لكاتبة: ايناس بنت احمد بن عبدالله بالطيف
 

 

 

 

 

الملخص :

إن عصرنا الآن هو فعلاً ما يسمى بعصر الانترنت، حيث شملت استخداماتنا له كافة مناحي الحياة، فلم يعد استخدامنا له منحصراً في أمور الترفية فقط، بل أصبحت أغلب معاملاتنا المختلفة تتم عن طريقه بما يعرف بمفهوم "المعاملات الإلكترونية"، ولكن بالمقابل فإن قضية أمن المعلومات قد شغلت أغلب المستخدمين، خاصة مع الارتفاع الكبير والمخيف في نسبة الهجمات وعمليات الاحتيال المختلفة، والتي تسعى – بشكل أولي-  إلى استهداف المعلومات الحساسة والشخصية لدى المستخدمين مثل معلومات بطاقة الائتمان.
إن شهادة طبقة المقابس الآمنة (SSL certificate) هي أحد الحلول المطروحة  والفعالة للتصدي لمثل هذه الهجمات الخبيثة، حيث أنها بمثابة المفتاح الرئيسي والفعال لتقوية الثقة بين المتعاملين على شبكة الانترنت، خاصة في المعاملات التجارية الإلكترونية والتي تطلب ثقة كبيرة بين الكيان التجاري وبين العميل.
إن شهادة طبقة المقابس الآمنة هي الوثيقة الرسمية والموثقة لأي كيان على الانترنت ، سواء أكان هذا الكيان خادم ما (Server) أو موقع الكتروني أو حتى شخص بعينه. بالإضافة إلى أنها توفر اتصال آمن  ضمن بروتوكول طبقة المقابس الآمنة والذي يوفر اتصال سري ومشفر بين الخادم والمتصفح .
سأتطرق في هذه المقالة  إلى شهادة طبقة المقابس الآمنة ، وكيف أنها ساهمت بشكل فعال ومريح لتوثيق العلاقة بين كلا المتعاملين، وكيف أنها قامت بكسر أجنحة المحتالين وكشفت مخططاتهم الخبيثة لتحمي المستخدم من أن يكون ضحية سهلة لهؤلاء المجرمين.
 

كلمات مفتاحية :

شهادة طبقة المقابس الآمنة ،الشهادة الرقمية، طبقة المقابس الآمنة ، SLL certificate، SSL، التحقق من الصحة،  Authentication، الآمان على شبكة الانترنت ، التجارة الإلكترونية الآمنة، اتصال آمن.   
 

1.    المقدمة :

في عالم الإنترنت أو ما يسمى بـالعالم الافتراضي، شاع مصطلح أو مفهوم التجارة الإلكترونية، أو التعاملات التجارية الإلكترونية ، وزاد عدد المتعاملين بها سواء من التجار أو العملاء  لما توفره لهم من مزايا عدة ، فبالنسبة لرجال الأعمال ، أصبح من الممكن الحد من الوقت والتكلفة لترويج بضائعهم، أما العملاء فلم يعودوا بحاجة للتنقل كثيراً، وربما الوقوف طويلاً في طابور طويل!.
بالمقابل فإن عمليات التصيد والاحتيال، بالإضافة إلى السرقات الحاصلة على شبكة الانترنت، قد تسببت في الكثير من الخوف والذعر لهذه التجارة من عدم كفاية قضية أمن المعلومات. حيث أصبح المستخدم الذي يملك معلومات حساسة تحت رحمة الكذابين والمحتالين من أمثال هؤلاء. مما دعا عدد كبير من مستخدمي هذا العالم عدم التعامل مع أي موقع إلكتروني يقوم بطلب أي معلومات منهم مهما كانت بسيطة.
ومن هذا المنطلق سعت منظمات و شركات عدة في تقديم طرق وحلول مختلفة،  تهدف إلى تقوية الثقة والآمان في هذه البيئة المفتوحة.  ومن أبرز هذه الحلول هو ما يعرف بشهادة طبقة المقابس الآمنة ((SLL certificate.
سوف أحاول التحدث في هذا المقال بلغة سهلة ميسرة عن ماهية شهادة طبقة المقابس الآمنة، وكيف ساهمت في رفع مستوى الأمن والثقة في عالم الانترنت، مع محاولة ذكر بعض الأمثلة لتسهيل الفكرة وتقريبها إلى المستخدم العام لتعم الفائدة بإذن الله.
 

2.    ماهي شهادة طبقة المقابس الآمنة SSL ؟

لكي نفهم حقيقة أو ماهية شهادة طبقة المقاييس الآمنة ((SLL certificate ، يجب علينا أولاً التعرف على مفهومين أساسيين : طبقة المقايس الآمنة(SLL)  و الشهادة الرقمية.
طبقة المقابس الآمنة(SLL)  :
طبقة المقاييس الآمنة (SLL) هي عبارة عن بروتوكول أوجدته شركة  Netscape، كان الهدف من ورائه إنشاء اتصال آمن وسري بين الخوادم (Servers) والمتصفحات. حيث يستخدم هذا البرتوكول فكرة أو مصطلح الطرف الثالث، ونعني بها إدخال طرف ثالث غير المتعاملين (المتصفح والخادم) لضمانية وموثوقية آمان هذا الاتصال.
تقوم هيئة التوثيق (CA) بهذا العمل- الطرف الثالث- حيث تقوم بتوقيع وإصدار وثائق رسمية تعرف بالشهادات الرقمية، ومن ثم تقوم بإدارة ومتابعة هذه الشهادات الموقعة من قبلها بالإضافة إلى الشهادات الموقوفة .
الشهادة الرقمية :
الشهادة الرقمية هي عبارة عن آلية أو وثيقة تهدف إلى تطبيق مبدأ (التصديق / التحقق من الهوية ) أو ما يعرف باللغة الانجليزية (Authentication) المعروف في تكنولوجيا أمن المعلومات، والذي ُيعنى بالتأكد من هوية الشخص الذي يتم التعامل معه هل هو الشخص المقصود أم لا .
إن هذه الشهادة تعمل بمثابة "جواز سفر إلكتروني"  أو وثيقة تحمل معلومات خاصة بمالك هذه الشهادة سواء كان شخص معين أو موقع الكتروني ( مثل عنوان بريده الالكتروني، واسمه ، والمفتاح العام الخاص بمالك الشهادة وعنوان المجال  (URL)في حالة المواقع الإلكترونية)، بالإضافة إلى معلومات خاصة بالشهادة (مثل استخدام الشهادة ، وفترة صلاحية الشهادة ، والرقم التسلسلي لهذه الشهادة ، بالإضافة إلى المعرف (ID) للجهة الموثقة و المصدقة لهذه الشهادة).
وكما في جواز السفر لابد من وجود توقيع حتى يكون مصدق ومفعل، فإن الشهادة الرقمية بالمقابل تبقى غير آمنه حتى توقع وتوثق من قبل إحدى هيئات التوثيق (CA) المعروفة على شبكة الانترنت.
لكي توجد شهادة خاصة بك فإنك بحاجة أولاً إلى تعبئتها بمعلوماتك الشخصية ، ومن ثم تقوم بعملية طلب توقيع لهذه الشهادة رقمية (CSR) من إحدى هيئات التوثيق، وعندها فإن جهاز الخادم الخاص بك سوف يقوم بخلق مفتاحي تشفير : أحدهما عام والآخر خاص .
أما المفتاح العام – كما قلنا- يوضع في الشهادة ويستخدم لعملية تشفير الرسائل السرية المرسلة لصاحب الشهادة. وأما المفتاح الخاص فإنه يخزن في جهاز الكمبيوتر الخاص بمالك الشهادة ليستخدم في عملية فك التشفير لتلك الرسائل السرية. بحيث أن أي رسالة تشفر بالمفتاح العام لا يمكن فكها إلا بالمفتاح الخاص، وبسرية المفتاح الخاص- حيث أنه يخزن في الجهاز الخاص بمالك الشهادة لكي لا يصل إليه أحد – فإننا نضمن قناة آمنه وسرية بين كلاً من صاحب الشهادة والطرف الآخر.
شهادة طبقة المقابس الآمنة:
بعد أن تعرفنا على ما سبق من المفاهيم يمكننا تعريف واستيعاب ماذا نعني بقولنا شهادة طبقة المقابس الآمنة . شهادة طبقة المقابس الآمنة هي عبارة عن شهادة رقمية  تعمل على برتوكول طبقة المقابس الآمنة، و تهدف إلى توفير قناة اتصال آمنة ومشفرة بين كلاً من المتصفح والخادم (بين متصفحك والموقع الإلكتروني المالك لهذه الشهادة) .
ويجدر بينا التنبيه إلى أن هناك ما يعرف بشهادة (EVSSL Extended Validation SSL certificate) وهي عبارة عن شهادة مطور من شهادة المقابس الآمنة، لا تساعد فقط على ضمان الاتصال الآمن، بل تضم أيضاً معلومات أضافية حول مالك الموقع الإلكتروني والذي تم تحديده من قبل هيئة التوثيق التي أصدرت هذه الشهادة، لتزيد من مصداقية وآمان هذا الموقع على شبكة الانترنت.
 

3.    لماذا نحن بحاجة إلى هذه الشهادة ؟


قناة اتصال آمنة لنقل المعلومات  :
تتيح شهادة طبقة المقابس الآمنة (SLL certificate) تسوق مريح وآمن عبر شبكة الإنترنت. فعند دخولك إلى أحد مواقع التسوق الإلكتروني ـ ووصلت بك الصفحات إلى صفحة إدخال بيانات سرية مثل معلومات بطاقة الائتمان أو بريدك الإلكتروني أو أي معلومات تخص المستخدم–  فإن متصفحك سيظهر لك تلقائياً أيقونة "القفل" ، بالإضافة إلى أنك ستلاحظ تغير البروتوكول "http.."إلى"https…" – النسخة الآمنة من بروتوكول صفحات الويب  – (http)المسبوق لاسم الدومين الخاص بهذا الموقع كما في الشكل (1) ،  مما يدلك على أن هذا الموقع الإلكتروني الذي تتعامل معه آمن ، حيث أنه يمتلك إحدى شهادات طبقة المقابس الآمنة و المصدقة من جهة موثوقة، حيث يقوم بنقل المعلومات حالياً عبر قناة مشفرة وآمنة بينك وبين هذا الموقع .

 

 

وبالضغط على أيقونة " القفل" ستظهر لك الشهادة الرقمية الخاصة بهذا الموقع وجميع المعلومات الخاصة بها -كما ذكرنا سلفاً- كما في الشكل (2).
 


الشكل  2


وكذلك عند تفعيل شهادة (EVSSL) المطورة على موقع التسوق الإلكتروني ، فإن المستخدم صاحب النسخ الأخيرة من متصفحات (Firefox, Internet Explorer or Opera)   سوف يظهر له  شريط العنوان بلون أخضر كما في الشكل (3) ليخبره بوجود المزيد من المعلومات المتوفرة حول هذا الموقع .
 


الشكل  3

 

وبالمقابل عندما تقوم بإدخال بياناتك الخاصة عبر موقع الكتروني غير آمن (أما أنه لا يملك شهادة طبقة مقابس آمنه أو أنها غير صحيحة لأي سبب ما كما سنذكر لاحقا) ، فإن متصفحك سوف يقوم بإنذارك قبل إتمام هذه العملية ، بعدم آمان هذا الاتصال وباحتمالية وجود طرف ثالث يقوم بسرقة البيانات بينك وبين الموقع.

•    كيف تتم عملية إنشاء هذه القناة ؟

لقد تكلمنا كثيراً وكررنا أن الهدف الأساسي من هذه الشهادة هي محاولة خلق قناة آمنة وسرية بين كلًا من المتصفح و موقع إلكتروني ما ، ولكن هل تساءلت كيف تتم عملية إنشاء هذه القناة ؟
يتم الحصول على هذا الاتصال الآمن بين المتصفح والخادم بما يعرف بعملية المصافحة(handshake) ، حيث تكون هذه العملية بمثابة التعارف بين المتصفح والخادم قبل الدخول في أمور سرية ومهمة ، وقد حاولت شرحها بشكل مبسط كما في الشكل (4) :

 

الشكل 4

 

ونصل في الأخير إلى قناة آمنة، حيث تتم عملية المراسلة بين الخادم والمتصفح برسائل مشفرة بمفتاح الجلسة session key)) المتفق عليه بين كلا من المتصفح والخادم ، ويجدر بي المقام هنا إلى التنبيه بأن مفتاح الجلسة يتم إنشائه عشوائياً عند كل (طلب جلسة آمنة)  بين المتصفح والخادم .

التحقق من الهوية (Authentication)

لتستوعب ماذا نعني بمفهوم التحقق من الهوية (Authentication) ، وماله من أهمية لضمان الآمان بين المتصلين، تخيل معي أنك استقبلت ظرف رسالة بلا عنوان أو أي معلومات تخص المرسل ، وعندما فتحت هذا الظرف وجدت نموذج من البنك الذي تتعامل معه يطلب منك كتابة معلومات بطاقتك الائتمانية وربما إرسالها إلى عنوان معطى !

هذا هو بالضبط ما يحدث معنا على شبكة الإنترنت عندما يُطلب منك إدخال معلوماتك الخاصة وربما الحساسة على موقع تسوق الكتروني أو موقع البنك الإلكتروني الذي تتعامل معه ، حيث أنك لا تضمن أن هذا النموذج – أو الظرف في المثال السابق- تابع فعلاً للوجهة أو الهدف المقصود فعلاً!

هناك العديد من عمليات الاحتيال والسرقات المختلفة على شبكة الانترنت ، حيث يقوم عدد من المحتالين بعملية انتحال شخصية موقع ما موثوق مثل مواقع البنوك ، بحيث يوهم المستخدم أو العميل بأن هذا الموقع هو موقع البنك حقاً، فيطلب منك إدخال بيانات حساسة بطريقة ما ليقوم بسرقتها، وهذا ما يعرف بـعملية التصيد "Phishing" على شبكة الانترنت.
شهادة طبقة المقابس الآمنة بإمكانها أن تكشف مخططاتهم الخبيثة، وأن تحمي المستخدم من أن يكون ضحية سهلة لهؤلاء المجرمين، حيث أن شهادة طبقة المقابس الآمنة (SLL) يتم إنشائها لخادم معين، لعنوان مجال  (domain)معين من أجل التحقق من كيان تجاري معين (موقع الكتروني معين)، أي أنها تكون وحيدة ومميزة لكل كيان على الانترنت، بالإضافة إلى أنه لا يمكن لمثل هذه المواقع المشبوهة نسخ الشهادة التابعة للموقع الأصلي، ولا حتى إمكانية الحصول على توقيع موثوق من إحدى هيئات التوثيق على شهادة مكذوبة (تحوي نفس اسم المجال للموقع المنتحل) .
فعند دخولك على أي من مواقع التسوق المعروفة ، أو موقع البنك الذي تتعامل معه ، فإن متصفحك سوف ينبهك تلقائياً بأي خطأ قد يحدث على النحو التالي:
•    عدم وجود إيقونة "القفل":
مما يعني أن هذا الموقع لا يملك شهادة طبقة المقابس الآمنة، حيث أن هيئات التوثيق الموثقة لا تصدر عادة  شهادات للمواقع المشبوهة من أمثال مواقع التصيد، وعلى ذلك فأنت ربما تتعامل الآن مواقع التصيد.
•    عدم تطابق اسم المجال الموجود في الشهادة بالمجال الظاهر على متصفحك:
كما قلنا سابقا بأن مثل هذه المواقع لا يمكنها نسخ الشهادة أو إصدار شهادة موثقة تحمل نفس عنوان المجال المنتحل، فهم قد يحاولون إصدار شهادة تحمل عنوان مجال مختلف.
ولتسهيل الفكرة تخيل معي أنك قمت بالدخول على موقع أمازون المعروف والمشهور لشراء غرض ما، حيث أنك وجدت أن العنوان المكتوب على شريط المتصفح هو نفسه عنوان موقع أمازون (http://www.amazon.com/) ، ولكن متصفحك ينبهك بحدوث هذا الخطأ، فلو دخلت إلى تفاصيل الشهادة –كما ذكرنا سابقاً-  فإنك سوف تجد عنوان مجال مختلف عن الذي مكتوب على شريط العنوان.
•    عدم موثوقية (هيئة التوثيق CA) الموقعة على الشهادة:
قد تحاول مثل هذه المواقع المشتبه الحصول على شهادة من أي جهة غير موثوقة ، وفي مثل هذه الحالة فإن متصفحك سوف ينبك فوراً بهذه الرسالة التحذيرية.
 

4.    الخاتمة .. شهادة طبقة المقابس الآمنة مفتاح الثقة على شبكة الانترنت :

رأينا كيف تطورت تكنولوجيا أمن المعلومات على شبكة الانترنت ، وكيف ساهمت شهادة طبقة المقابس الآمنة في بناء الثقة للمستخدم،  والذي يعتبر المفتاح الرئيسي والفعال لنجاح أي من التعاملات التجارية. فبمجرد أن يرى المستخدم أيقونة "القفل" على شريط متصفحه، فإنه سيشعر بأمان تام عندما يقوم بإدخال أي من معلوماته  الحساسة،  فهو على ثقة بأنه أمام الموقع الإلكتروني المطلوب ، وأن بياناته الحساسة سوف تنتقل مشفرة عبر قناة آمنة لضمان السرية التامة .
 

5.    المراجع :


•    موقع الكتروني:
–    " شهادات رقمية " ، ويكيبيديا الموسوعة الحرة  ،http://ar.wikipedia.org/wiki/%D8%B4%D9%87%D8%A7%D8%AF%D8%A7%D8%AA_%D8%B1%D9%82%D9%85%D9%8A%D8%A9 ، أخر زيارة 25 ديسمبر 2009.

 

•    Book:
    Mark Ciampa, "SECURITY+ GUIDE TO NETWORK SECURITY FUNDAMENTALS", Second Edition.

•    Website:
    "Why You Need an SSL Certificate", http://www.starfieldtech.com/, last visited 25 December 2009.
    http://www.instantssl.com/ssl-certificate-products/https.html, last visited 25 December 2009.
    http://www.verisign.com/ssl/ssl-information-center/how-ssl-security-works/index.html, last visited 25 December 200