذي بدا آمناً

لعقود، بدا الرهان غير مرئي لأنه استمر في الإيفاء بوعوده. أصبح تشفير RSA وECDSA بنية تحتية رقمية بالمعنى الحقيقي: حاملة للأعباء، وموجودة في كل مكان، ولا يُلاحَظ وجودها إلا عند الفشل. فهي تدعم HTTPS والبريد الإلكتروني المشفر والبرامج الموقَّعة وسلامة المستندات وهويات الأجهزة ومساحات شاسعة من بنية المؤسسات الخاصة. لا يواجه معظم المستخدمين الرياضيات الكامنة وراءها.

لا تكسر التشفيرات ما بعد الكمية هذه الصورة اليوم. بل تزعزع الافتراض الكامن تحتها. الضغط لا يأتي من حاسوب كمي يكسر الشهادات الحية. بل يأتي من عملية الترحيل التي تعقب ذلك عندما يجب استبدال الخوارزميات الضعيفة في نهاية المطاف.

في تلك اللحظة، ستحتاج المؤسسات إلى إجابات دقيقة:

  1. أي الأنظمة يمكن نقلها بسلاسة، وأي الموردين يتحكمون في مسار التحديث؟
  2. أي البنية التحتية القديمة صارمة للغاية بحيث لا يمكن تغييرها في جدول زمني معقول؟

أعمار الشهادات الأقصر تُضيِّق ساعة التجديد. أما ترحيل ما بعد الكم فيتساءل عما إذا كانت الساعة هي الشيء الصحيح الذي يجب مراقبته أصلاً.


المعايير موجودة بالفعل

يعني التشفير ما بعد الكمي استبدال خوارزميات المفتاح العام مثل RSA وECDSA ببدائل مصممة لمقاومة الهجمات من أجهزة الحاسوب الكمي المستقبلية

اعتاد هذا الأمر أن يبدو مشكلة تخص مختبرات الأبحاث ومخططي الدفاع، أولئك الذين يتقاضون رواتبهم مهنياً للتفكير في كوارث عدة مقبلة. تلك المرحلة انتهت.

في أغسطس 2024، أنهى المعهد الوطني للمعايير والتكنولوجيا (NIST) أول معايير التشفير ما بعد الكمي، مُنهياً بذلك عملية امتدت ثماني سنوات قيَّمت 82 خوارزمية قدَّمها باحثون من 25 دولة

برزت ثلاثة منها وأصبحت الأساس الرسمي لمستقبل مقاوم للكم.

  • ML-KEM لإنشاء المفاتيح
  • ML-DSA للتوقيعات الرقمية
  • SLH-DSA كبديل قائم على التجزئة عديم الحالة

تحمل معايير NIST ثقلاً مؤسسياً. فهي تُشكِّل ما تشترطه الحكومات، وما يبني الموردون نحوه، وما يُطبِّقه المدققون، وما تستعد له المتصفحات وجهات إصدار الشهادات. حين تتحرك NIST، يتبعها القطاع في نهاية المطاف.

كان Dustin Moody، عالم الرياضيات الذي قاد جهود التقنين، صريحاً بشأن الإلحاحية حين أُعلنت المعايير النهائية. قال إن مسؤولي الأنظمة يجب أن يبدأوا في دمج المعايير الجديدة الآن، لأن الترحيل الكامل عبر البنية التحتية الفعلية سيستغرق سنوات.

هذا إطار صادق. لا تحتاج أي مؤسسة إلى استبدال كل شهاداتها هذا الربع. لكن حجم ما يجب تغييره في نهاية المطاف هائل: TLS وS/MIME وتوقيع الكود وسلامة المستندات وتحديثات البرامج وPKI الخاص ومصادقة الأجهزة وكل نظام يستخدم تشفير المفتاح العام لإنشاء الثقة. يصبح التأخير شكلاً من أشكال المخاطرة حين تكون الخريطة بهذا الاتساع.

السؤال الذي هيمن على هذه المحادثة في السابق كان افتراضياً: هل يمكن لأجهزة الحاسوب الكمي في نهاية المطاف كسر التشفير الحالي؟ لم يختفِ هذا السؤال، لكنه لم يعد السؤال الوحيد المهم.

السؤال الأصعب أصبح عملياً الآن: ماذا يحدث حين يجب استبدال الأدوات التي تؤمِّن الثقة الرقمية الحديثة عبر أنظمة لم تُصمَّم أصلاً للتغيير؟


Chrome لا يتعامل مع هذا كترقية عادية

أوضح إشارة على أن التشفير ما بعد الكمي ليس مجرد تبادل روتيني للخوارزميات تأتي من المتصفح الذي يُحدِّد الوتيرة للجميع.

في فبراير 2026، أعلنت Google أن Chrome لا تمتلك خطة فورية لإضافة شهادات X.509 التقليدية التي تحتوي على خوارزميات ما بعد الكم إلى مخزن الجذر الخاص بها. 

وفر 10% على شهادات SSL عند الطلب من SSL Dragon اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

صورة مفصلة لتنين أثناء طيرانه

بدلاً من ذلك، يطور الفريق شهادات Merkle Tree من خلال مجموعة عمل IETF PLANTS، وهو نهج مختلف هيكلياً للمشكلة. السبب ليس فلسفياً. 

تُنتج التشفيرات المقاومة للكم توقيعات أكبر بكثير، وحين تدخل متطلبات Certificate Transparency في الصورة، يخلق هذا الثقل الإضافي ضغطاً حقيقياً على الأداء وعرض النطاق الترددي.

لو كانت الرياضيات الأقوى هي كل ما يتطلبه هذا الانتقال، لكان Chrome يقبل ببساطة شهادات أقوى. لكنه لا يفعل ذلك.

حين تلتقي الشفافية بالثقل

جعل Certificate Transparency الويب أكثر أماناً بشكل ملموس من خلال تحويل إصدار الشهادات إلى سجل قابل للتدقيق العام. كما أنشأ نظاماً يجب أن يتوسع عالمياً ويعمل في ظل كل الظروف الواقعية: اتصالات الهاتف المحمول الضعيفة، وجدران الحماية المؤسسية، والأجهزة القديمة، والبنية التحتية التي لا يُعدّ فيها التأخير مجرد مفهوم مجرد بل شكوى من العملاء.

تُجهِد توقيعات ما بعد الكم تلك البنية. تكبر بيانات الثقة. يصبح التحقق أثقل. ومصافحة TLS التي تُضيف احتكاكاً في اللحظة الخاطئة لا تُعلن عن نفسها كمشكلة هندسة تشفير. المستخدمون لا يتحلون بالصبر تجاه شهادات أكثر أماناً للمستقبل لكنها أبطأ في إثبات ذلك.

هذا هو التوتر الذي تعمل Google على حله، وهو يُعيد صياغة ما يتطلبه تحدي الشهادات التالي فعلاً. مقاومة الكم لا تتعلق فقط بقوة الثقة، بل بما إذا كان يمكن تقديم تلك الثقة بالسرعة التي يتطلبها الويب الحديث.


رياضيات أكبر تعني ثقة أثقل

مشكلة الحجم ليست نظرية، بل حسابية. توقيع ECDSA الحالي على منحنى 256 بت يُمثَّل عادةً كقيمتين بحجم 32 بايت لكل منهما قبل تكاليف الترميز.

ML-DSA-65، أحد معايير NIST الجديدة لما بعد الكم، يحمل مفتاحاً عاماً بحجم 1,952 بايت وتوقيعاً بحجم 3,309 بايت. يتفاوت حجم الشهادة بحسب الترميز والامتدادات وبنية السلسلة، لكن الاتجاه واضح: يُضيف التشفير ما بعد الكمي كيلوبايتات حيث بُنيت البنية التحتية للثقة على الويب حول كائنات أصغر بكثير. على نطاق واسع، تصبح البايتات سياسة.

مقارنة توقيعات ما بعد الكم

بضعة كيلوبايتات إضافية عبر اتصال واحد هي خطأ تقريبي. لكن عبر مليارات مصافحات HTTPS التي تعمل عبر شبكات الهاتف المحمول والوكلاء المؤسسيين وشبكات CDN وسجلات الشهادات والأجهزة التي لا تزال تحمل قرارات بنية تحتية من عقد مضى، تتراكم الحسابات لتصبح شيئاً لا يمكن تجاهله.

هذا بالضبط هو السبب الذي يجعل Chrome يستكشف بدائل لمجرد إدراج توقيعات ما بعد الكم في شهادات X.509 التقليدية. الحاوية لم تُصمَّم لهذا الحمل.

الأقوى لا يعني القابل للنشر

يُصيغ المركز الوطني للأمن السيبراني في المملكة المتحدة المقايضة بوضوح. توفر مجموعات المعاملات الأكبر لما بعد الكم هوامش أمان أعلى، لكنها تتطلب في المقابل قدرة معالجة وعرض نطاق ترددي أكبر. بالنسبة لمعظم عمليات النشر الواقعية، يوصي NCSC بـ ML-KEM-768 وML-DSA-65، لأنهما يمثلان أكبر قدر من الحماية التي يمكن للشبكة الفعلية أن تحملها بشكل موثوق.

الويب ليس بيئة خاضعة للسيطرة. إنه هواتف وأجهزة توجيه وأجهزة طرفية للدفع وشبكات مدارس وشبكات Wi-Fi في المطارات وصناديق وسيطة مؤسسية ومنصات SaaS تعمل على خيارات معمارية اتُّخذت قبل أن يكون ما بعد الكم بنداً في أي ميزانية. لم يكن الهدف أبداً أقوى خوارزمية ممكنة، بل الأكثر كفاءة التي سيستخدمها العالم الحقيقي فعلاً.


قد يكون الجزء الأصعب هو التوقيعات لا التشفير

يحظى التشفير بالعناوين الرئيسية لأن السرية أمر بديهي. الرسالة إما محمية أو ليست كذلك. لكن الشهادات تقع أيضاً في مركز شيء أقل وضوحاً وربما أكثر أهمية: التوقيعات الرقمية. يكشف التشفير المكسور البيانات. أما التوقيعات المكسورة فتُفسد الثقة.

شهد القطاع هذا النمط من الفشل من قبل.

في عام 2011، تعرَّضت جهة إصدار الشهادات الهولندية DigiNotar لاختراق، وأُصدرت شهادات مزورة لمئات النطاقات، بما فيها Google وSkype. سحبت المتصفحات ثقتها. تدخلت الحكومة الهولندية. أفلست DigiNotar. ما أثبته الحادث هو أن ثقة الشهادات لا تفشل بمعزل عن غيرها. حين تنهار، تنهار بسرعة، ويكون المستخدمون العاديون آخر من يفهم السبب.

يستحق هذا التاريخ الاستحضار عند النظر في ما يتطلبه ترحيل ما بعد الكم من التوقيعات تحديداً. قنَّن NIST كلاً من ML-DSA وSLH-DSA إلى جانب ML-KEM تحديداً لأن إنشاء المفاتيح والمصادقة مشكلتان متمايزتان تتطلبان حلولاً متمايزة.

يُلاحظ NCSC أن المخططات القائمة على التجزئة مثل SLH-DSA وLMS وXMSS تحمل توقيعات أكبر وأداءً أبطأ، مما يجعلها غير مناسبة للاستخدام العام لكنها مرشحة معقولة لتوقيع البرامج الثابتة والبرمجيات، حيث يكون ضغط الإنتاجية أقل.

يكشف هذا التمييز شيئاً كثيراً ما تفوِّته المحادثة المتمحورة حول TLS.

  • شهادة الموقع الإلكتروني تؤمِّن الاتصال. 
  • شهادة S/MIME تؤمِّن الهوية في صندوق الوارد. 
  • شهادة توقيع الكود تحمي المسار بين المطور والمستخدم النهائي. 
  • شهادة المستند تحفظ سلامة الملف بعد مغادرته يدي مؤلفه.

هذه أدوات مختلفة تؤدي وظائف متنوعة عبر أنظمة متعددة، وكل واحدة منها تستند إلى الأساس ذاته: توقيع يتفق العالم على تصديقه.


ما الذي يجب عليك فعله قبل وصول تسمية “آمن كمياً”

المؤسسات التي ستتعامل مع هذا الأمر بنجاح لن تكون تلك التي تلاحق تسميات المنتجات الآمنة كمياً. بل ستكون تلك التي تعرف بالفعل أين تعمل تشفيراتها.

هذا العمل روتيني: الجرد، والملكية، وتخطيط الموردين، والمرونة التشفيرية. لكنه الأساس الوحيد الصامد.

ابدأ بالخريطة

تعرف معظم المؤسسات شهاداتها الموجهة للعموم. لكن القليل منها يمتلك صورة واضحة عن كل شيء آخر: الشهادات الداخلية وأنظمة التوقيع وهويات الأجهزة والبنية التحتية التي يتحكم فيها الموردون وتؤدي عملاً تشفيرياً في الخلفية بهدوء.

يطرح الجرد المفيد أربعة أسئلة:

  • أي الشهادات نشطة، ومن يملكها؟
  • أي الأنظمة تعتمد على S/MIME أو توقيع الكود أو PKI الخاص أو شبكات VPN أو APIs أو مصادقة الأجهزة؟
  • أي الموردين يتحكمون في مسار التحديث، وهل لديهم خارطة طريق موثوقة؟
  • أي الأنظمة هشة للغاية بحيث لا تتحمل ترحيلاً آخر بسلاسة؟

بمجرد وجود الخريطة، تُحدِّد المخاطر الأولويات. موقع تسويقي وخط أنابيب توقيع البرامج الثابتة لا ينتميان إلى الجدول الزمني ذاته.

PKI الهجين ليس الأرضية الوسطى المريحة التي يبدو عليها

ستتوقع كثير من المؤسسات تداخلاً لطيفاً: تعمل الأساليب التقليدية وما بعد الكمية بالتوازي حتى يستقر الانتقال. داخل PKI، يصبح هذا الافتراض مكلفاً بسرعة.

يكون NCSC صريحاً: المصادقة الهجينة داخل PKI أصعب بكثير من إنشاء المفاتيح الهجين. نادراً ما يكون تبادل خوارزمية واحدة ممكناً بمعزل عن غيره. الخيارات هي PKI يتعامل مع كلا نوعي التوقيع في آنٍ واحد، أو PKIان متوازيان. لا يُعدّ أيٌّ منهما مهمة بسيطة.

تفضيل NCSC الخاص هو الترحيل النظيف إلى PKI كمي بالكامل بدلاً من بناء بنية هجينة تُضيف تعقيداً دون حل المشكلة الجوهرية.

المرونة التشفيرية ممارسة لا ميزة

يجب أن تتمكن الأنظمة من تدوير المفاتيح وتبادل الخوارزميات وتحديث المكتبات واستبدال الشهادات دون إعادة بناء كاملة في كل مرة. ستجد المؤسسات التي تكتشف بنيتها التحتية من جديد في كل انتقال تشفيري أن هذا العقد مكلف.

أعمار الشهادات الأقصر هي تحضير هادئ لهذا بالضبط. الشركات التي تُؤتمت بالفعل عملية التجديد وتتتبع الملكية تبني الانضباط الذي يتطلبه ترحيل ما بعد الكم، ليس لأن الأتمتة تحل مشكلة الكم، بل لأنها تبني الردّ الفعلي الصحيح: البنية التحتية للثقة تُدار باستمرار، لا تُنقذ حين ينكسر شيء ما.


الساعة أقصر، لكن العمل أعمق

صلاحية الشهادات الأقصر هي التحدي الذي يراه الجميع. ستدفع المزيد من الشركات نحو الأتمتة وستعاقب سير العمل اليدوية المبنية على الذاكرة وتذكيرات التقويم أو شخص واحد يعرف أين يقع كل شيء.

يُشير التشفير ما بعد الكمي إلى الاختبار الأعمق: هل تفهم الشركات الشهادات والتوقيعات والمفاتيح والموردين والأجهزة والأنظمة الداخلية التي تعتمد عليها ثقتها.

شهادة مدتها 47 يوماً تُغيِّر سرعة تحرك المؤسسات. أما ترحيل ما بعد الكم – فيُغيِّر عمق ما يجب أن تنظر إليه.

أدِر الشهادات بتخمين أقل

يساعد SSL Dragon الشركات على اختيار شهادات TLS وS/MIME وتوقيع الكود وتوقيع المستندات وإصدارها وتجديدها وإدارتها. بفضل التوجيه الواضح والدعم السريع وسنوات من الخبرة في مجال الشهادات، نجعل الثقة الرقمية أسهل في التعامل قبل أن تتحول إلى مشكلة.

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

صورة مفصلة لتنين أثناء طيرانه

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.