شهادات رقمية ضرورية للاتصالات الرقمية الآمنة، وخاصةً للتشفير والمصادقة والسلامة. تعتمد هذه الشهادات على البنية التحتية للمفتاح العام (PKI) وتصدر عن المراجع المصدقة (CAs)فيما يلي نظرة عامة على الأنواع الرئيسية للشهادات وأغراضها:
شهادات SSL / TLS #
يُستخدم لتأمين الاتصال بين خوادم الويب والمتصفحات (HTTPS). الأنواع:
التحقق من المجال (DV) #
- يتحقق من ملكية المجال فقط.
- سريع وغير مكلف.
مثال: المواقع الشخصية أو المدونات.
التحقق من صحة المؤسسة (OV) #
- يقوم بالتحقق من ملكية المجال وهوية المنظمة.
- مستوى ثقة أفضل، يستخدم للشركات الصغيرة والمتوسطة.
التحقق من الصحة الموسعة (EV) #
- التحقق الأكثر صرامة من الهوية والوجود القانوني.
- إظهار اسم الشركة في شريط العناوين (في بعض المتصفحات).
مثال: المواقع المصرفية ومواقع التجارة الإلكترونية.
شهادات البدل #
- تأمين المجال وجميع المجالات الفرعية الخاصة به (على سبيل المثال، *.example.com).
شهادات متعددة النطاقات (SAN/UCC) #
- تأمين أسماء النطاقات المتعددة المؤهلة بالكامل باستخدام شهادة واحدة.
شهادات توقيع الرمز #
يستخدمه المطورون لـ برامج التوقيع الرقمي، التأكد من عدم تغيير الكود أو العبث به بعد التوقيع.
- توقيع الكود القياسي - التحقق من الناشر والتأكد من سلامة الكود.
- توقيع رمز EV - إضافة التحقق الأكثر صرامة، ويساعد على تجنب تحذيرات Windows SmartScreen.
شهادات البريد الإلكتروني (S/MIME) #
اعتدت ان التوقيع الرقمي وتشفير البريد الإلكتروني الرسائل.
- ضمان صحة المرسل.
- يمنع التنصت والتزييف.
مثال: اتصالات البريد الإلكتروني الخاصة بالشركة، أو البيانات القانونية أو الطبية.
شهادات العملاء #
اعتدت ان مصادقة العملاء (المستخدمين أو الأجهزة) إلى الخوادم.
- يعمل مثل كلمة مرور المستخدم، ولكن باستخدام تشفير أقوى.
- شائع في شبكات VPN، وواجهات برمجة التطبيقات الآمنة، وmTLS، وشبكات المؤسسات.
الشهادات الأساسية والوسيطة #
جزء من سلسلة ثقة الشهادة:
- شهادة الجذر - شهادة من المستوى الأعلى موثوقة من قبل الأنظمة (مثبتة مسبقًا في نظام التشغيل/المتصفحات).
- الشهادة المتوسطة - يتم إصدارها بواسطة الجذر، وتستخدمها السلطات المصدقة لإصدار شهادات الكيان النهائي.
هذه سلسلة من الثقة يتيح للمتصفحات التحقق من شهادة موقع الويب من خلال اتباع المسار إلى الجذر الموثوق به.
الشهادات الموقعة ذاتيا #
تم إنشاؤها وتوقيعها بواسطة نفس الكيان.
- تُستخدم في الأنظمة الداخلية أو بيئات التطوير.
- غير موثوق به افتراضيًا (يسبب تحذيرات في المتصفحات).
جدول مقارنة أنواع الشهادات الرقمية #
| نوع الشهادة | الهدف | التحقق من الهوية | حالة الاستخدام المشترك | موثوق به من قبل المتصفحات |
| DV SSL | مواقع الويب الآمنة (HTTPS الأساسي) | المجال فقط | المدونات والمواقع الشخصية | نعم |
| OV SSL | مواقع الويب الآمنة (منظمة تم التحقق منها) | المجال + المنظمة | المواقع التجارية | نعم |
| EV SSL | مواقع الويب الآمنة ذات الثقة العالية | المجال + المنظمة القانونية | البنوك والتجارة الإلكترونية | نعم |
| Wildcard SSL | تأمين جميع المجالات الفرعية | يختلف | مواقع الويب الكبيرة ذات النطاقات الفرعية العديدة | نعم |
| SAN / UCC | تأمين نطاقات متعددة | يختلف | استضافة مواقع متعددة، خوادم Exchange | نعم |
| توقيع الكود | برنامج/كود التوقيع | منظمة أو فرد | ناشري البرمجيات | غير قائم على المتصفح |
| توقيع رمز EV | توقيع الكود باستخدام دعم SmartScreen | فحص المنظمة الموسع | بائعي برامج المؤسسات | غير قائم على المتصفح |
| البريد الإلكتروني S/MIME | البريد الإلكتروني الآمن (التوقيع/التشفير) | البريد الإلكتروني + الهوية | البريد الإلكتروني للشركات والقانوني | مع التكوين |
| مصادقة العميل | التحقق من هوية المستخدمين/الأجهزة | هوية العميل | VPN، واجهات برمجة التطبيقات، والتطبيقات الداخلية | غير قائم على المتصفح |
| شهادة الجذر | مرساة الثقة لتسلسل CA | غير متوفر (مثبت مسبقًا) | السلطات التصديق الموثوقة (على سبيل المثال، DigiCert، Let's Encrypt) | نعم |
| شهادة متوسطة | ربط شهادات الجذر والكيان النهائي | تم إصداره بواسطة سلطة التصديق الجذرية | إصدار مُدار من قِبل CA | نعم |
| شهادة موقعة ذاتيًا | الاستخدام المحلي/التنموي | لا شيء (صادر ذاتيًا) | التطوير والاختبار الداخلي | لا |
مخطط سلسلة الثقة #
+----------------------------+ | جهة اعتماد الجذر الموثوقة | | (مثبتة مسبقًا في الأنظمة)| +-------------+-------------+ | v +----------------------------+ | جهة اعتماد وسيطة (1..n) | | (صادرة عن جهة اعتماد الجذر) | +-------------+--------------+ | v +----------------------------+ | شهادة الكيان النهائي | | (موقع الويب، العميل، البريد الإلكتروني) | | - DV، OV، EV، إلخ. | +-----------------------------+ يتحقق المتصفحون/العملاء من صحة السلسلة من الورقة → الوسيطة → الجذر.
على سبيل المثال، عند الزيارة https://relianoid.com:
- يتلقى المتصفح شهادة الكيان النهائي.
- يتحقق من أنه تم توقيعه بواسطة وسيط معروف.
- ثم يتم التأكد من أن الوسيط موثوق به من خلال سلطة التصديق الجذرية.
