ما هي الشهادة الوسيطة وكيف تعمل؟

ما هي الشهادة المتوسطة

عند استكشاف الأمن الرقمي، ستصادف مصطلح الشهادة الوسيطة. ولكن ما هي الشهادة الوسيطة ولماذا هي مهمة جدًا؟ دعونا نحلل الأمر ونفهم كيف تتناسب الشهادات الوسيطة مع إطار عمل SSL/TLS والبنية التحتية للمفتاح العام (PKI) الأوسع نطاقاً.


جدول المحتويات

  1. ما هي الشهادة الوسيطة؟
  2. كيف تعمل الشهادة الوسيطة؟
  3. أهمية الشهادات الوسيطة في SSL/TLS
  4. الشهادات الجذرية مقابل الشهادات الوسيطة مقابل شهادات SSL
  5. أنواع الشهادات الوسيطة
  6. كيفية الحصول على شهادة وسيطة
  7. الاستخدامات الشائعة للشهادات الوسيطة

ما هي الشهادة الوسيطة؟

تقع الشهادة الوسيطة بين الشهادة الجذر وشهادات المستخدم النهائي في التسلسل الهرمي لشهادة SSL/TLS. وتتمثل مهمتها الرئيسية في ربط الثقة من المرجع المصدق الجذر (CA) إلى الشهادة النهائية التي يستخدمها الكيان النهائي، مثل موقع ويب أو تطبيق. من الناحية الفنية، هو عبارة عن ملف يحتوي على مفتاح عام وتوقيع من المرجع المُصدر وبيانات وصفية أخرى.

لتصور ذلك، فكر في سلسلة شهادات. يوجد في قمتها شهادة الجذر – وهي مرجع موثوق به لا يوقع جميع الشهادات مباشرةً. وبدلاً من ذلك، تقوم بإصدار شهادات وسيطة تقوم بعد ذلك بإصدار شهادات المستخدم النهائي. يساعد هذا التسلسل الهرمي في إدارة الشهادات الرقمية وتأمينها بكفاءة.


كيف تعمل الشهادة الوسيطة؟

إليك كيفية عمل الشهادة الوسيطة ضمن بروتوكول SSL/TLS:

  1. الإصدار: يقوم المرجع المصدق الجذر (CA) بإصدار شهادات وسيطة. لا يتم استخدام هذه الشهادات مباشرةً على خوادم الويب ولكنها تربط بين المرجع المصدق المرجعي المصدق الجذر وشهادات الكيان النهائي.
  2. طلب توقيع الشهادة (CSR): عندما يحتاج موقع ويب إلى شهادة، فإنه ينشئ CSR ويرسلها إلى المرجع المصدق (CA). يتضمن CSR معلومات مثل المفتاح العام والتفاصيل التنظيمية.
  3. التوقيع والتحقق: يتحقق المرجع المصدق (CA) من CSR ويصدر الشهادات الوسيطة(حزمة المرجع المصدق) وشهادة المستخدم النهائي. يتم توقيع الشهادات الوسيطة باستخدام المفتاح الخاص لـ CA الجذر، مما يضمن شرعيتها.
  4. سلسلة الثقة: يقوم المرجع المصدق الوسيط بتوقيع شهادة المستخدم النهائي. يمكن للمستعرضات أو العملاء تتبع هذه الشهادة من خلال السلسلة إلى الشهادة الجذر لتأكيد الثقة.
  5. إنشاء الثقة: عندما يتصل المستخدم بموقع آمن، يتحقق المستعرض الخاص به من السلسلة بأكملها – من شهادة المستخدم النهائي إلى المرجع المصدق المرجعي المصدق الوسيط وأخيراً إلى الشهادة الجذر. إذا كانت جميع الشهادات صالحة وموثوق بها، يكون الاتصال آمناً.
  6. إبطال الشهادات وتجديدها: يمكن أن تقوم المراجع المصدقة (CAs) بإبطال الشهادات الوسيطة وشهادات المستخدم النهائي وتجديدها في حالة تعرضها للخطر أو انتهاء صلاحيتها. تقوم المستعرضات بالتحقق من حالة الإبطال من خلال قوائم إبطال الشهادات (CRLs) أو بروتوكول حالة الشهادات عبر الإنترنت (OCSP) للتأكد من صلاحية الشهادات.

أهمية الشهادات الوسيطة في SSL/TLS

الشهادات الوسيطة ضرورية لعدة أسباب:

  • الأمان المحسّن: باستخدام الشهادات الوسيطة، يمكن لـ CA الجذر الحفاظ على أمان شهادته. إذا تم اختراق شهادة وسيطة، تظل الشهادة الجذر سليمة.
  • إدارة فعالة: تعمل الشهادات الوسيطة على تبسيط إدارة أعداد كبيرة من الشهادات. فهي تسمح بالتفويض الفعال لإصدار الشهادات وتقلل من انكشاف الشهادة الجذر.
  • المرونة والتحكم: مع وجود العديد من المراجع المصدقة الوسيطة، يمكن للمؤسسات إنشاء مسارات تصديق متميزة لاحتياجات مختلفة. يسمح هذا الإعداد بتحكم ومرونة أفضل عند إدارة الشهادات.

الشهادات الجذرية مقابل الشهادات الوسيطة مقابل شهادات SSL

يمكن أن يساعدك فهم الفروق بين الشهادات الجذرية والشهادات الوسيطة في استكشاف المشكلات المختلفة المتعلقة ب SSL وإصلاحها.

  • الشهادات الجذرية: يتم إصدارها من قبل المرجع المصدق (CA) الجذر، وهي شهادات المستوى الأعلى المخزنة في المخازن الجذرية للمتصفحات وأنظمة التشغيل الرئيسية. وهي موقعة ذاتياً وتؤسس أعلى مستوى من الثقة.
  • الشهادات الوسيطة: يتم إصدارها بواسطة CA الجذر أو CA وسيط آخر. وهي تعمل كجسر في مسار التصديق وتستخدم لتوقيع شهادات المستخدم النهائي.
  • شهادات SSL: يتم تثبيت هذه الشهادات على خوادم الويب، ويتم إصدارها من قبل مرجع مصدق وسيط. تقوم بتشفير البيانات بين الخادم والعميل.

أنواع الشهادات الوسيطة

تشمل الأنواع المختلفة من الشهادات الوسيطة ما يلي:

  • مرجع مصدق وسيط واحد (CA): مرجع مصدق وسيط واحد(CA) مباشر يصدر شهادات لأغراض أو كيانات محددة.
  • الشهادات الموقعة بشكل مشترك: الشهادات الوسيطة الموقعة من قبل العديد من المراجع المصدقة الجذرية لضمان التوافق عبر مخازن جذرية مختلفة.
  • الشهادات الوسيطة الأخرى: يتم إصدارها لحالات استخدام متخصصة أو من قبل العديد من المراجع المصدقة الوسيطة ذات الأدوار والصلاحيات المتميزة. على سبيل المثال، تصدر Sectigo أنواعاً مختلفة من الشهادات الوسيطة لأغراض محددة. أحد الأمثلة على ذلك هو المرجع المصدق المرجعي المصدق الوسيط لتوقيع الشيفرات البرمجية الخاص بهم، والذي يُستخدم حصريًا لإصدار شهادات لتوقيع الشيفرات البرمجية. يضمن هذا الوسيط التحقق من البرامج والتطبيقات وتأمينها.

كيفية الحصول على شهادة وسيطة

تصدر المراجع المصدقة (CAs) شهادات وسيطة للمؤسسات التي تدير المراجع المصدقة التابعة لها. لا يقوم المستخدمون العاديون عادةً بإنشاء هذه الشهادات أو طلبها.

للحصول على واحد، يجب أن تكون لديك علاقة راسخة مع مرجع مصدق موثوق به يسمح لك بالعمل كمرجع مصدق تابع.

إذا كنت مؤسسة تدير بنية تحتية للمفاتيح العامة (PKI)، يمكنك طلب شهادة وسيطة من مرجع مصدق (CA). ستحتاج غالباً إلى إثبات أمان أنظمتك وعزمك على إصدار الشهادات بشكل مسؤول.

عندما يتم إصدار شهادة المستخدم النهائي، غالباً ما يوفر المرجع المصدق (CA) حزمة CA، والتي تتضمن الشهادات الوسيطة اللازمة لإنشاء سلسلة ثقة من شهادة المستخدم النهائي إلى الشهادة الجذر. يتم تثبيت هذه الحزمة على الخادم، وتسمح للمستعرضات بالتحقق من صحة الشهادة بشكل صحيح، حتى على الإصدارات القديمة.


الاستخدامات الشائعة للشهادات الوسيطة

تستخدم المراجع المصدقة شهادات وسيطة لحماية شهاداتها الجذرية أثناء إصدار الشهادات للعملاء. وإليك كيفية ملاءمتها

  • تفويض الثقة: نادراً ما يتم استخدام الشهادات الجذرية بشكل مباشر لأن المساس بالجذر من شأنه أن يقوض الثقة في المرجع المصدق (CA) بأكمله. تعمل الشهادات الوسيطة كوسطاء، حيث تقوم بتوقيع شهادات المستخدم النهائي نيابةً عن الجذر والحفاظ على شهادة الجذر.
  • تسلسل الشهادات: عندما يصدر المرجع المصدق (CA) شهادة وسيطة، فإنه يربطها بين الجذر والشهادة النهائية التي يستخدمها موقع ويب أو خادم. تقوم هذه السلسلة بالتحقق من صحة الشهادة من قبل المتصفحات والأنظمة.
  • إصدار أنواع مختلفة من الشهادات: تسمح الشهادات الوسيطة للمراجع المصدقة (CAs) بإنشاء وإدارة الشهادات لأغراض مختلفة (على سبيل المثال، SSL/TLS لمواقع الويب وتوقيع الرموز وأمن البريد الإلكتروني) دون المخاطرة بالجذر.

مكان استخدام الشهادات الوسيطة

  • البنى التحتية للمراجع المصدقة العامة: تصدر المراجع المصدقة الرئيسية مثل Let’s Encrypt وDigiCert وغيرها شهادات SSL/TLS من خلال وسطاء. تضمن هذه الممارسة بقاء شهادات المرجع المصدق (CA) الجذرية آمنة.
  • أنظمة PKI الخاصة: تستخدم المؤسسات التي لديها بنى تحتية داخلية للمفاتيح العامة (PKI) شهادات وسيطة لإدارة الثقة داخل مؤسستها. وقد تقوم بإصدار شهادات وسيطة لأقسام أو تطبيقات مختلفة، كل منها مسؤول عن توقيع شهادات المستخدم النهائي الخاصة به.
  • المراجع المصدقة التابعة: يمكن إصدار شهادات وسيطة للمؤسسات الكبيرة من مرجع مصدق (CA) رئيسي. ويمكن أن تعمل هذه المؤسسات كجهات CA فرعية، حيث تقوم بإصدار شهادات لنطاقات أو خدمات محددة.

شهادة المرجع المصدق المرجعية المصدقة الوسيطة قيد التنفيذ

تخيل متجرًا عبر الإنترنت يستخدم SSL/TLS لتأمين المعاملات. إليك كيفية عمل الشهادات الوسيطة:

  1. المرجع المصدق الجذري (Root CA): إصدار شهادات وسيطة لمراجع مصدقة موثوق بها.
  2. المرجع المصدق المصدق الوسيط: يوقع شهادة SSL لخادم الويب الخاص بالمتجر.
  3. شهادة المستخدم النهائي: يتم تثبيتها على الخادم، وتقوم بتشفير البيانات بين الخادم والمستخدمين.
  4. التحقق: تقوم متصفحات المستخدمين بتتبع شهادة SSL مرة أخرى من خلال الشهادة الوسيطة إلى الشهادة الجذر، مما يؤكد أمان الاتصال.

خلاصة القول

باختصار، تحافظ الشهادات الوسيطة على مسار تصديق آمن ويمكن التحقق منه في تشفير SSL/TLS. فهي تضمن أن الشهادات الرقمية التي تؤمن اتصالات الويب موثوقة وجديرة بالثقة. سيساعدك فهم دورها في إدارة بيئتك الرقمية وتأمينها، سواء كنت محترفاً في مجال تكنولوجيا المعلومات أو مطور ويب أو بدأت للتو في مجال الأمن السيبراني.

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.