احد التحدیات الرئیسیة في عالمنا الیوم هو تبادل امن للمعلومات عبر الویب یتم تبادل الملایین من البیانات الشخصیة من المعلومات الحساب المصرفي الی الرسائل النصیة الخاصة علی الانترنیت کل یوم ، و تظهر هجمات جدیدة کل یوم للوصول الی هذه المعلومات الحیویة للمستخدمین .
تکون اهمیة هذه المعلومات في بعض الاحیان کبیرة جداً لدرجة ان التسریبات من مواقع
الویب او تطبیقات المسؤولة عن تبادل هذه البیانات یمکن ان تسبب اضراراً لا یمکن اصلاحها للافراد و الشرکات و عواقب سلبیة علی مالک هذا الموقع او التطبیق .
یعد تبادل المعلومات علی الویب بشکل مشفر خطوة مهمة في مواجهة هذا التحدي الخطیر و تعد سحابة اروان واحدة من شبکات CDN القلیلة التي تقدم هذه الامکانیة من خلال تقدیم شهادة SSL المجانیة.
الخطوة الاولی في دعم موقع ویب عبر HTTPS هي الحصول علی شهادة SSL (SSL certificate) . تعد شهادة SSL شرطاً اساسیاً لاستخدام بروتوکولات TLS و انشاء اتصال امن بین الخادم و المستخدم ( المتصفح ) یتم استخدامها في عملیة مصافحة TLS بالاضافة الی معلومات عامة حول هویة مالک موقع الویب ( اسم المجال ، المنظمة ، الخ) المفتاح العام
یعتمد بروتوکول TLS علی التشفیر المتماثل ( التشفیر غیر المتماثل ) . البنیة التحتیة للمفتاح العالم غیر المتماثل (PKI) (التشفیر ) علی عکس التشفیر المتماثل ، الذي یستخدم مفتاحا سریاً واحداً فقط لتشفیر و فک شفیرة البیانات المتبادلة بین نقطتین ، یطلق علی مفتاحیین اسم المفتاح الخاصة . یتم استخدام المفتاح الخاص ( و المفتاح العام ) للقیام بذالک.
یتم انشاء کل من المفاتیح الخاصة و العامة علی خادم مضیف الویب . الفرق هو ان المفتاح الخاص یظل آمناً مع الخادم و لا یتم ارساله بأي شکل من الاشکال ، ولکن یمکن مشارکة المفتاح العام ،کما یوحي اسمه ، مع الاخرین . یستخدم مستلم المفتاح العام هذا المفتاح لتفشیر البیانات المرسلة الی الخادم ، و یقوم بفک شفیرة هذة البیانات المشفرة باستخدام مفتاحه الخاص .
نظراً لامکانیة مشارکة المفتاح العام مع الاخرین ، فمن المرجع ایضاً ان یتم اساءة استخدامه . لحل هذه المشکلة ، یتم استخدام مستوی اعلی من الامان ، اي مصادقة المفتاح العام المستلم . یتم اجراء هذه التصدیق بواسطة شهادة SSL.
تتمثل الخطوة الاولی في انشاء شهادة SSL لموقع الویب في انشاء ملف طلب توقیع الشهادة (CSR) . ملف (CSR) هو في الواقع نفس شهادة SSL للتوقیع المسبق CA)) و یحتوي علی معلومات حول مالک موقع الویب و مفتاح العام .یتم ارسال هذا الملف الی المرجع المصدق و اذا کان یفي بالشروط ، یتم ارسال الملف الموقع الی مالک المرجع المصدق CA)) و الذي یسمی الان شهادة SSL ، و یقوم بتثبیته علی الخادم ، و الذي یستخدمه الخادم للمصادقة علی المتصفح . تستخدمها في عملیة مصافحة TLS . تمتلک CA تاریخ انتهاء صلاحیة ، و اذا انتهت صلاحیتها ، یجب تکرار کل هذه الخطوات . اذا لم یتم تنفیذ اي من هذه الخطوات بشکل صحیح فلن یتم انشاء اتصال HTTPS بین المتصفح و خادم الویب .
تحتوي جمیع المتصفحات علی قائمة من المراجع المصدقة الصالحة ، و من خلال تلقي شهادة موقعة من احد المراجع المصدقة الصالحة في هذه القائمة ، فإنها تؤکد و تقبل صحة المعلومات و المفتاح العالم لهذه الشهادة.
بعد انشاء اتصال TCP بین المستخدم و الخادم ، تبدأ عملیة مصافحة TCP باختصار الخطوات العامة لهذه العملیة ( بغض النظر عن اصدار TCP المستخدم ) هي :-
یرسل المتصفح رسال client hello تحتوي علی اصدار TLS او SSL ، کما یرسل خورزمیات التشفیر المدعومة الی الخادم.
استجابتاً لهذه الرسالة الواردة ، یرسل الخادم رسالة الترحیب Server hello ( حیث یختار واحداً من قائمة خوارزمیات المتصفح المدعومة جنباً الی جنب مع شهادة SSL الخاصة به الی المتصفح
من خلال استلام هذه الشهادة و الرجوع الی قائمة CA الصالحة ، یتحقق المتصفح من صحة شهادة SSL و یقبلها . ثم یقوم بإنشاء مفتاح یسمی Secret Key ، و یقوم بتشفیر بلمفتاح العام المستلم من الخادم ، ثم یرسله في النهایة کرسالة الی الخادم .
عند تلقي هذه الرسالة ، یقوم الخادم بفک تشفیرها باستخدام مفتاحه الخاص و الوصول الی المفتاح السري الذي ارسله المتصفح . من هذه النقطة فصاعداً یتم انشاء اتصال TLS بین المتصفح و الخادم و یتم تشفیر البیانات المتبادلة بینهما و فک تشفیرها باستخدام المفتاح السري.
في السنوات الاخیرة حاولت سحابة اروان التفاوض مع Let’s Encrypt للسماح لمستخدمیها بالاستفادة من شهادة SSL المجانیة لثلاثة اشهر لشرکة ، بنقرة واحدة فقط علی منصة سحابة اروان . بهذه الطریقة لا یدفع مستخدمو سحابة اروان مقابل إعداد هذه الشهادة و بعد انتهاء صلاحیة هذه الشهادة سیتم تجدید هذه الشهاده تلقائیاً لهم دون اجراء اضافي . اکبر میزة لخدمة اصدار الشهادات المجانیة من سحابة اروان هي تقدیم الشهادات بشکل Wildcard.
باستخدام Wildcard SSL یمکنک تامین عدد غیر محدود من المجالات الفرعیة بشهادة SSL واحدة فقط . علی عکس شهادات SSL القیاسیة ، و التي لا یمکن استخدامها الا ل FQDN معین مثل www.example.com یمکن استخدام Wildcard SSL Certificate ، للحصول علی شهادة SSL ل .example.comتمکین اي شکل یمکن ان یکون (www.example.come، example.com، test.example.com و ...)
یمکنک قراءة هذه المقالة للتعرف علی کیفیة الحصول علی شهادة سحابة اروان المجانیة
خدمات الدعم