Fexyn
Fexyn

قاموس

ما هي certificate authority

منظمة تصدر شهادات رقمية تتحقّق من أن مفتاحًا عامًا يخصّ فعلًا من تدّعي.

certificate authority — CA — هي منظمة تصدر شهادات رقمية. مهمّة الشهادة هي ضمان أن مفتاحًا عامًا معيّنًا يخصّ فعلًا كيانًا معيّنًا (موقع، خادم، مستخدم). المتصفّحات وأنظمة التشغيل وعملاء VPN يثقون افتراضيًا بمجموعة صغيرة من CA؛ كل شيء آخر يُبنى على تلك الثقة.

إذا زرت https://fexyn.com، الشهادة التي يقدّمها الخادم وُقّعت من قبل CA. متصفّحك يفحص التوقيع مقابل المفتاح العامّ لـ CA (الذي لديه بالفعل)، يؤكّد التطابق، ويقرّر أن الخادم هو من يدّعي. بدون CAs، كل اتصال TLS سيتطلّب ثقة سابقة بينك وبين الخادم — وهذا لا يقبل التوسّع.

CAs الكبرى

trust store على جهاز عادي لديه بضع مئات root CA من منظمات تشمل:

  • Let's Encrypt — مجاني، آلي، يهيمن على الذيل الطويل لشهادات المواقع الصغيرة. يصدر شهادات 90 يومًا لتشجيع الأتمتة.
  • DigiCert / Sectigo — تجاري، نطاق منتجات أوسع، يُستخدم بكثافة في المؤسسات.
  • Entrust، GlobalSign، GoDaddy — أيضًا تجارية.
  • CAs وطنية — بعض الحكومات تشغّل خاصتها (CFCA الصينية مثلًا). هذه أحيانًا مثيرة للجدل سياسيًا.

أُزيلت بضع CAs من trust stores بعد إصدار شهادات بشكل خاطئ أو ممارسات أمنية ضعيفة (Symantec أُلغيت ثقتها من المتصفّحات في 2018؛ WoSign وStartCom سابقًا).

كيف توقّع CAs الشهادات

الآلية سلسلة. المفتاح الخاص لـ root CA يوقّع شهادة intermediate CA. مفتاح intermediate الخاص يوقّع شهادات end-entity (مواقع، خوادم، مستخدمين). شهادة end-entity تثبت السلسلة عائدةً إلى الجذر.

عندما يتلقّى متصفّحك شهادة، يمشي هذه السلسلة صعودًا إلى جذر في trust store. إذا تحقّقت كل توقيعة ولم يُلغَ شيء، السلسلة جيّدة.

السبب لـ intermediates: الجذور تبقى offline (مثاليًا على عتاد)، تُستخدم فقط لتوقيع intermediates جديدة. التوقيع اليومي يحدث مع intermediates online يمكن استبدالها إذا تمّ اختراقها. intermediate مخترق سيّئ؛ جذر مخترق كارثة.

ما يمكن أن يخطئ

CAs فشلت بعدّة طرق على مدى السنوات:

  • اختراق. المهاجمون يسرقون مفتاح intermediate ويصدرون شهادات تبدو صالحة لنطاقات تعسّفية. DigiNotar وComodo وآخرون أُصيبوا.
  • misissuance. CA يصدر شهادة للطرف الخاطئ، غالبًا عبر تحقّق نطاق معيب. سجلّات Certificate Transparency تجعل هذا قابلًا للكشف بعد حدوثه.
  • إكراه. حكومة تجبر CA في اختصاصها على إصدار شهادات لأغراض المراقبة. الدفاع هو Certificate Transparency بالإضافة إلى التدقيق العامّ.

كل فشل يجبر المتصفّحات على عدم الوثوق بشهادات من CA المتأثّرة. بعضها يعيد البناء؛ بعضها لا.

CAs في سياق VPN

مزوّد VPN يشغّل PKI خاصته هو CA خاصته — يشغّل جذرًا داخليًا وintermediate ليسا في trust store متصفّحك، لكنهما مثبَّتان في عميل VPN.

عملاء Fexyn يثبّتون intermediate CA الخاص بـ Fexyn. إذا قدّم خادم Fexyn شهادة غير موقَّعة من قبل ذلك intermediate، العميل يرفض الاتصال. هذا يمنع استخدام CA عامة مخترقة لـ MITM حركة Fexyn — العميل لا يثق بـ أي CA عامة لاتصالات VPN، فقط بـ Fexyn الداخلية.

هذا الهيكل هو السبب في أن هجوم man-in-the-middle على اتصال Fexyn يتطلّب تحديدًا اختراق PKI الخاص بـ Fexyn، لا مجرّد أي CA عشوائية.

جرّب Fexyn مجانًا لمدة 7 أيام — cert الذي تحصل عليه من PKI الخاص بـ Fexyn ويعيش 24 ساعة.

مصطلحات ذات صلة

جرّب Fexyn مجانًا لمدة 7 أيام

تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.

الأسعار
ما هي certificate authority | Fexyn VPN