Fexyn
Fexyn

قاموس

ما هو PKI (public key infrastructure)

نظام الشهادات ومفاتيح التوقيع وروت الثقة الذي يتيح للأطراف التحقّق من هويات بعضها على الإنترنت.

Public key infrastructure — PKI — هو النظام الذي يتيح لطرفين على الإنترنت التحقّق من هويات بعضهما باستخدام شهادات تشفيرية. عندما يتصل متصفّحك بموقع بنك، PKI هو ما يخبره "هذا الخادم فعلًا هو البنك".

الآلية تستخدم تشفيرًا غير متماثل: مفتاح عام يستطيع أي شخص رؤيته، ومفتاح خاص يملكه المالك فقط. PKI هو سلسلة التواقيع والثقة التي تجعل تلك المفاتيح ذات معنى.

كيف يُهيكَل PKI

ثلاث طبقات من الأعلى للأسفل:

  1. certificate authority الجذرية. عدد صغير من المنظمات (DigiCert، Let's Encrypt، Sectigo، إلخ) يحتفظون بمفاتيح جذرية تثق بها المتصفّحات وأنظمة التشغيل افتراضيًا. الجذور توقّع شهادات intermediate.
  2. CA intermediate. التوقيع اليومي يحدث مع intermediates. توقّع شهادات end-entity. إذا تمّ اختراق intermediate، فقط الشهادات الموقّعة بها تتأثّر؛ الجذر يبقى آمنًا (offline، مثاليًا على عتاد).
  3. شهادات end-entity. ما يصدر للخوادم والأجهزة الفعلية. لها hostname وانتهاء وسلسلة تعود إلى جذر موثوق.

عند زيارة موقع، يفحص متصفّحك سلسلة الشهادات: end-entity → intermediate → root. إذا تحقّقت كل توقيعة وكان الجذر في trust store، السلسلة جيّدة. إذا فشل أي شيء، المتصفّح يحذّرك.

ما يمكن أن يخطئ

عدّة أوضاع فشل شائعة:

  • intermediate مخترق. إذا تسرّب مفتاح intermediate لـ CA، يستطيع المهاجمون إصدار شهادات لأي نطاق. حدث هذا لـ CA تجارية. المتصفّحات تستجيب بعدم الثقة في intermediate المتأثّر.
  • جذر مخترق. كارثي. مفتاح جذر موثوق في أيدي المهاجم يعني أنهم يستطيعون توقيع أي شيء. الجذور تُحفظ offline على رموز عتاد لمنع هذا بالضبط.
  • شهادة صادرة بشكل خاطئ. CA يصدر بشكل خاطئ شهادة لنطاق لشخص لا ينبغي أن يكون لديه. سجلّات Certificate Transparency تجعل هذا قابلًا للكشف لكن ليس قابلًا للمنع.

كل واحدة من هذه تتطلّب إلغاء cert المكسور. الإلغاء بطيء بشكل سيء السمعة — انظر منشور الشهادات قصيرة الأمد للسبب.

PKI داخل VPN

مزوّد VPN خاصتك يشغّل PKI خاصته. الهيكل مشابه:

  • جذر CA (offline، على عتاد) يوقّع intermediates.
  • intermediate CA (online) يوقّع شهادات الخادم والعميل.
  • شهادات end-entity لكل خادم VPN ولكل مستخدم مصادَق.

الخوادم تثبت هويتها للعملاء عبر هذه الشهادات. العملاء يثبتون هويتهم (وتفويضهم) بنفس الطريقة. نفس آلية الثقة التي يستخدمها HTTPS، مطبَّقة على جلسة VPN.

Fexyn يشغّل HashiCorp Vault PKI. جذر offline على رموز عتاد. intermediate online يوقّع كلاً من شهادات الخادم والعميل. TTL لـ cert صادر هو 24 ساعة — طويل بما يكفي ألا يُطلق دورة sleep/resume واحدة renewal، قصير بما يكفي لكي ينتهي credential مسروق قبل أن يستطيع معظم المهاجمين استخدامه.

قارن هذا مع VPN الاستهلاكية التي تصدر شهادات عميل 12 شهرًا أو أطول. إذا تسرّب أحدها، يكون صالحًا حتى يكتمل الإلغاء اليدوي — ونشر الإلغاء غير موثوق. شهادات 24 ساعة تجعل تلك المشكلة تصحّح نفسها.

ماذا يعني هذا للمستخدمين

أنت لا تتفاعل مع PKI مباشرةً؛ عميل VPN يتولّى الأمر. لكن تصميم PKI يحدّد blast radius إذا حدث خطأ ما. cert Fexyn مسرَّب غير صالح في 24 ساعة. cert مسرَّب من منافس يشغّل تدويرات 12 شهرًا هو مشكلة لمدة سنة.

اقرأ المزيد في الشهادات قصيرة الأمد ونظرة عامة على الأمان.

جرّب Fexyn مجانًا لمدة 7 أيام — أوّل cert خاصتك يعيش 24 ساعة.

مصطلحات ذات صلة

جرّب Fexyn مجانًا لمدة 7 أيام

تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.

الأسعار
ما هو PKI (public key infrastructure) | Fexyn VPN